GDPR – ochrana osobních údajů a zdravotnická dokumentace

Zdravotnická dokumentace a osobní údaje ve zdravotnictví Personalistika, právo a vzdělávání ve veřejné správě Brno, 6. září 2018 MUDr. Milan Cabrnoch, MBA Kurz ČLK č. 115/15 dne 12.12.2015

Informace při péči o zdraví obecné informace o zdraví a nemoci pro veřejnost narůstající zájem o zdraví maximální dostupnost velmi rozdílná kvalita - garance důvěryhodných zdrojů pro profesionály osobní zdravotní informace

Soukromí a důvěra ochrana soukromí je základní stavební kámen vztahu důvěry mezi pacientem a lékařem pacient má plné právo očekávat, že lékař zachová tajemství

Přehled platné zákonné úpravy zákon č. 101/2000 o ochraně osobních údajů zákon č. 372/2011 Sb. o zdravotních službách a podmínkách jejich poskytování vyhláška č. 98/2012 Sb. o zdravotnické dokumentaci obecné nařízení 2016/679/EU o ochraně osobních údajů

Zdravotnická dokumentace vedení zdravotnické dokumentace a nakládání s ní předávání zdravotnické dokumentace, zpráv a informací zacházení se zdravotnickou dokumentací při zániku oprávnění k poskytování zdravotní péče nahlížení do zdravotnické dokumentace 372/2011 Sb.

Proč vedeme zdravotnickou dokumentaci? návaznost zdravotní péče forenzní ochrana lékaře, ale i pacienta podklad pro vyúčtování vědecké zkoumání, statistika

Dilema mezi ochranou a sdílením

Poskytovatel je povinen vést zdravotnickou dokumentaci: průkazně pravdivě čitelně průběžně ji doplňovat 372/2011 Sb.

Porušení povinností ve vztahu ke zdravotní dokumentaci Správní delikt (do 500 000 Kč), pokud poskytovatel: nevede či neuchovává zdravotní dokumentaci nebo s ní nesprávně nakládá neumožní přístup do zdravotní dokumentace neumožní nahlížet do zdravotní dokumentace kdy měl nebo umožní nahlížet kdy neměl nepořídí výpis nebo kopii neprovede do zdravotní dokumentace záznam o nahlížení, výpisu či kopii (do 100 000 Kč) § 65, 66 sankce § 117 372/2011 Sb.

Obsah zdravotnické dokumentace identifikační údaje pacienta pohlaví pacienta identifikační údaje poskytovatele informace o zdravotním stavu pacienta anamnéza rodinná, osobní, pracovní, sociální klasifikace pacienta informace o úmrtí pacienta další údaje 372/2011 Sb.

Forma vedení zdravotnické dokumentace listinná elektronická - v digitální podobě kombinace listinné a elektronické dokumenty s podpisem ne-zdravotníka musí být zachovány v listinné podobě i v případě převedení do elektronické formy 372/2011 Sb.

Předávání zdravotních informací Poskytovatel je povinen předat informace potřebné pro návaznost zdravotní péče jiným poskytovatelům zdravotních služeb zpřístupnit informace ze zdravotnické dokumentace jinému zdravotnickému pracovníkovi, od kterého si pacient vyžádal konzultační služby § 45/2/g konzultační služby §46/1/d sankce § 117 § 45/2/g do 100 000 Kč § 46/1/d = 117/2/k do 50 000 Kč 372/2011 Sb.

Předávání informací: zpráva o poskytnutých službách Poskytovatel je povinen předat zprávu o poskytnutých zdravotních službách registrujícímu lékaři (PL nebo PLDD) na vyžádání záchranné službě na vyžádání pacientovi nepředá = správní delikt, pokuta do 100 000 Kč § 45/2/f sankce § 117 372/2011 Sb.

Elektronická forma vedení zdravotnické dokumentace povinně identifikátor záznamu nezměnitelné, nezpochybnitelné a ověřitelné: datum provedení zápisu identifikační údaje zdravotnického pracovníka, který záznam provedl = elektronický podpis (dle vyhl. č. 98/2012) 372/2011 Sb.

Pouze elektronická forma zdravotnické dokumentace nelze dodatečně modifikovat informační systém eviduje seznam identifikátorů záznamů bezpečnostní kopie jednou denně přenesení na jiný nosič dat před uplynutím životnosti uložení kopií s vyloučením dodatečného zásahu čitelnost kopií po dobu archivace převoditelnost do listinné formy vytvoření speciální kopie ve formátu čitelném pro jiné informační systémy 372/2011 Sb.

Nahlížení do zdravotnické dokumentace ...nahlížet, pořizovat si výpisy nebo kopie v přítomnosti zaměstnance pověřeného poskytovatelem pacient nebo jeho zákonný zástupce osoby určené pacientem osoby blízké zemřelému pacientovi 372/2011 Sb.

Nahlížení bez souhlasu pacienta zdravotníci při poskytování zdravotních služeb při přezkoumání lékařského posudku při převzetí zdravotnické dokumentace jiného poskytovatele při kontrole při revizní činnosti pojišťovny při posuzování pro sociální zabezpečení při kontrole SUKL lékaři SÚJB zaměstnanci orgánů ochrany veřejného zdraví při hodnocení kvality, auditech 372/2011 Sb.

Nahlížení bez souhlasu pacienta nezdravotníci přezkoumání lékařského posudku při provádění statistiky soudní znalci veřejný ochránce práv členové Evropského výboru pro zabránění mučení… osoby získávající odbornou způsobilost pokud to pacient předem nezakázal 372/2011 Sb.

Nahlížení do elektronické zdravotnické dokumentace pacient, jeho zákonný zástupce nebo osoba určená pacientem, pozůstalí všechny osoby oprávněné nahlížet bez souhlasu pacienta všichni mají právo právo nahlížet dálkovým přístupem všichni mají právo na pořízení kopie na technickém nosiči dat, který si určí 372/2011 Sb.

Ochrana osobních údajů Přehled platné zákonné úpravy zákon č. 101/2000 Sb. o ochraně osobních údajů obecné nařízení 2016/679 EU o ochraně osobních údajů

Citlivé údaje (§4 b) osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů 101/2000 Sb.

Zpracovávání citlivých údajů s výslovným souhlasem subjektu pro ochranu zdraví, života či majetku subjektu politické, filosofické, náboženské a odborové cíle pouze non-profit a jen pro členy v případě údajů zveřejněných subjektem pro zajištění a uplatnění právních nároků 101/2000 Sb.

Zpracovávání citlivých údajů podle zvláštního zákona: při zdravotní péči, ochraně veřejného zdraví, ve zdravotním pojištění a při výkonu veřejné správy ve zdravotnictví pracovní právo a zaměstnanost nemocenské, důchodové, úrazové, sociální podpora, dávky, péče, pomoc v hmotné nouzi,... pro účely archivnictví předcházení, vyhledávání, odhalování a stíhání trestných činů, pátrání po osobách 101/2000 Sb.

Přístup subjektu údajů k informacím pokud subjekt požádá, je správce povinen informaci bez zbytečného odkladu vydat: účel zpracování osobní údaje včetně informací o jejich zdroji povaha automatického zpracovávání příjemci údajů 101/2000 Sb.

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) - též „GDPR“ Platnost: 25. 5. 2016 Účinnost: 25. 5. 2018 Úřední věstník Evropské unie L119, 4. května 2016 převzato z prezentace dr. Karla Neuwirta

Hisorie 21 let stará směrnice 95/46 (1995) 36 let stará Úmluva 108 (1981) Nejsou schopny dostatečně čelit novým výzvám V dnešním složitém digitálním prostředí stávající pravidla neposkytují - potřebnou úroveň harmonizace, - nezbytnou účinnost pro zajištění práva na ochranu osobních údajů převzato z prezentace dr. Karla Neuwirta

Povinnosti plynoucí z GDPR Analyzovat dopady na současné zpracování údajů Stanovit postupy pro jejich realizaci Docílit souladu v roce 2018 převzato z prezentace dr. Karla Neuwirta

Nové zásady při ochraně osobních údajů odpovědnost správce zpracování osobních údajů dětí zákaz profilování ochrana o. ú. již od návrhu – PbD (Privacy by Design) společní správci ohlašování případů narušení bezpečnosti posuzování dopadu na ochranu údajů – Data Protection Impact Assessment a DP by Design (ochrana údajů již od návrhu) jmenování pověřence pro ochranu údajů kodexy chování posílení orgánu dozoru pravidla pro sankce Evropská rada pro ochranu údajů převzato z prezentace dr. Karla Neuwirta

Zásady zpracování osobních údajů korektně a zákonným a transparentním způsobem (zákonnost, korektnost, transparentnost) určité, výslovně vyjádřené a legitimní účely (omezení účelem) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu (minimalizace údajů) přesné a podle potřeby aktualizované (přesnost) ve formě umožňující identifikaci subjektu údajů uchovávat po dobu ne delší než je nezbytné pro stanovené účely (omezení uložení) ochrana a zabezpečení před ztrátou, zničením, poškozením (integrita a důvěrnost) převzato z prezentace dr. Karla Neuwirta

Zákonnost zpracování pokud je splněna nejméně jedna z uvedených podmínek a pouze v odpovídajícím rozsahu: subjekt údajů udělil souhlas se zpracováním svých údajů pro jeden či více konkrétních účelů; zpracování je nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů; zpracování je nezbytné pro splnění právní povinnosti, které podléhá správce; zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů; převzato z prezentace dr. Karla Neuwirta

Zákonnost zpracování Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek subjekt údajů udělil souhlas nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů nezbytné pro splnění právní povinnosti správce nezbytné pro ochranu životně důležitých zájmů subjektu údajů nezbytné pro splnění úkolu prováděného ve veřejném zájmu nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany převzato z prezentace dr. Karla Neuwirta

Souhlas subjektu údajů Souhlas je jedním z důvodů legitimního zpracování osobních údajů Souhlas není ani jediným, ani nejdůležitějším důvodem zákonnosti zpracování osobních údajů převzato z prezentace dr. Karla Neuwirta

Zabezpečení zpracování Při posuzování vhodné úrovně bezpečnosti se zohlední rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim převzato z prezentace dr. Karla Neuwirta

Zabezpečení zpracování S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku … převzato z prezentace dr. Karla Neuwirta

Technická a organizační opatření technická - opatření na snížení bezpečnostních rizik pomocí prostředků fyzické a technologické povahy organizační (procesní) - opatření na snížení bezpečnostních rizik pomocí změn procesů a úpravou vnitřních pravidel a dokumentace Povinnost popsat technická a organizační opatření má poskytovatel ZS jako správce (zachování důkazu). Zaměstnanci jsou povinni se těmito opatřeními řídit, musí je dodržovat! převzato z prezentace dr. Karla Neuwirta

Cíl, ne cesta Obecné nařízení říká správcům/zpracovatelům, jakého stavu musí docílit, neříká jakými prostředky. Konkrétní podoba ochrany OÚ je ponechána na jednotlivých správcích/zpracovatelích na základě zhodnocení rizik, vycházejících z konkrétní situace správce/zpracovatele. převzato z prezentace dr. Karla Neuwirta

co by mohlo způsobit zneužití OÚ, Posouzení rizik Systematické zkoumání všech aspektů činností, prováděné s cílem zjistit co by mohlo způsobit zneužití OÚ, zda by ohrožení mohlo být odstraněno a pokud ne, jaká preventivní nebo ochranná opatření existují převzato z prezentace dr. Karla Neuwirta

Právo subjektu údajů na informace a přístup k osobním údajům Právo na opravu Právo být zapomenut a právo na výmaz Právo na omezení zpracování Právo vznést námitku Právo na přenositelnost údajů převzato z prezentace dr. Karla Neuwirta

Rozsah poskytovaných informací GDPR stanoví rozsah poskytovaných informací, které správce poskytne subjektu údajů v okamžiku získání osobních údajů totožnost a kontaktní údaje správce kontaktní údaje na pověřence pro ochranu osobních údajů účely zpracování a právní základ pro zpracování oprávněné zájmy správce (pokud je zpracování na nich založeno) příjemce nebo kategorie příjemců osobních údajů úmysl správce předávat osobní údaje do třetí země a také informace o době uchovávání, o právech s. ú., o právu na odvolání souhlasu (pokud je zpracování založeno na souhlasu), o možnosti podat stížnost k ÚOOÚ, o povinnosti či dobrovolnosti osobní údaje poskytnout, o automatizovaném rozhodování a/nebo profilování převzato z prezentace dr. Karla Neuwirta

Právo na opravu Subjekt údajů má právo požadovat, aby správce opravil nepřesné OÚ, které se jej týkají. Subjekt údajů má právo požadovat, aby byly jeho neúplné osobní údaje doplněny, např. i formou dodatečného (opravného) prohlášení. převzato z prezentace dr. Karla Neuwirta

Právo na výmaz („právo být zapomenut“) S. ú. má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů: osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány; subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování; subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování; osobní údaje byly zpracovány protiprávně; osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje; osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti převzato z prezentace dr. Karla Neuwirta

Právo na přenositelnost údajů S.ú. má právo získat osobní údaje, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu a předat je jinému správci , aniž by tomu původní správce bránil: pokud je zpracování založené na souhlasu nebo na smlouvě, pokud je zpracování prováděno automatizovaně převzato z prezentace dr. Karla Neuwirta