Období příprav na evropské nařízení GDPR skončilo, ode dneška je třeba chránit osobní údaje podle nových pravidel. Jak už jsme opakovaně informovali, zdravotnická zařízení, která řádně dodržovala zákon o ochraně osobních údajů, by s novinkou neměla mít zásadní problém. Dobrou zprávou je také to, že Úřad pro ochranu osobních údajů neplánuje žádné zvláštní kontroly a rozdávání pokut (problematice jsme se věnovali například zde, zde, zde či zde). Některá opatření ovšem ještě čekají na doladění v českém právním řádu – zákon o zpracování osobních údajů a s ním související změny další legislativy totiž ještě musí schválit parlament. Ve středu jim přitom dal svůj souhlas sněmovní zdravotnický výbor, který zároveň odkývl dva pozměňovací návrhy předložené Jiřím Běhounkem (ČSSD).
Ministerstvo zdravotnictví během posledního roku opakovaně zdůrazňovalo, že pro ty, kdo dodržovali zákon o ochraně osobních údajů, není poplach na místě. Náměstek pro legislativu pak znovu podtrhl umírněný výklad GDPR na předposledním zasedání zdravotnického výboru, které proběhlo před dvěma týdny. „Vnímáme, že se s GDPR vyrojila spousta subjektů, které se snaží vydělat na poradenství. Často je ale jejich výklad neadekvátně přísný. Od začátku diskutujeme výklad ve vztahu ke zdravotnictví s jediným klíčovým ústavem v rámci ČR, který je pro to adekvátní, tedy s Úřadem na ochranu osobních údajů, a jeho postoj takový není,“ zdůraznil Policar při projednávání vládního návrhu zákona o zpracování osobních údajů.
Projednávaný zákon se ale zdravotnictví dotkne spíše okrajově. Dopad bude podle náměstka mít zejména prvních 15 paragrafů a pak některá závěrečná ustanovení. „Reálných pravidel pro zdravotnictví je v této oblasti relativně málo. Slyšíme-li někdy výtky, které jsou na jednu stranu oprávněné, že ministerstvo vnitra předložilo návrh zákona relativně pozdě, takže se nestihne do termínu, tak na druhou stranu je reálný dopad doplňkových změn k GDPR, které přijdou později, minimální. Nemůžeme tedy říkat, že kvůli tomu, že zákon není přijat, nelze dle GDPR postupovat,“ konstatuje Policar. Odhaduje přitom, že zákony po projednání v šesti výborech půjdou do druhého a třetího čtení během června a července, ve sbírce zákonů tak úprava nevyjde dříve než v září.
Výzkum zvláštním zákonem řešit nebudeme
Vzhledem k tomu, že řada dotazů ze strany lékařů a managementů nemocnic směřuje do oblasti souhlasů, připomíná náměstek, že ve zdravotnictví je naprostá většina zpracování osobních údajů na základě zákonné povinnosti (jde zejména o zdravotnickou dokumentaci a spisy zaměstnanců), takže nejsou žádné nové souhlasy od pacientů na místě. „Pokud probíhaly aktivity, které nejsou vyloženě ze zákona, jako je výzkum, pak souhlas člověka s účastí a zároveň zpracováním osobních údajů je realitou již dnes. Stávající směrnice, kterou transponoval zákon o ochraně osobních údajů z roku 2000, a GDPR jsou v tomto směru totéž,“ uvádí Radek Policar.
[mn_protected]
Mohlo by vás zajímat
Právě výzkum, který je spolu s archivnictvím jednou z výjimek uvedených v GDPR, se přitom stal jedním z témat, které poslanci řešili na zasedání zdravotnického výboru. „Slováci si udělali vlastní zákon na ochranu údajů ve výzkumu, Němci také. Je tedy otázka, jestli to potřebujeme či ne. Například pacient, který by byl v klinické studii a byl to šťoural, by si mohl vyžádat svou dokumentaci v takovém rozsahu, že by to enormně byrokraticky zatížilo personál. Jde mi tedy o to, aby naši pacienti byli chráněni stejně jako pacienti v Německu a na Slovensku. Je to v původní směrnici, ale ne v samotném tisku,“ říká Rostislav Vyzula (Ano).
Podle Policara ovšem slovenské řešení není optimální – zatěžuje totiž výzkumníka do té míry, že může potřebovat pomoc advokátní kanceláře. „Přijde mi to jako alibismus, podobně jako německé ustanovení, které ale opisuje to, co máme v článku 89 samotného GDPR. Proto nejsem stoupenec a přijde mi, že stávající výjimky, jak jsou zavedeny v GDPR, jsou vhodnější, než to komplikovat takovýmto ustanovením,“ reaguje Policar. Právo na informace, které jsou o subjektu zpracovávány, je přitom už dnes v Česku zakotveno v zákoně 101/2000.
Co se pak týče klinických studií, zajímala poslance také otázka spolupráce se zeměmi mimo EU, kde GDPR neplatí, jako jsou USA či Japonsko. Eurokomisařka Věra Jourová už přitom vyjednává podmínky spolupráce tak, aby se garantovala ochrana. „Pokud by se ukázalo, a v minulosti už to tak v USA s jednou aférou bylo, že ochrana není zabezpečena, pak musí jít o zabezpečení formou konkrétní smlouvy a konkrétního subjektu, který je prověřován. Je to trochu složitý proces, ale je to logické. Nemůže se stát, že si člověk myslí, že je v EU, tak je mu zajištěna ochrana, a pak jsou data předána jinam, takže z ochrany vypadne. Pravidla o předávání do třetích států už ale byla podle dnešní směrnice inkorporovaná v zákoně o ochraně osobních údajů. Právníci z fakultních nemocnic, kteří mají na starosti klinické studie, to dělají,“ vysvětluje Policar. To potvrzuje i ředitel Nemocnice U sv. Anny Martin Pavlík, podle něhož všechny smlouvy ICRC s Mayo Clinic splňují pravidla GDPR a dopad tak je nulový. „Pro nás ale bude nařízení znamenat nutnost zamyslet se, v jaké formě vést tzv. molecular oncology tumor boardy, kdy diskutujeme o pacientech s Vídní či Bostonem,“ dodává Pavlík.
Výbor řekl ano národnímu kontaktnímu místu a úpravě NZIS
Vraťme se ale k návrhu zákona, který je ve sněmovně. Ten například upřesňuje ustanovení GDPR, že je třeba předat lidem poskytujícím osobní údaje informace o tom, proč se data zpracovávají a co se s nimi dělá. Pokud jde přitom o zákonnou povinnost, udává návrh zákona, že je možné dát tyto informace na webové stránky – není tedy nutno poskytovat je zvlášť každému pacientovi. GDPR pak také některým subjektům stanovuje povinnost pořídit si pověřence. „U nemocnic nebo středně velkých subjektů vypadá diskuse tak, že se bude akceptovat kategorie zdravotnický subjekt od deseti lékařů výše. Tam bude potřeba pověřenec,“ dodává Policar.
Vedle samotného návrhu zákona o zpracování osobních údajů ale zdravotnický výbor projednával také změnový zákon s tím související, přičemž má dojít k úpravám celkem 36 zákonů. K němu také byly podány dva pozměňovací návrhy, které upravují zákon o zdravotních službách. Jedná se o zahrnutí národního informačního zdravotnického systému a vytvoření národního kontaktního místa.
„Našly se oblasti, které by bylo dobré upravit v zákoně o zdravotních službách v návaznosti na GDPR, ale také na aktivitu, která vyplývá z evropské směrnice o přeshraničním poskytování zdravotní péče z roku 2011. Ta počítá s tím, že státy vytvoří síť výměny elektronické zdravotnické dokumentace tak, aby byla bezpečná. Pan hejtman Běhounek dostal letos Cenu Velkého bratra za loňskou novelu, která zavádí národní kontaktní bod pro elektronické zdravotnictví. Považuji to za velké nepochopení a nespravedlnost, neboť cílem ustanovení je zavést bezpečnou výměnu. V rámci EU každý členský stát zavede národní kontaktní místo pro elektronické zdravotnictví, které ví, kdo je ve státě poskytovatelem zdravotní péče a zdravotnickým pracovníkem. Klasický banální příklad říká, že když budete lyžovat v Alpách, zlomíte si nohu a budete potřebovat, aby se lékař v dané zemi dostal ke klíčovým informacím o alergiích a podobně, tak by dnes v nějakém jazyce někam volal a v druhém státě by mu asi úplně nevěřili. Národní kontaktní místo, jehož správcem bude od 1. 7. ministerstvo zdravotnictví, má zajišťovat, že v obou státech spolu budou komunikovat dvě národní kontaktní místa. Tím, že komunikace půjde jen přes ně, zajistíme bezpečnost – budou spolu komunikovat jen ti správní a oprávnění,“ vysvětluje náměstek Policar. Kraj Vysočina už přitom má ve spolupráci s ministerstvem zdravotnictví pilotní projekt, který takovou komunikaci ověřuje.
Pozměňovací návrh také přináší tzv. pacientský souhrn, což je základní vymezení údajů ze zdravotnické dokumentace, které by mohly být předávány. Evropská směrnice totiž počítá s tím, že si členské státy vymezí minimální rozsah předávaných údajů.
„Zapojena je celá Evropa a my už jsme hodně daleko. V případě, že by se nám nepodařilo tyto dvě části do zákonů dát, hrozí, že to všechno spadne, protože se na nás řídící orgány v Bruselu příliš nebudou ohlížet,“ dodává předkladatel pozměňovacích návrhů Jiří Běhounek.
Druhý pozměňovací návrh se týká ÚZIS, respektive úprav činností jednotlivých národních zdravotních registrů a dalších informací, které se sbíhají v národním zdravotním informačním systému, jako jsou listy o prohlídce zemřelého. Dnes jsou totiž ve vyhlášce stanovené povinné doby uchovávání dokumentace, kterou je poté třeba zlikvidovat – a určujícím datem může být úmrtí pacienta, o němž ale poskytovatel, například nemocnice nebo ambulantní specialista, vůbec nemusí vědět. Výsledkem je, že uchovává dokumentaci déle, než by měl.
„Jedna z věcí, která je navrhována, je, že se poskytovatel může obrátit na ÚZIS, dát mu přehled svých pacientů, a ÚZIS relativně jednoduchou elektronickou operací poskytovateli ukáže, který pacient zemřel a kdy, díky čemuž je možné dokumentaci skartovat. Vedle toho je v návrhu několik dalších souvisejících záležitostí v jednotlivých národních registrech,“ přibližuje Radek Policar.
Oba pozměňovací návrhy spolu s návrhy zákonů nakonec zdravotnický výbor schválil tuto středu.
Není důvod bát se kontrol, vzkazuje ÚOOÚ
Ať už v tuto chvíli, nebo v době, kdy začne platit zákon o zpracování osobních údajů, se každopádně zařízení, která přípravu nepodcenila, nemusí ničeho obávat. Jak už bylo zmíněno, Úřad pro ochranu osobních údajů zastává umírněný výklad nařízení a navíc se nechystá k žádným zvláštním kontrolám.
„Pozitivní je, že úřad sice má právo ukládat pokuty, na druhou stranu má ale také právo uložit opatření k odstranění zjištění a stanovit lhůtu k odstranění. Za určitých podmínek by to mohlo stačit k tomu, aby následně nebyla uložena pokuta,“ řekl na konferenci Zdravotnictví a právo, která se konala minulý týden v Motole, Radek Policar.
„Kontroly se spouštět nebudou,“ dodala Miroslava Matoušová, vrchní rada pro vládní agendy Úřadu pro ochranu osobních údajů. „V nejbližší době, řekněme do konce letošního roku, by úřad z vlastního rozhodnutí zahajoval kontrolu v případě dvou situací. Jednou je, že bude identifikován významný podnět na evropské úrovni v rámci Evropského sboru pro ochranu osobních údajů, který tvoří zástupci všech členských států plus tří států, které mají s EU podepsánu asociační dohodu. Takový krok by se mohl týkat eHealth. Druhý případ by se mohl týkat revoluční či nerevoluční legislativní iniciativy a nového právního předpisu, který by byl přijat. Řeší se to cestou, že se podávají žaloby na zákon k soudu a stížnosti k Úřadu pro ochranu osobních údajů,“ přiblížila Matoušková.
ÚOOÚ přitom provádí kontroly buď na základě důvodné stížnosti, anebo podle plánu kontrol (z výroční zprávy za rok 2017 pak vyplývá, že úřad provedl dohromady 96 kontrol). Pokud by ÚOOÚ prováděl kontrolu v nemocnici v reakci na stížnost, zaměřil by se na to, proti čemu směřuje podání. Jen pokud by při kontrole náhodou narazil na jiný problém, kontrolující by předmět kontroly rozšířil. V případě systémových kontrol se kontrolují všechny relevantní povinnosti.
„Kontroly úřadu nejsou trestná výprava a neděláme ani forenzní audit. Zjišťuje se soulad se zákony a plněním povinností. Platí také, že drobné vady v plnění povinností se posuzují jako drobné vady – má-li nemocnice nastaven celý postup, jak vyřizuje stížnosti, ale vloudí se tam jedna chyba, je to zcela něco jiného, než když postup není stanoven a všechno je špatně. Podle nových právních předpisů platí, že je do zákona zabudován princip oportunity a úřad může podle posouzení zvážit, že vezme na vědomí sebeochranný postup škůdce, nebo k nápravě uloží součinnost, aby nedošlo k porušení něčeho zásadního, a ani se nepokračuje v řízení. Nevidím tedy důvod, proč se obávat kontrol,“ uzavřela Miroslava Matoušková.
Michaela Koubová
[/mn_protected]