Nakládání s osobními údaji pacientů a zákonných zástupců
Česká republika již dlouhou řadu let právně určuje nakládání s osobními údaji pacientů a jejich zákonných zástupců, ať už jde o běžné údaje, jako je jméno, adresa nebo číslo telefonu, nebo o citlivé údaje, to znamená ve zdravotnictví zejména informace o nemoci a průběhu i výsledcích léčby.
V květnu 2018 vstoupilo v účinnost nařízení EU 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), známé pod zkratkou GDPR. Toto nařízení ukládá povinnosti správcům osobních údajů a přináší některá nová práva subjektům osobních údajů. Kontrola dodržování GDPR je v ČR v rukou Úřadu pro ochranu osobních údajů. V návaznosti na GDPR byl přijat zákon č. 110/2019 Sb., o zpracování osobních údajů, který zrušil dříve platný zákon č. 101/2000 Sb., o ochraně osobních údajů. V oblasti zdravotnictví přináší, jak uvedeno výše, nové povinnosti správcům osobních údajů, jimiž jsou všichni poskytovatelé zdravotních služeb, tj. jak velké nemocnice, tak ambulantní poskytovatelé zdravotních služeb. Dochází také k rozšíření práv pacientů.
Jaké jsou hlavní zásady GDPR a běžně tradované omyly?
Nařízení GDPR ve zdravotnictví doplňuje jiné právní předpisy (např. zákon o zdravotních službách a vyhlášku o zdravotnické dokumentaci) nebo i jiné důležité dokumenty (např. akreditační standardy, kterými zdravotnické zařízení prokazuje kvalitu a bezpečí prováděné péče). GDPR neznamená všeobecné utajování a vymazávání osobních údajů. Neznamená ani to, že na základě GDPR můžete odmítnout poskytnutí některých svých osobních údajů lékaři, že můžete odmítnout nošení identifikačních náramků apod.
Zdravotníci velmi pečlivě váží, které vaše údaje jsou pro prevenci i léčbu potřebné, a je v zájmu každého pacienta je přesně a úplně poskytnout. Poskytnout příslušné údaje pacientovi ukládají české právní předpisy. Zdravotníci jsou školeni, jak s osobními údaji pracovat, a to nejen z hlediska mlčenlivosti, ale i z hlediska délky jejich evidování, z hlediska jejich ochrany v počítačích apod.
GDPR přináší některá nová práva pro pacienty a zákonné zástupce, ale jejich aplikace ve zdravotnictví má s ohledem na speciální právní úpravu v zákoně o zdravotních službách určitá omezení:
- Především máte právo vědět, jaké osobní údaje (ať už získané se souhlasem nebo bez souhlasu subjektu údajů) a jak je poskytovatel zdravotních služeb zpracovává. To se často můžete dozvědět z webových stránek nebo přímým dotazem směřovaným na personál.
- Právo na přístup k osobním údajům.
- Pokud se zjistí chyba nebo neúplnost ve vašich osobních údajích, máte právo na to, aby poskytovatel provedl bez zbytečného odkladu opravu nebo doplnění neúplných osobních údajů. Opravy ve zdravotnické dokumentaci se řídí speciální úpravou v zákoně o zdravotních službách.
- Právo na výmaz nebo jinak řečeno „právo být zapomenut“. Toto právo je ve zdravotnictví z pochopitelných důvodů velmi omezeno, neboť oprávnění zpracovávat osobní údaje, včetně délky doby, po kterou mohou být zpracovány v souvislosti s poskytováním zdravotních služeb nebo pro statistické účely, vyplývá ze zákona o zdravotních službách a z vyhlášky o zdravotnické dokumentaci. Je v zájmu pacienta, aby byla jeho zdravotnická dokumentace kompletní a dalo se z ní vycházet pro další léčbu a řešit pomocí ní i třeba vypořádání domnělých nebo skutečných pochybení personálu.
- Další práva – právo na omezení zpracování, oznamovací povinnost ohledně výmazu nebo opravy, právo na přenositelnost, právo na vznesení námitky, právo, aby subjekt údajů nebyl předmětem automatizovaného rozhodování včetně profilování, právo na podání stížnosti u dozorového úřadu, právo na účinnou soudní ochranu vůči dozorovému úřadu nebo správci, právo být zastoupen neziskovým subjektem, organizací nebo sdružením a právo na náhradu újmy – jsou speciálnější, ale v případě potřeby vás budou zdravotníci nebo pověřenec poskytovatele zdravotních služeb pro ochranu osobních údajů (viz dále) o nich informovat.
U každého poskytovatele zdravotních služeb musí být určena osoba, která za zpracování osobních údajů odpovídá. Ve velkých nemocnicích je ze zákona ustavena i speciální funkce pověřence pro ochranu osobních údajů, který se GDPR profesionálně zabývá a který vám může poskytnout další informace. Kontakt na něj bývá uveden na webových stránkách.
Na webových stránkách Ministerstva zdravotnictví jsou zveřejněny metodiky k implementaci (zavádění) pravidel GDPR [1]. Další výkladová stanoviska lze nalézt na stránkách dozorového úřadu – Úřadu pro ochranu osobních údajů (ÚOOÚ) [2].
Povinná mlčenlivost zdravotnických pracovníků
Každý zdravotnický pracovník je povinen zachovávat mlčenlivost o všech skutečnostech, o kterých se dozvěděl v souvislosti s péčí o vás, o vašem zdravotním stavu, hospitalizaci, diagnóze, prognóze. Už sama skutečnost, že je pacient léčen určitým lékařem či v určitém zdravotnickém zařízení poskytovatele, představuje předmět mlčenlivosti. Zákon umožňuje, aby lékař kromě pacienta informoval o povaze onemocnění a potřebných výkonech též osoby určené pacientem.
Pokud chcete, aby byl o vašem zdravotním stavu informován někdo jiný, musíte k tomu dát písemný souhlas.
Vzor Informovaného souhlasu pacienta s hospitalizací a určení osob, které mohou být informovány o pacientově zdravotním stavu, naleznete v článcích Informovaný souhlas pacienta s hospitalizací a Prohlášení spojené s hospitalizací.
Související odkazy
- Metodika implementace GDPR (odkaz vede na web mzcr.cz)
- Úřad pro ochranu osobních údajů (ÚOOÚ) (odkaz vede na web uoou.cz)