GDPR: Ochrana osobních údajů z pohledu lékaře a pacienta

Diskuze / Úrazy

GDPR: Ochrana osobních údajů z pohledu lékaře a pacienta Zdroj: Profimedia.cz

Elektronizace českého zdravotnictví je velkým tématem už řadu let, z pohledu pacientů se přesto může zdát, že situace dodnes příliš nepokročila. A oprávněně. Získat recept, lékařskou zprávu či konzultovat svůj zdravotní stav s lékařem jinak než osobní návštěvou ordinace je ve většině českých zdravotnických zařízení stále sci-fi.

Přitom poptávka ze strany pacientů je jednoznačná, naprostá většina z nich (viz box) má o elektronický servis a komunikaci s lékařem zájem. Osobní objednávání, osobní vyzvednutí receptu nebo zjišťování výsledků z vyšetření, to všechno totiž zabere spoustu času nejen pacienta, ale i lékaře, a mnohdy skutečně zbytečně.

K čemu je šifrování a proč je běžný e-mail riziko

Pacienti se po právu ptají, proč to, co je už zcela běžnou součástí například bankovních služeb v podobě internetového bankovnictví, není možné u lékaře. Musíme opravdu pro každé předepsání dlouhodobě užívaného léku osobně dorazit do ordinace?

Na obranu lékařů je ale nutné říct, že jejich opatrnost či obavy z elektronického sdílení informací s pacienty jsou mnohdy oprávněné a mají racionální základ. Běžný e-mail či telefon totiž rozhodně nejsou spolehlivé a bezpečné prostředky, kterými by zodpovědný lékař chtěl zprostředkovávat citlivé údaje o zdraví pacientů.

Stejně jako není pacientům příjemné, když je jejich hovor s lékařem často slyšet i přes dveře ordinace, málokdo by asi chtěl, aby jeho zdravotní dokumentace putovala v dnešní době vysokých kybernetických rizik nezabezpečeným e-mailem či aby kdokoli mohl jeho jménem bez jakékoli identifikace získávat informace z ordinace po telefonu.

Češi a elektronizace zdravotnictví
87,4 % lidí by rádo využívalo elektronickou komunikaci s lékaři

  • 96,7 % by se chtělo elektronicky objednávat k lékaři
  • 89,4 % by uvítalo vystavení a zasílání receptů elektronickou cestou
  • 88,9 % by uvítalo přístup k výsledkům vyšetření online
  • Zdroj: průzkum STEM/MARK duben 2017

Tím, co by nakonec mohlo zatím nepříliš rozvinutou elektronizaci českého zdravotnictví rozhýbat, je tak možná trochu paradoxně nové evropské nařízení o ochraně osobních údajů GDPR (General Data Protection Regulation), které od 25.

května 2018 v celé EU zpřísňuje oblast ochrany osobních údajů. Lékařské ordinace, ambulance či nemocnice budou muset nyní s citlivými zdravotními daty pacientů zacházet ještě obezřetněji než dříve.

A co jiného může zajistit větší bezpečnost než dokonale šifrovaná elektronizace dat.

GDPR je tedy pro lékaře i pacienty příležitostí, ne-li nutností, jak vzájemnou žádoucí, jednoduchou a zároveň bezpečnou elektronickou komunikaci realizovat. Lékaři k tomu mohou využít například nástroj CGM LIFE eSERVICES od společnosti CGM.

Jeho prostřednictvím se pacient může elektronicky objednat na vyšetření, získat elektronický recept či lékařskou zprávu nebo také s lékařem na dálku konzultovat zdravotní stav, lékař má zase na jednom místě jasný a rychlý přehled o všem, co se pacienta týká.

To vše přitom v chráněném, šifrovaném prostředí, kde odpadají rizika tradičních forem komunikace.

Zdlouhavým cestám do ordinace a nekonečným prostojům v čekárnách nebo na druhé straně nejisté e-mailové komunikaci mezi lékařem a pacientem by tak snad už v českém zdravotnictví mohl být pomalu konec.

O GDPR ve zdravotnictví čtěte také:

Jaké osobní údaje o nás mají naši lékaři a jak se data chrání

Zašifrovaná komunikace

Ochrana dat u lékaře? Je to špatné

Lékařský software dle požadavků GDPR

GDPR: Ochrana osobních údajů z pohledu lékaře a pacienta

Ochrana osobních údajů podle nařízení GDPR

Na této stránce

Poslední kontrola: 14/09/2020

Ochrana údajů a koronavirus

Nařízení GDPR stanoví podrobné požadavky na shromažďování, ukládání a správu osobních údajů ze strany podniků a organizací. Vztahují se jak na evropské organizace, které zpracovávají osobní údaje fyzických osob v EU (v tomto případě všechny země EU plus Island, Lichtenštejnsko a Norsko), tak na organizace mimo EU, které se zaměřují na osoby žijící v Unii.

V jakých případech se obecné nařízení o ochraně osobních údajů (GDPR) použije?

Nařízení GDPR se použije, pokud:

  • podnik se sídlem v EU zpracovává osobní údaje, a to bez ohledu na to, kde skutečné zpracování údajů probíhá
  • podnik je usazen mimo EU, ale zpracovává osobní údaje v souvislosti s nabídkou zboží a služeb fyzickým osobám žijícím v EU nebo sleduje chování jednotlivců v EU.

Podniky, které nejsou usazeny v EU, ale zpracovávají údaje občanů Unie, musejí jmenovat svého zástupce v EU.

V jakých případech se obecné nařízení o ochraně osobních údajů (GDPR) nepoužije?

Nařízení GDPR se nepoužije, pokud:

  • subjekt údajů je po smrti
  • subjekt údajů je právnická osoba
  • zpracování provádí osoba, která jedná za účelem nesouvisejícím s její živností, podnikáním nebo povoláním.

Co se považuje za osobní údaje?

Osobním údajem je jakákoli informace o identifikované či identifikovatelné osobě neboli subjektu údajů. Osobní údaje zahrnují například tyto informace:

  • jméno a příjmení
  • adresa
  • číslo průkazu totožnosti / cestovního pasu
  • příjmy
  • společensko-kulturní profil
  • adresa IP
  • údaje, které má v držení nemocnice nebo lékař (a které identifikují osobu výhradně pro zdravotní účely).

Zvláštní kategorie údajů

Nesmíte zpracovávat osobní údaje o:

  • rasovém či etnickém původu
  • sexuální orientaci
  • politických názorech
  • náboženském nebo filozofickém přesvědčení
  • členství v odborech
  • genetických údajích, biometrických údajích či údajích o zdravotním stavu kromě specifických případů (např. pokud vám byl udělen výslovný souhlas nebo pokud je zpracování těchto údajů nezbytné z důvodu významného veřejného zájmu na základě práva EU nebo členského státu)
  • osobních údajích týkajících se rozsudků v trestních věcech a trestných činů, není-li to oprávněné podle práva EU nebo členského státu.

Kdo osobní údaje zpracovává?

Osobní údaje mohou při svém zpracování projít různými společnostmi nebo organizacemi. V rámci tohoto cyklu existují dvě hlavní osoby, které se zpracováním osobních údajů zabývají:

  • Správce údajů – rozhoduje o účelu a prostředcích zpracování osobních údajů.
  • Zpracovatel údajů – drží a zpracovává údaje pro správce údajů.

Kdo kontroluje, jak jsou osobní údaje v rámci podniku zpracovávány?

V rámci podniku lze jmenovat pověřence pro ochranu osobních údajů (anglicky Data Protection Officer – DPO), který má na starosti sledování toho, jak se osobní údaje zpracovávají, a který informuje zaměstnance provádějící zpracování osobních údajů o jejich povinnostech a poskytuje jim v této oblasti poradenství. Pověřenec spolupracuje s úřadem pro ochranu údajů (anglicky Data Protection Authority – DPA) a je kontaktní osobou jak pro tento úřad, tak pro fyzické osoby.

Kdy je nutné pověřence pro ochranu osobních údajů jmenovat?

Podnik musí pověřence jmenovat, pokud:

  • provádí pravidelné a systematické monitorování jednotlivců nebo zpracovává zvláštní kategorie údajů
  • toto zpracovávání je jeho hlavní činností
  • zpracovává údaje ve velkém měřítku.

Pokud například zpracováváte osobní údaje, abyste na základě analýzy chování lidí na internetu adresovali přes internetové vyhledávače cílenou reklamu, musí váš podnik mít svého pověřence pro ochranu osobních údajů.

Pokud však pouze svým zákazníkům jednou ročně zasíláte reklamní materiály, pověřence jmenovat nemusíte. Podobně, pokud jako lékař shromažďujete údaje o zdravotním stavu svých pacientů, jmenování pověřence pro ochranu osobních údajů pravděpodobně nebude nutné.

Pokud však zpracováváte osobní údaje o genetice a zdraví pro nemocnici, budete muset pověřence jmenovat.

Pověřencem může být jeden ze zaměstnanců vaší organizace nebo si jej můžete najmout na základě smlouvy o poskytování služeb. Funkci pověřence pro ochranu osobních údajů může vykonávat jednotlivec nebo část organizace.

Zpracování údajů pro jinou společnost

Správce údajů může využít pouze toho zpracovatele údajů, který nabízí dostatečné záruky, jež musí být stanoveny v písemné smlouvě mezi zúčastněnými stranami. Smlouva musí rovněž obsahovat řadu povinných doložek, např. o tom, že zpracovatel údajů může osobní údaje zpracovávat pouze tehdy, je-li mu to uloženo správcem údajů.

Předávání údajů do zemí mimo EU

Jsou-li osobní údaje předány do zemí mimo EU, ochrana těchto údajů stanovená nařízením GDPR platit nepřestává. Konkrétně: pokud vyvážíte údaje do zahraničí, musí váš podnik zajistit dodržení jednoho z následujících opatření:

  • Unie považuje úroveň ochrany údajů v zemi mimo EU za odpovídající.
  • Váš podnik přijme nezbytná opatření, aby poskytl vhodné záruky, např. vložením zvláštních doložek do schválené smlouvy s neevropským dovozcem osobních údajů.
  • Váš podnik převod provádí na základě zvláštních důvodů (odchylek), např. souhlasu dotčené osoby.

Ve kterých případech je povoleno data zpracovávat?

Pravidla EU pro ochranu osobních údajů stanoví, že byste měli údaje zpracovávat korektním a zákonným způsobem, pro určitý a legitimní účel a měli byste zpracovávat pouze údaje nezbytné ke splnění tohoto účelu. Musíte při tom zajistit splnění některé z následujících podmínek zpracování osobních údajů. Tedy, že:

  • vám dotčený jednotlivec dal se zpracováním svých údajů souhlas
  • osobní údaje potřebujete z důvodu splnění smluvní povinnosti, která vás k tomuto jednotlivci váže
  • osobní údaje potřebujete z důvodu splnění právní povinnosti
  • osobní údaje potřebujete z důvodu ochrany životně důležitých zájmů daného jednotlivce
  • osobní údaje zpracováváte za účelem provedení úkolu ve veřejném zájmu
  • jednáte v oprávněném zájmu svého podniku, a to za předpokladu, že nejsou závažně dotčena základní práva a svoboda jednotlivce, jehož údaje zpracováváte. Pokud práva jednotlivce převažují nad zájmy vašeho podniku, osobní údaje zpracovávat nemůžete.

Souhlas se zpracováním údajů

Nařízení GDPR uplatňuje přísná pravidla zpracování údajů založená na souhlasu. Účelem těchto pravidel je zajistit, aby jednotlivci rozuměli tomu, s čím souhlasí.

To znamená, že souhlasu musí předcházet dotaz v jasném a běžně užívaném jazyce a samotný souhlas musí být projevem svobodné, konkrétní, informované a jednoznačné vůle. Souhlas by měl být udělen ve formě jednoznačného potvrzení, např.

zaškrtnutím políčka na internetových stránkách nebo podepsáním formuláře.

Pokud vám někdo dá souhlas se zpracováním svých osobních údajů, můžete tyto údaje zpracovávat pouze pro účely, k nimž byl tento souhlas dán. Rovněž musíte danému jednotlivci umožnit, aby tento souhlas mohl odvolat.

Poskytování transparentních informací

Jednotlivcům musíte poskytnout jednoznačné informace o tom, kdo jejich osobní údaje zpracovává a proč. Minimálně byste měli uvést následující:

  • kdo jste
  • proč osobní údaje zpracováváte
  • na jakém právním základě
  • případně, kdo údaje získá.

V některých případech musí vámi poskytnuté informace obsahovat také:

  • případné kontaktní údaje na pověřence pro ochranu osobních údajů
  • jaký legitimní zájem podnik sleduje, když ke zpracování údajů dochází z právního důvodu
  • opatření, jimiž se řídí předávání údajů do země mimo EU
  • jak dlouho budou údaje uchovávány
  • práva jednotlivce na ochranu údajů (tj. právo na přístup, opravu, výmaz, omezení, vznesení námitky, přenositelnost apod.)
  • možnosti odvolání souhlasu (pokud souhlas představuje právní základ pro zpracování údajů)
  • zda je poskytnutí osobních údajů zákonným či smluvním požadavkem
  • v případě automatizovaného rozhodování, informace o postupu, významu a důsledcích rozhodnutí.

Tyto informace musíte poskytnout jasným a srozumitelným jazykem.

Zvláštní pravidla v případě dětí

Pokud shromažďujete osobní údaje o dítěti na základě jeho souhlasu, například při používání účtu na sociálních médiích nebo účtu pro stahování dat, musíte nejdříve získat souhlas jeho rodičů, např. musíte zaslat oznámení rodičům nebo zákonnému zástupci dítěte. Věk, do kterého se jedinec považuje za dítě, záleží na tom, ve které zemi žije, běžně je to do 13 až 16 let.

Budete mít zájem:  Příznaky Zánětu V Těle?

Právo na přístup k údajům a právo na přenositelnost údajů

Jednotlivcům musíte zajistit právo na bezplatný přístup k jejich osobním údajům. Pokud vás někdo o přístup ke svým údajům požádá, musíte:

  • sdělit mu, zda jeho osobní údaje zpracováváte
  • sdělit mu podrobnosti zpracování (účel zpracování, kategorie dotčených osobních údajů, kdo tyto informace dostává apod.)
  • dát mu kopii zpracovávaných osobních údajů (v dostupném formátu).

Dochází-li ke zpracování údajů na základě souhlasu nebo smlouvy, může vás daný jednotlivec rovněž požádat o to, abyste mu jeho osobní údaje vrátili nebo je předali jiné společnosti. Jedná se tzv. „právo na přenositelnost údajů“. Údaje musíte poskytnout v běžně používaném a strojově čitelném formátu.

Právo na opravu a právo vznést námitku

Pokud se jednotlivec domnívá, že jsou jeho údaje nesprávné, neúplné nebo nepřesné, má právo na provedení jejich opravy nebo jejich doplnění, a to bez zbytečného prodlení.

V tomto případě byste měli upozornit všechny příjemce údajů, že osobní údaje, které s nimi sdílíte, byly změněny nebo vymazány. Pokud byl některý z osobních údajů, které jste sdíleli, nesprávný, budete na to muset upozornit každého, kdo s tímto údajem přišel do styku (ale pouze za předpokladu, že k tomu není zapotřebí nepřiměřené úsilí).

Každý jednotlivec rovněž může kdykoli podat námitku proti zpracování svých osobních údajů pro určité účely, pokud váš podnik tyto údaje zpracovává na základě svého oprávněného zájmu nebo z důvodu provedení úkolu ve veřejném zájmu. Pokud nemáte oprávněný zájem, který by převažoval nad zájmy jednotlivce, musíte zpracování osobních údajů ukončit.

Jednotlivec vás také může požádat, abyste zpracování jeho osobních údajů omezili do té doby, než bude stanoveno, zda vaše oprávněné zájmy převažují nad jeho. V případě přímého marketingu jste však vždy povinni zpracování osobních údajů ukončit, pokud vás o to daná osoba požádá.

Právo na výmaz (tzv. „právo být zapomenut“)

Za určitých okolností může jednotlivec požádat správce údajů o výmaz svých osobních údajů, například pokud již nejsou jeho údaje potřeba pro účely, pro které byly zpracovávány. Váš podnik však není povinen tak učinit, pokud:

  • je zpracování nezbytné pro dodržování svobody projevu a informací
  • musíte osobní údaje uchovávat z důvodu splnění právních povinností
  • k uložení osobních údajů existují jiné důvody veřejného zájmu, např. v oblasti veřejného zdraví nebo pro účely vědeckého a historického výzkumu
  • musíte osobní údaje uchovávat z důvodu stanovení právních nároků.

Automatizované rozhodování a profilování

Jednotlivci mají právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování. Z tohoto pravidla však existují určité výjimky, například pokud dali k automatizovanému rozhodnutí výslovný souhlas. Kromě případů, kdy se automatizované rozhodnutí opírá o právní řád, musí váš podnik:

  • danou osobu o automatizovaném rozhodování informovat
  • dát jednotlivci právo, aby bylo automatizované rozhodnutí prověřeno člověkem
  • dát jednotlivci možnost automatizované rozhodnutí napadnout.

Příklad: Pokud banka automatizuje rozhodnutí, zda určité osobě poskytne půjčku či ne, tato osoba by měla být o automatizovaném rozhodnutí informována a měla by jí být dána možnost rozhodnutí napadnout a požádat o lidský zásah.

Porušení zabezpečení údajů – jak ho správně ohlásit

  • Za porušení zabezpečení údajů se považuje situace, kdy jsou osobní údaje, za které jste odpovědni, náhodně nebo neoprávněným způsobem zpřístupněny neoprávněným příjemcům nebo pokud jsou dočasně nedostupné či došlo k jejich pozměnění.
  • Došlo-li k porušení zabezpečení údajů a ohrožuje to práva a svobody fyzických osob, musíte to ohlásit úřadu pro ochranu údajů do 72 hodin od okamžiku, kdy jste se o porušení zabezpečení dozvěděli.
  • V závislosti na tom, zda porušení zabezpečení údajů představuje pro postižené osoby vysoké riziko či ne, může být váš podnik rovněž povinen informovat všechny postižené.

Povinnost reagovat na žádosti

V případě, že váš podnik obdrží žádost od fyzické osoby, která chce uplatnit svá práva, měli byste na tuto žádost odpovědět bez zbytečného odkladu, každopádně však do 1 měsíce od obdržení žádosti. Je-li žádost komplikovaná nebo obsahuje více částí, může být tato lhůta prodloužena o 2 měsíce za předpokladu, že je o tom žadatel informován. Žádost by měla být vyřízena bezplatně.

Pokud je žádost zamítnuta, musíte žadateli sdělit důvody zamítnutí a informovat ho o jeho právu podat stížnost k úřadu pro ochranu údajů.

Posouzení vlivu

V případě, že by zamýšlené zpracování údajů mohlo představovat vysoké riziko pro práva a svobody jednotlivců, např. při použití nových technologií, musíte provést posouzení vlivu na ochranu osobních údajů.

K takovému vysokému riziku dochází, pokud:

  • k hodnocení jednotlivců jsou využívány mechanismy automatizovaného zpracovávání a profilování
  • jsou rozsáhle monitorovány veřejně přístupné prostory (např. kamerovým systémem CCTV)
  • jsou rozsáhle zpracovávány zvláštní kategorie údajů nebo osobní údaje týkajících se rozsudků v trestních věcech a trestných činů (např. údaje o zdravotním stavu).

Pozn.: Úřad pro ochranu osobních údajů může za vysoké riziko považovat i jiné kategorie zpracování údajů.

Pokud opatření uvedená v posouzení vlivu na ochranu osobních údajů neodstraní všechna zjištěná vysoká rizika, je nutné se před zahájením zamýšleného zpracování údajů poradit s úřadem pro ochranu údajů.

Vedení záznamů

Váš podnik musí být schopen prokázat, že jedná v souladu s nařízením GDPR a plní veškeré příslušné povinnosti. Zejména tak musí učinit na žádost úřadu pro ochranu údajů nebo v případě inspekce ze strany tohoto úřadu.

Jedním ze způsobů, jak to zajistit, je vést podrobné záznamy např. o těchto skutečnostech:

  • název a kontaktní údaje podniku, který je do zpracování údajů zapojen
  • důvody zpracování osobních údajů
  • popis kategorií jednotlivců, kteří své osobní údaje poskytují
  • kategorie organizací, které osobní údaje získávají
  • předávání osobních údajů do jiných zemí nebo jiným organizacím
  • doba uložení osobních údajů
  • popis bezpečnostních opatření používaných při zpracování osobních údajů.

Váš podnik by měl rovněž vypracovat postupy a pokyny v písemné formě, pravidelně je aktualizovat a dohlédnout na to, aby je znali všichni zaměstnanci.

Pokud spadáte do kategorie malých a středních podniků nebo mikropodniků, záznamy o činnostech zpracování vést nemusíte, pokud tyto činnosti:

  • neprovádíte pravidelně
  • nemají vliv na práva nebo svobody dotčených jednotlivců
  • nezahrnují citlivé údaje nebo záznamy z rejstříku trestů.

Záměrná a standardní ochrana osobních údajů

Záměrná ochrana osobních údajů znamená, že váš podnik by měl vzít v úvahu ochranu osobních údajů již v počáteční fázi plánování nového způsobu zpracování osobních údajů.

V souladu s touto zásadou musí správce údajů přijmout všechna nezbytná technická a organizační opatření k zavedení zásad ochrany osobních údajů a k zajištění ochrany práv jednotlivců. Mezi tato opatření patří např.

využití pseudonymizace.

Standardní ochrana osobních údajů znamená, že váš podnik by měl vždy jako výchozí použít to nastavení, které co nejvíce chrání soukromí. Příklad: Pokud existují dvě možná nastavení ochrany soukromí, přičemž jedno z nich brání tomu, aby měla k osobním údajům přístup další osoba, měli byste jako výchozí použít právě toto nastavení.

Porušení pravidel a sankce

Pokud váš podnik nebude dodržovat pravidla stanovená v nařízení GDPR, hrozí mu za porušení předpisů vysoké pokuty až do výše 20 milionů eur nebo 4 % celkového obratu. Úřad pro ochranu údajů může uložit další nápravná opatření, např. zakázat vám zpracovávat osobní údaje.

Ochrana údajů a soukromí na internetu – Časté otázky

Úřad pro ochranu osobních údajů

Úřad pro ochranu osobních údajů dostává řadu dotazů na přesné a detailní nastavení praxe v různých zdravotnických zařízeních i na soulad zdravotnické legislativy s obecným nařízením o ochraně osobních údajů (dále jen „GDPR“). K tomu musí upozornit, že jako kontrolní orgán nemůže, namísto poskytování předběžných konzultací v situacích podle čl.

36 GDPR, plnit základní povinnosti správců a pověřenců při zavádění zpracování a svými vyjádřeními nahrazovat  posuzování dopadů podle čl. 35 GDPR, ani nahrazovat zásadní roli ministerstev a samosprávných organizací (komor), které jsou gestory legislativy, zejména zákona č. 372/2011 Sb.

, o zdravotních službách a podmínkách jejich poskytování (dále jen „zákon o zdravotních službách“), metodiky a správné praxe.

Může zaměstnavatel v době pandemie měřit tělesnou teplotu zaměstnanců a dalších osob při vstupu na pracoviště? Měření tělesné teploty zaměstnanců, případně i dalších osob vstupujících na pracoviště, pomocí termokamer či rámů obsahujících senzor na měření teploty, je určitým a dosud bezprecedentním zásahem do osobní integrity člověka s možným dopadem do osobnostních práv v případě nevpuštění do objektu.

Zákoník práce ukládá zaměstnavateli povinnost vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímáním opatření k předcházení rizikům. Tato povinnost se vztahuje na všechny fyzické osoby, které se s jeho vědomím zdržují na jeho pracovištích.

Režim zpracování osobních údajů a působnost pravidel jejich ochrany nastává, pokud zaměstnavatel hodlá zaznamenávat prováděná měření a dále pracovat s údaji o zvýšené tělesné teplotě ve spojení s dalšími údaji umožňujícími identifikaci osoby, které byla tělesná teplota změřena.Ani v době nouzového stavu, případně v době trvání mimořádných opatření ministerstva zdravotnictví, není zpracování tělesné teploty zaměstnance výslovnou právní povinností, lze ho však s přihlédnutím k nutným hygienickým a protiinfekčním opatřením považovat za oprávněný zájem zaměstnavatele ve smyslu GDPR. To umožňuje zpracování údaje vypovídajícího o zdravotním stavu pro výkon zvláštních práv v oblasti pracovního práva, a napomůže zaměstnavateli dostát svým povinnostem při předcházení ohrožení zdraví ve stávajících výjimečných podmínkách, včetně kontaktování zdravotníků či hygieniků.  Pokud zaměstnavatel na základě zjištění zvýšené teploty následně učiní další opatření a dohodne se zaměstnancem např. výkon práce z domova, jedná se z pohledu pravidel ochrany osobních údajů o oprávněný postup. Nezbytnost měření teploty a zpracování osobních údajů ukládáním zjištěného údaje, byť v minimálním rozsahu, vypovídajícího o zdravotním stavu, však musí správce průběžně posuzovat, z hlediska charakteru pracoviště, počtu a koncentrace zaměstnanců, případně dalších osob přítomných na pracovišti i aktuálního vývoje pandemie. Tedy přinejmenším obdobně jako i v případech bez sběru a dalšího zpracování osobních údajů by tak měl zaměstnavatel postupovat po předběžné konzultaci se zdravotníky ohledně specifik prostor, počtu osob a vhodnosti a účinnosti měření teploty v konkrétních podmínkách.

Závěrem je vhodné zdůraznit, že opatření, která lze v mimořádné situaci považovat za nezbytná, budou po návratu k normálnímu stavu postrádat důvodnost a jejich znovuzavedení by mohlo přicházet v úvahu pouze v případě, že by se taková situace opakovala.

Může ministerstvo zdravotnictví nebo hygienická služba podávat informace o pacientovi, např. o věku pacienta a jeho případných dalších zdravotních komplikacích, případně jeho profesi, když nezveřejní jeho jméno? Jde v takovém případě o anonymní údaje, na které se ochrana osobních údajů nevztahuje? Podmínku dostatečné anonymizace splňuje např. informace o osmdesátiletém muži z Prahy trpícím kromě nákazy i plicními potížemi. Nemusela by ji však splňovat již informace o bydlišti pacienta v malé obci. Je totiž třeba přihlédnout ke všem prostředkům, které mohou být i pro nepřímou identifikaci (např. spojením s informacemi z jiných zdrojů) dané osoby použity.

Riziku nevhodných zásahů do soukromí předcházejí ministerstvo i další orgány ochrany veřejného zdraví zejména tím, že nezveřejňují žádné konkrétnější informace o bydlišti pacientů. Agregované údaje jsou zveřejňovány na úrovni krajů.

Jestliže je zveřejněn věk pacientů, kteří onemocnění podlehli, a zdravotní komplikace s jejich úmrtím spojené, je třeba brát v úvahu, že ochrana osobních údajů se na údaje zemřelých osob nevztahuje. Zveřejněním anonymizovaných údajů nedochází ani k zásahu do soukromí blízkých osob zemřelého, které rovněž nemůže veřejnost takto identifikovat.

Budete mít zájem:  Meningokok a meningokokové infekce ohrožují zejména děti

Má zdravotnické zařízení povinnost ohlašovat případy porušení zabezpečení osobních údajů způsobené napadením informačního systému škodlivým programem či jiným kybernetickým útokem?

Ano, ohlašování je třeba provádět v případech, kdy dojde ke znepřístupnění (ztrátě dostupnosti, zašifrování) osobních údajů pacientů, a to napadením informačního systému škodlivým programem či jiným kybernetickým útokem. Jedná se také o případy dočasného znepřístupnění osobních údajů, kdy jsou tyto následně obnoveny ze zálohy.

Úřadu musí být dle GDPR ohlášeno jakékoli porušení zabezpečení osobních údajů správce. Výjimkou jsou jen případy, kdy je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.

Zdravotnická zařízení zpracovávají zvláštní kategorie osobních údajů ve smyslu GDPR, a to vždy minimálně v rozsahu údajů o zdravotním stavu.

S ohledem na zvláštní režim ochrany, který GDPR těmto údajům přiznává, a s přihlédnutím k dosavadním poznatkům, můžeme konstatovat, že výše uvedená výjimka – možnost neohlásit incident Úřadu – nebude aplikovatelná.

V rámci provozu zdravotnického zařízení totiž nelze předpokládat, že incident s osobními údaji nebude mít za následek riziko pro práva a svobody fyzických osob.

Úřad v této souvislosti připomíná, že ohlášení porušení zabezpečení musí být provedeno pokud možno do 72 hodin od okamžiku, kdy se o něm správce dozvěděl.

Proto též předpokládané následky musí být vyhodnocovány bezprostředně po zjištěném znepřístupnění osobních údajů.

Má GDPR nějaký dopad na povinnosti spojené s předáváním zdravotnické dokumentace jinému lékaři zvolenému pacientem?

GDPR obecně upravuje podmínky pro zpracování tzv. zvláštních kategorií osobních údajů, mezi něž patří také údaje o zdravotním stavu, přičemž předpokládá, že zpracování údajů nezbytných pro účely zdravotní péče upravují zvláštní zákony. Předání zdravotnické dokumentace lékaři zvolenému pacientem je upraveno v zákoně o zdravotních službách. Postup při tomto předání je upraven v § 57 odst. 3 písm. d) zákona o zdravotních službách.  Je třeba, aby se tak stalo na základě písemné žádosti pacienta nebo zvoleného lékaře. 

Je možné, aby zdravotní pojišťovny vyžadovaly detailní zdravotnickou dokumentaci pacienta? 

Zákon o zdravotních službách pro účel výkonu kontroly umožňuje přístup ke zdravotnické dokumentaci revizním lékařům nebo odborným pracovníkům, a to v rozsahu odpovídajícím kontrole. Tento postup v určitých případech může zahrnovat i předávání zdravotnické dokumentace. S dotazem na postup v konkrétním případě je třeba se obrátit na pověřence pojišťovny.

Jsem malý poskytovatel zdravotních služeb s omezenými provozními a prostorovými kapacitami. Mohu uchovávat zdravotnickou dokumentaci pacientů v prostorách, kde se pohybují i další osoby (např. pacienti v čekárně)? 

Ano, s dostatečným zabezpečením. Správce má povinnost technicky a organizačně zabezpečit osobní údaje pacientů.

Správce má povinnost přijmout taková opatření, aby zabránil neoprávněným osobám přistupovat k osobním údajům pacientů a tím zabránil neoprávněnému nahlížení do zdravotnické dokumentace, úpravě, výmazu, zničení, přenosu, odcizení či jinému zneužití osobních údajů obsažených ve zdravotnické dokumentaci.

Má pacient právo na výmaz osobních údajů ze zdravotnické dokumentace?

Nikoliv. Toto právo není absolutní a podle GDPR se neuplatní v případě, že zpracování osobních údajů je nezbytné pro poskytování zdravotní péče či léčby. Poskytovatel zdravotních služeb je povinen řídit se zákonem o zdravotních službách, který mu nařizuje vedení této dokumentace, a vyhláškou č. 98/2012 Sb., která mu ukládá dobu uložení zdravotnické dokumentace.

Po jakou dobu je praktický lékař povinen uchovávat zdravotnickou dokumentaci?

Obecně platí, že správce nemůže uchovávat osobní údaje po dobu delší, než je nezbytně nutná pro konkrétní účel zpracování. Konkrétní doby uchovávání zdravotnické dokumentace nebo jejích částí pro různé poskytovatele stanoví Ministerstvo zdravotnictví vyhláškou. Například v případě uchovávání zdravotnické dokumentace praktickým lékařem se jedná o dobu 10 let od změny registrujícího poskytovatele nebo 10 let od úmrtí pacienta.

Může poskytovatel zdravotní služby předávat údaje ze zdravotnické dokumentace jiným subjektům, například Státnímu ústavu pro kontrolu léčiv (SÚKL) nebo Ústavu zdravotnických informací a statistiky (ÚZIS), který je správcem Národního zdravotnického informačního systému (NZIS)?

Tyto subjekty jsou ze zákona oprávněny vyžadovat údaje podle zvláštních zákonů, které upravují jejich působnost. Ze strany osob povinných hlásit a předávat údaje se jedná o zpracování osobních údajů, které je nezbytné pro plnění právní povinnosti podle GDPR.  Subjekty oprávněné nahlížet do zdravotnické dokumentace bez souhlasu pacienta jsou uvedeny v § 65 odst. 2 zákona o zdravotních službách.

Může Ústav zdravotnických informací a statistiky (ÚZIS) požadovat předávání osobních údajů zaměstnanců poskytovatele zdravotních služeb do Národního registru zdravotnických pracovníků?

ÚZIS má povinnost zpracovávat údaje zdravotnických pracovníků (lékařů) a jiných odborných pracovníků ve zdravotnictví na základě právního důvodu uvedeného v GDPR (jde o plnění právní povinnosti).

Zákon o zdravotních službách stanoví, jaké osobní údaje se zpracovávají v Národním registru zdravotnických pracovníků. ÚZIS je správcem tohoto systému.

Podle zákona o zdravotních službách má poskytovatel zdravotních služeb (nemocnice, samostatný lékař) povinnost předávat údaje do NZIS.

Dodavatel služeb nám nabízí možnost oslovovat naše pacienty automatizovaně a pravidelně s různými reklamními a informačními sděleními. Je to v souladu s GDPR?

Nikoliv. Pacient není pouhý zákazník a zpracování údajů ve zdravotnictví má přesně vymezený rámec stanovený nejen obecně platnými zásadami a přístupy ochrany osobních údajů podle GDPR.

V zásadě lze uvést, že zvláštní zdravotnické předpisy zpracování údajů pacientů pro marketing neumožňují.

V různých případech záleží na lékařích a dalších poskytovatelích zdravotní služby, aby v souladu s lékařskou etikou zvážili, zda a jak je vhodné informovat jednotlivé pacienty.

Omezilo GDPR nějak dosavadní ambulantní praxi? Konkrétně: může sestřička v ambulanci pacienty volat podle příjmení? Může v nemocnici, kde jsou společná lůžka, říkat lékař diagnózu?

Praxe volání pacientů podle příjmení v čekárně není v rozporu s GDPR. Existují však oddělení, jako je venerologická ambulance nebo infekční oddělení, kde existuje riziko diskreditace, tedy spojení jména s choulostivými informacemi.

V těchto případech je nutno zavést postupy vedoucí ke zvýšené ochraně osobních údajů pacientů. Je odpovědností správce, aby pečlivě uvážil vhodný režim pracoviště a jaká technická a organizační opatření přijme a zavede.

V souladu s tím dá přesné pokyny svým zaměstnancům.

Pokud je to možné, personál nemocnice by se měl snažit o co největší soukromí pacienta. Sdělení diagnózy či dalších náležitostí zdravotnické dokumentace je možné. Nelze však doporučit, aby při tom byly přítomny další nepovolané osoby, které nejsou v péči ani zaměstnány u poskytovatele zdravotních služeb, například osoby, jež navštěvují pacienta na vedlejším lůžku.

V běžné praxi je takřka nemožné úplně zamezit přístupu úklidové služby k osobním údajům. Při rozhovoru zdravotnických pracovníků s pacienty může zaměstnanec úklidové firmy zachytit citlivé informace. Postačí mít takovéto případy ošetřeny s úklidovou službou smluvně (zavázat je k mlčenlivosti)?

Podle zákona o zdravotních službách platí povinnost mlčenlivosti též pro další osoby, které v souvislosti se svou činností vykonávanou na základě jiných právních předpisů zjistí informace o zdravotním stavu pacienta nebo informace s tím související. Podle GDPR jakákoliv osoba, která jedná z pověření správce a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce.

Může lék za pacienta vyzvedávat, a tedy seznamovat se s jeho osobními údaji, příbuzný či jiná osoba?

Léčivý přípravek, jehož výdej je vázán na lékařský předpis, může být vydán i jiné osobě, než které je léčivý přípravek předepsán. Výdej léků v lékárně upravuje § 83 zákona č. 378/2007 Sb., o léčivech. Tamtéž lze nalézt i vhodný postup farmaceuta v případě pochybností o věrohodnosti lékařského předpisu nebo osoby, které se lék vydává.

Přináší GDPR nějakou změnu pro provádění klinických hodnocení v ČR?

GDPR výslovně předpokládá, že „zpracování osobních údajů pro vědecké účely by mělo být v souladu i s dalšími  příslušnými právními předpisy upravujícími například klinická hodnocení“. 

Máme povinnost jmenovat pověřence, pokud jsme zdravotnická laboratoř poskytující laboratorní služby v širokém spektru z různých oborů pro praktické i specializované ambulantní lékaře, lůžková oddělení nemocnic a rovněž pro veterinární lékaře? Je nutné, aby laboratoř uzavírala smlouvu o zpracování osobních údajů?

Ano, musí jmenovat pověřence, neboť hlavní činností je každodenní zpracování údajů z vyšetření spolu s dalšími údaji pacientů. K rozsáhlosti zpracování viz pokyny Evropského sboru. Více zde.

Zdravotnická laboratoř je v postavení správce, neboť vykonává samostatnou činnost, a poskytovatel zdravotních služeb rovněž. Zpracovatelskou smlouvu mezi sebou podle GDPR uzavírat nemusejí.

Může poskytovatel zdravotních služeb sdělit informace o zdravotním stavu pacienta cizí osobě? A může předávat informace o zdravotním stavu telefonicky nebo e-mailem?

Sdělování informací o zdravotním stavu pacienta upravuje zákon o zdravotních službách. Pacient nebo jeho zákonný zástupce má možnost jasně a určitě definovat rozsah informací, které může poskytovatel zdravotní péče sdělovat, komu a jakou formou. Pacient nebo jeho zákonný zástupce má právo kdykoliv okruh osob, kterým je sdělována informace o zdravotním stavu, rozšířit nebo omezit.

Při sdělování a zasílání informací elektronickou cestou je vhodné rozlišovat, o jaké informace se jedná.

K méně zásadním částem zdravotnické dokumentace (například rentgenové snímky) by měl mít poskytovatel poznamenáno v kartě pacienta nebo na zvláštním formuláři, jakým způsobem si pacient přeje sdělovat informace.

Zásadnější části zdravotnické dokumentace (například celé lékařské zprávy) by měly být elektronicky přenášeny v zabezpečenější podobě, než je prostý e-mail.

Důležité je vždy pacienta dopředu informovat o možných rizicích, která nezabezpečená elektronická komunikace může způsobit (například nahlédnutí neoprávněnou osobou, ztráta, zničení, neoprávněné zpřístupnění). V této věci je vhodné se obrátit se žádostí o metodický návod s popisem konkrétních situací na Ministerstvo zdravotnictví či na Českou lékařskou komoru.

Musí zdravotnická zařízení (např. praktická a specializovaná) uzavřít smlouvu o zpracování údajů společných pacientů? Je závodní lékař (poskytovatel pracovně lékařských služeb) ve vztahu k zaměstnavateli zpracovatelem osobních údajů?

Nikoliv. Jedná se o vztah správců vykonávajících samostatnou činnost. Skutečnost, že sdílejí pacienty, nezakládá povinnost uzavřít zpracovatelskou smlouvu. Stejně tak GDPR nezakládá povinnost uzavřít smlouvu o zpracování osobních údajů mezi zaměstnavatelem a poskytovatelem pracovně lékařských služeb.

Budete mít zájem:  Léky Až Do Domu?

Soulad s GDPR

  • PROHLÁŠENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ
  • „Ochranu soukromí a osobních údajů pacienta považujeme za prvořadou povinnost.“
  • Vážení klienti,
  • poskytování zdravotnických služeb je významnou měrou závislé na shromažďování a zpracovávání informací vztahujících se na osobní údaje o pacientech/subjektech údajů.
  • Rádi bychom Vás ubezpečili, že všechny související procesy a činnosti ve Vojenské nemocnici Olomouc splňují podmínky kvalitního zabezpečení shromážděných osobních dat.

V naší nemocnici probíhá zpracovávání informací v souladu s platnou legislativou, a to hlavně podle Obecného nařízení EU č. 679/2016, o ochraně osobních údajů, Zákona č. 110/2019 Sb., o zpracování osobních údajů, Zákona č. 372/2011 Sb., o zdravotních službách, Vyhlášky č. 98/2012 Sb., o zdravotnické dokumentaci a dalších zákonných norem s tímto spojených.

Za zajištění plnění povinností uloženými právními předpisy a za vytvoření podmínek pro materiální a personální zajištění v oblasti ochrany informací odpovídá nejenom vrcholné vedení nemocnice, ale každý jednotlivý zaměstnanec naší organizace.

Na základě Obecného nařízení EU č. 679/2016, o ochraně osobních údajů, ředitel Vojenské nemocnice Olomouc jmenoval „pověřence“ pro ochranu osobních údajů.

  1. Pacient má kdykoliv možnost obrátit se na pověřence Vojenské nemocnice Olomouc, který mu zodpoví veškeré dotazy týkající se problematiky osobních údajů.
  2. Žádost o informaci o zpracovávaných osobních údajích, případně uplatnění námitky proti zpracování osobních údajů nebo odvolání uděleného souhlasu či změnu jeho rozsahu lze podat osobně, písemně, elektronicky e-mailem, případně telefonicky po sdělení konkrétních identifikačních údajů.
  3. Kontaktní údaje na pověřence jsou:Pověřenec pro ochranu osobních údajůVojenská nemocnice Olomouc,

Sušilovo náměstí 5, 779 00 Olomouc, tel: +420 973 407 123, mob.: +420 602 249 756, e-mail: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

  • Totožnost a kontaktní údaje „správce“ osobních údajů Vojenské nemocnice OlomoucŘeditelMUDr. Martin SvobodaVojenská nemocnice Olomouc Sušilovo náměstí 5, 779 00 OlomoucV této části Vám představujeme zásady, které objasňují, co děláme proto, abychom zajistili důvěrnost
  • a bezpečnost osobních údajů Vás, našich pacientů a ostatních klientů.
  • Jaké práva má pacient/subjekt údajů?
  • Pacient/subjekt osobních údajů má obecně právo na informace o zpracování a přístup k osobnímúdajům. Pokud se nejedná o údaje zpracovávané na základě plnění právní povinnosti, má dále:
  • 1) právo na opravu, právo na výmaz2) právo na omezení zpracování3) právo na přenositelnost údajů4) právo vznést námitku5) právo být zapomenut6) právo podat stížnost u dozorového úřadu
  • 7) právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování.
  • Jaké osobní údaje nemocnice zpracovávána?
  • A. Základní osobní údaje, které může Vojenská nemocnice Olomouc zpracovávat, i bez souhlasupacienta na základě plnění právní povinnosti jsou:
  • 1) Identifikační údaje pacienta, kterými jsou:a) jméno, popřípadě jména, příjmení pacienta,b) datum narození, rodné číslo, je-li přiděleno, číslo pojištěnce veřejného zdravotního pojištění,není-li tímto číslem rodné číslo pacienta, a kód zdravotní pojišťovny,c) adresa místa trvalého pobytu na území České republiky, jde-li o cizince, místo hlášenéhopobytu na území České republiky, a v případě osoby bez trvalého pobytu na území Českérepubliky adresa bydliště mimo území České republiky,2) pohlaví pacienta,3) jméno, popřípadě jména a příjmení zdravotnického pracovníka nebo jiného odbornéhopracovníka, který provedl zápis do zdravotnické dokumentace,4) datum provedení zápisu do zdravotnické dokumentace, datum a čas poskytnutí neodkladnézdravotní péče nebo vykonání návštěvní služby u pacienta,5) informace o zdravotním stavu pacienta, o průběhu a výsledku poskytovaných zdravotních služeba o dalších významných okolnostech souvisejících se zdravotním stavem pacienta a s postupempři poskytování zdravotních služeb, včetně anamnestických údajů potřebných pro poskytovánízdravotních služeb,6) informace o tom, zda jde o pacienta zbaveného způsobilosti k právním úkonům nebo pacienta somezenou způsobilostí k právním úkonům tak, že není způsobilý posoudit poskytnutí zdravotníchslužeb, popřípadě důsledky jejich poskytnutí,7) u osob vykonávajících činnosti epidemiologicky závažné záznam o druhu vykonávané činnosti.8) pracovní závěry a konečnou diagnózu,9) návrh dalšího léčebného postupu a informace o průběhu léčení, jestliže to zdravotní stavpacienta vyžaduje,10) záznam o rozsahu poskytnutých nebo vyžádaných zdravotních služeb,11) záznam o aktuálním vývoji zdravotního stavu podle hodnocení sděleného pacientema cílený objektivní nález,12) záznam o předepsání léčivých přípravků, potravin pro zvláštní lékařské účely, včetně dávkování apočtu předepsaných balení, nebo zdravotnických prostředků,13) záznam o podání léčivých přípravků nebo potravin pro zvláštní lékařské účely, včetně podanéhomnožství; v případě podání transfuzního přípravku jednoznačné evidenční číslo transfuzníhopřípravku, včetně kódu identifikujícího zařízení transfuzní služby, datum, čas a podpiszdravotnického pracovníka, který transfuzní přípravek podal,14) záznam o vybavení pacienta léčivými přípravky, potravinami pro zvláštní lékařské účely, včetněmnožství, nebo zdravotnickými prostředky,15) záznam o vystavení příkazu ke zdravotnické přepravě, včetně druhu dopravního prostředku,16) záznamy o provedené ošetřovatelské péči, včetně záznamů o poskytnuté nutriční péči a léčebněrehabilitační péči,17) záznam o provedení očkování,18) písemný souhlas pacienta nebo jeho zákonného zástupce s poskytnutím zdravotních služeb,jestliže povinnost písemné formy souhlasu stanoví jiný právní předpis nebo jestliže s ohledem nacharakter zdravotního výkonu byl souhlas v písemné formě poskytovatelem vyžádán,19) záznam o odmítnutí poskytnutí zdravotních služeb,20) záznam o použití omezovacích prostředků vůči pacientovi,21) stejnopisy lékařských posudků,22) záznam o nahlédnutí do zdravotnické dokumentace vedené o pacientovi s uvedením kdy, kým a vjakém rozsahu k nahlédnutí došlo, včetně záznamu o pořízení kopie nebo výpisu ze zdravotnickédokumentace, pokud byly pořízeny,23) záznam o uznání nebo ukončení dočasné pracovní neschopnosti, posuzování zdravotního stavu vdobě jejího trvání, údaje o stanoveném režimu dočasně práce neschopného pojištěnce a jehozměnách, záznam o započetí potřeby ošetřování a jeho délce; záznam o ukončení dočasnépracovní neschopnosti provede poskytovatel, který pacienta vedl v evidenci dočasně práceneschopných občanů před jejím ukončením; jestliže byl pacient v průběhu dočasné pracovníneschopnosti předán do evidence jiného poskytovatele nebo převzat od jiného poskytovatele, jesoučástí zdravotnické dokumentace též záznam o dni jeho předání nebo převzetí,24) záznamy lékaře orgánu nemocenského pojištění související s kontrolou posuzování zdravotníhostavu, dočasné pracovní neschopnosti a potřeby ošetřování,25) záznamy o jiných významných okolnostech souvisejících se zdravotním stavem pacienta, kterébyly zjištěny v souvislosti s poskytováním zdravotních služeb,26) záznam o podezření lékaře ze syndromu týraného, zneužívaného a zanedbávaného dítěte, opřijatých opatřeních a o splnění oznamovací povinnosti v souladu s příslušnými právními
  • předpisy.
  • Součástí zdravotnické dokumentace vedené o pacientovi jsou i:27) výsledky vyšetření ve formě písemných popisů, grafických, audiovizuálních, digitálních nebojiných obdobných záznamů těchto vyšetření, operační protokol, anesteziologický záznam,28) písemné informace o zjištěných skutečnostech o zdravotním stavu pacienta, průběhu a ukončeníjeho léčení nebo doporučení a návrhy na poskytnutí dalších zdravotních služeb, které si předávajíposkytovatelé v rámci zajištění návaznosti zdravotních služeb o pacienta,29) v případě lůžkové péče souhrn informací o průběhu vyšetření a léčby a plán dalšího léčebnéhopostupu, pokud lůžková péče trvá déle než 7 dnů,30) v případě pracovně lékařských služeb údaje o obsahu a podmínkách výkonu práce, k níž jezdravotní stav zaměstnance sledován, a to včetně údajů o zařazení jednotlivých faktorůpracovního prostředí do příslušné kategorie, výsledky biologických expozičních testů, dávkyionizujícího záření a další údaje podstatné pro hodnocení vlivu pracovních podmínek na zdravízaměstnance a dále písemné informace o dosavadním zdravotním stavu nebo o jeho vývojipředané registrujícím poskytovatelem v oboru všeobecné praktické lékařství,31) záznamy o vyšetřovacích, léčebných nebo administrativních výkonech provedených podle jinýchprávních předpisů, včetně záznamů o zdravotním stavu pacienta, a kopie zpráv, informací a údajůpředaných podle těchto jiných právních předpisů,32) záznamy o výskytu závažných nebo neočekávaných nežádoucích příhod v souvislosti sposkytováním zdravotních služeb, s podáním léčivého přípravku, s použitím zdravotnickéhoprostředku, o podání léčivého přípravku v rámci klinického hodnocení nebo použitízdravotnického prostředku v rámci klinického zkoušení,33) záznamy o provádění ověřování nových postupů použitím metody, která dosud nebyla v klinicképraxi na živém člověku zavedena,34) záznam o hlášení infekční nemoci, podezření na infekční nemoc, úmrtí na infekční nemoc nebovylučování původců infekčních onemocnění místně příslušnému orgánu ochrany veřejného
  • zdraví.

B. Osobní údaje, které nemocnice zpracovává se souhlasem pacienta, jsou uváděnyv konkrétním souhlasu se zpracováním osobních údajů, který může pacient nemocnici udělit.

S ohledem na charakter vztahů mezi Vojenskou nemocnicí a pacientem jeposkytnutí osobních údajů zcela dobrovolné a kdykoliv odvolatelné. Zpravidla se jedná o kontaktní

údaje pacienta (telefon, mail) pro potřeby komunikace.

C. Osobní údaje pořízené záznamem kamerového systému bez využití softwarového porovnáníbiometrických charakteristik.

  1. Vojenská nemocnice zpracovává obrazový či zvukový záznam svých prostor z důvodu nezbytnosti proochranu práv a právem chráněných zájmů nemocnice jako správce. Záznam z kamerového systému
  2. zpracováván s vědomým všech osob, které vstupují do objektů Vojenské nemocnice. Informace o
  3. K jakým účelům se údaje zpracovávají?
  4. 1) Zpracování je nezbytné pro účely preventivního lékařství, posouzení pracovní schopnosti zaměstnance, veřejného zájmu v oblasti veřejného zdraví,2) zpracování je nezbytné pro splnění jiné právní (zákonné) povinnosti, která se na nemocnici vztahuje,3) pacient udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů,4) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je osoba poskytující údaje,5) zpracování je nezbytné pro ochranu životně důležitých zájmů osoby/subjektu údajů nebo jiné fyzické osoby,
  5. 6) zpracování je nezbytné pro účely oprávněných zájmů Vojenské nemocnice.
  6. Jakým způsobem nemocnice osobní údaje chrání?
  7. Osobní údaje jsou pod stálou fyzickou, elektronickou i procedurální kontrolou a nemocnice disponuje moderními kontrolními, technickými a bezpečnostními mechanismy zajišťujícími maximální možnou ochranu zpracovávaných údajů před neoprávněným přístupem nebo přenosem, před jejich ztrátou nebo zničením, jakož i před jiným možným zneužitím.
  8. Veškeré osoby, které s osobními údaji klientů přicházejí do styku v rámci plnění svých pracovních či smluvně převzatých povinností, jsou školeny a vázány zákonnou nebo smluvní povinností mlčenlivosti.
  9. Komu údaje poskytujeme?

sledování prostoru kamerovým systémem je umístěna na vstupu do dotčených budov v rozsahuinformační tabulky, která obsahuje sdělení, že prostor je monitorován kamerovým systémem,piktogram/ obrázek kamery, označení správce zpracování, odkaz na osobu, u které je možné získat okamerovém systému další informace. Doba uchovávání záznamů pro naplnění účelu provozováníkamerového systému je 72 hodin.

1) Dalším subjektům v rámci plnění zákonných povinností stanovených zvláštními předpisy (např. Zákona č. 372/2011 Sb., o zdravotních službách) – jde zejména o orgány zdravotní služby apod.

,2) do nemocniční informační sítě,3) dalším subjektům, pokud je to nezbytné pro ochranu práv nemocnice, např.

pojišťovnám, soudům, soudním exekutorům, dražebníkům; rozsah poskytnutých osobních údajů je omezen na údaje nezbytné pro úspěšné uplatnění nároku,4) se souhlasem klienta nebo na jeho příkaz mohou být osobní údaje poskytnuty i dalším subjektům.

5) Vojenská nemocnice Olomouc standardně neposkytuje informace do třetích zemí.

Jak Vojenská nemocnice Olomouc informuje o zásadách a pravidlech zpracování osobních údajů a jejich ochraně?

1) tyto zásady jsou veřejně přístupné na internetových stránkách nemocnice https://www.vnol.cz/index.php/cs/informace/soulad-s-gdpr ,2) s pravidly zpracování osobních údajů a jejich ochrany je pacient/subjekt údajů seznámen při poskytnutí služby; v této souvislosti je osoba také požádána, aby se vyjádřila k případnému navrženému souhlasu se zpracováním osobních údajů.

Diskuze

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Adblock
detector