dnes je 3.12.2021

Input:

Ochrana osobních údajů

28.4.2021, , Zdroj: Verlag Dashöfer

9
Ochrana osobních údajů

JUDr. Magda Václavíková, Mgr. David Zahumenský, JUDr. Ondřej Dostál, PhD., LL.M.

I. Problematika ochrany osobních údajů

Právo na ochranu osobních údajů je jedním ze základních lidských práv a tedy i jedním z nejdůležitějších práv pacienta. Toto právo souvisí s obecnějším právem, a sice právem na ochranu soukromí. Údaje o zdravotním stavu jsou považovány za zvláště citlivé, požívají proto vysoké právní ochrany.

V kontextu zdravotnických předpisů souvisí ochrana osobních údajů jednak s ustanovením čl. 10 Úmluvy o lidských právech a biomedicíně chránícím soukromí a současně garantujícím pacientovi přístup k informacím o jeho zdravotním stavu, jednak s právní úpravou zdravotnické mlčenlivosti obsažené v zákoně o zdravotních službách a etických kodexech, v neposlední řadě pak s právní úpravou zdravotnické dokumentace, které jsme se podrobněji věnovali v přechozí kapitole.

Platná právní úprava

Právo na ochranu osobních údajů je upraveno právními předpisy různé právní síly, od mezinárodních smluv až po podzákonné předpisy. Jde o tytéž předpisy, které jsme citovali na úvod minulé kapitoly, tedy zejména:

  • Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů – GDPR),

  • zákon č. 110/2019 Sb., o zpracování osobních údajů (dále „ZZOÚ”),

  • Úmluva o lidských právech a biomedicíně, č. 96/2001 Sb. m. s.,

  • zákon č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zejména § 51 a násl.) (dále „ZZS”),

  • dále Listina základních práv a svobod, zákon č. 89/2012 Sb., občanský zákoník (dále „NOZ”), trestní zákoník (dále „TZ”) a další předpisy.

II. Co je osobní údaj?

GDPR definuje osobní údaj jako údaj týkající se určeného (identifikovaného) nebo určitelného (identifikovatelného) subjektu údajů (fyzické osoby). Subjekt údajů se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu. O osobní údaj se nejedná, pokud je třeba ke zjištění údajů prokazujících identitu subjektu nepřiměřené množství času, úsilí či materiálních prostředků.

Více se o GDPR dozvíte v samostatné kapitole.

Poznámka:

Porušením předpisů o ochraně osobních údajů by mohlo být i takové sdělení informací o zdravotním stavu, kdy zdravotnický pracovník přímo nezmíní jméno pacienta a jeho osobní údaje, sdělí však tolik informací, že je možné vydedukovat totožnost pacienta.

Dojde-li například k nehodě v malé obci, o které anonymně referují média, a lékaři se též anonymně médiím vyjádří k povaze zranění, jejich původu a další prognóze, tyto citlivé medicínské informace si může ve zmíněné malé obci každý snadno spojit se jménem oběti, jejíž identita je mezi sousedy samozřejmě známa. I takový postup je porušením práva na ochranu soukromí pacienta.

Pro ochranu osobních údajů ve zdravotnictví je podstatná definice údaje o zdravotním stavu. Údajem o zdravotním stavu je osobní údaj týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu. Tyto údaje patří mezi zvláštní kategorii osobních údajů, jimž je poskytována zvýšená ochrana; dříve tato skupina osobních údajů byla označována jako citlivé osobní údaje. Kromě údajů o zdravotním stavu sem patří dále osobní údaje, které vypovídají o:

  • rasovém nebo etnickém původu,

  • politických názorech, náboženském vyznání nebo filosofickém přesvědčení nebo členství v odborové organizaci,

  • genetický údaj, biometrický údaj zpracovaný za účelem jedinečné identifikace fyzické osoby,

  • sexuálním chování, sexuální orientaci,

  • údaj týkající se rozsudků v trestních věcech a trestných činů nebo souvisejících bezpečnostních opatření.

Osobní údaje ve zdravotnické dokumentaci

Poskytovatel zdravotních služeb, který vede zdravotnickou dokumentaci, vystupuje podle GDPR jako správce a zpracovatel osobních údajů. Je proto povinností v souvislosti s tím přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití.

Informace obsažené ve zdravotnické dokumentaci je třeba považovat za osobní údaje (a většinu z nich i spadající do zvláštní kategorie osobních údajů), je proto třeba náležitě zabezpečit jejich ochranu před jakýmkoliv neoprávněným přístupem.

Poznámka:

Za nedostatek při zabezpečení ochrany zdravotnických dat je možno považovat situaci, kdy má samostatně činný lékař tyto informace uložené ve svém osobním počítači a tento počítač je připojen do domácí bezdrátové sítě, aniž by byla síť chráněna proti přístupu zvenčí a aniž by bylo znemožněno sdílení dat v připojených počítačích.

Aby bylo zpracování zákonné, musí být založeno na jednom z následujících důvodů:

  • souhlas (subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů),

  • smlouva (zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů),

  • splnění právní povinnosti, která se na správce vztahuje,

  • ochrana životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,

  • splnění úkolu prováděného ve veřejném zájmu při výkonu veřejné moci, kterým je správce pověřen,

  • oprávněný zájem správce či třetí strany (zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě).

Zákonná povinnost vést zdravotnickou dokumentaci (viz výše uvedený právní důvod zpracování osobních údajů – splnění právní povinnosti, která se na správce vztahuje) je obsažena např. v § 53 a násl. ZZS. Osobní údaje ohledně pacienta v Národním zdravotnickém informačním systému se rovněž předávají nikoli se souhlasem pacienta, ale na základě zákona (§ 70 odst. 2 písm. a) ZZS).

III. Lékařské tajemství a povinnost mlčenlivosti

Zdravotníci, podobně jako příslušníci některých dalších profesí (advokáti, duchovní), mají zákonem uloženou povinnost mlčenlivosti. Tato povinnost chrání důvěrnost vztahu mezi zdravotníkem a pacientem.

Povinnost mlčenlivosti tak umožňuje, aby se pacient lékaři bez obav svěřil i s takovými skutečnostmi, na které není příliš pyšný, nebo které by dokonce mohly naznačovat spáchání trestného činu.

Pokud by povinnost mlčenlivosti zdravotníka neexistovala a pacient se nemohl spolehnout na zachování důvěrnosti sdělených údajů, léčebné postupy, zejména určení správné diagnózy, by se v mnoha případech značně ztížily.

Právní garance zachování lékařského tajemství je tak současně povinností a současně privilegiem – zdravotnická mlčenlivost může být podle zákona prolomena jen ve výjimečných případech, kdy zájem společnosti výrazně převyšuje zájem na zachování důvěry ve vztahu lékař-pacient, zejména při předcházení nejzávažnější trestné činnosti. V ostatních případech lékař nesmí a současně státními orgány nemůže být nucen bez souhlasu pacienta cokoliv prozradit.

Zákon o zdravotních službách a podmínkách jejich poskytování stanoví v § 51 odst. 1, že „poskytovatel je povinen zachovávat mlčenlivost o všech skutečnostech, o kterých se dozvěděl v souvislosti s poskytováním zdravotních služeb”. Dále popisujeme nejvýznamnější výjimky z tohoto pravidla.

První a patrně nejběžnější, byť zdánlivě samozřejmou výjimkou, je souhlas s prolomením mlčenlivosti od pacienta samotného. Povinnost mlčenlivosti je stanovena zejména ve prospěch ochrany zájmů pacienta, pacient tedy tímto právem zásadně disponuje a může kdykoliv povolit, aby byly informace týkající se jeho zdraví sdělovány.

Poznámka:

Může jít například o svolení, aby informace o pacientově onemocnění sděloval lékař též jeho rodinným příslušníkům, aby zprávu o zdravotním stavu pacienta poskytovatel zaslal zaměstnavateli nebo komerční pojišťovně, aby výsledky jeho léčby včetně uvedení jména, věku či jiných okolností lékař publikoval jako vědeckou kazuistiku atd.

Je jen třeba vždy trvat na tom, aby takové svolení splňovalo všechny právní podmínky, tedy především aby je učinil svéprávný pacient svobodně, vážně, bez nátlaku, ideálně v podobě písemného záznamu založeného ve zdravotnické dokumentaci.

Lékař musí též důsledně respektovat meze takového svolení – tedy poskytnout pouze pacientem vymezený okruh informací pacientem konkrétně označeným osobám. Jen tak je možno předejít případné odpovědnosti za porušení povinnosti mlčenlivosti.

V rámci akreditace poskytovatelů zdravotnických služeb se zpravidla pamatuje na přípravu formulářů „souhlasu s hospitalizací”, v nichž pacient obvykle vymezuje, kterým osobám se smějí podávat informace.

V této souvislosti je třeba

Nahrávám...
Nahrávám...