3.3.3
Změny v oblasti ochrany osobních údajů v důsledku GDPR a jejich dopad ve zdravotnictví
JUDr. Magda Vavrušková
NahoruSoučasná právní úprava
Obecná úprava ochrany osobních údajů je v současné době obsažena v zákoně č. 101/2000 Sb., o ochraně osobních údajů a změně některých zákonů, ve znění pozdějších předpisů. V oblasti zdravotnictví se navíc uplatní zákon č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách), ve znění pozdějších předpisů, včetně podzákonných právních předpisů vydaných k jeho provedení (zejména vyhlášky č. 98/2012 Sb., o zdravotnické dokumentaci, ve znění pozdějších předpisů). Určitá pravidla týkající se záznamů o péči o zdraví obsahuje rovněž zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (§ 2647 až § 2650).
Na úrovni Evropské unie se problematikou ochrany osobních údajů dosud zabývala směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Protože se jedná o směrnici, pravidla v ní obsažená nebyla přímo vynutitelná v členských státech a konkrétní úprava byla ponechána na zákonodárcích jednotlivých zemí, kteří pravidla obsažená ve směrnici implementovali do vnitrostátní legislativy a různým způsobem dotvářeli. V důsledku toho se současná úprava v rámci Evropské unie může stát od státu odlišovat.
NahoruObecné nařízení o ochraně osobních údajů
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, zkráceně označované jako "Obecné nařízení o ochraně osobních údajů" nebo též anglickou zkratkou "GDPR" (General Data Protection Regulation) (dále jen "Nařízení"), vstoupí v účinnost 25. května 2018 a z větší části nahradí český zákon o ochraně osobních údajů, který v novelizované podobě bude upravovat jen fungování Úřadu pro ochranu osobních údajů (ÚOOÚ) a některé podrobnosti ochrany osobních údajů, jejichž úpravu Nařízení i nadále ponechává na vnitrostátních zákonodárcích.
Nařízení je právním předpisem přímo použitelným ve všech členských státech Evropské unie, napříště tedy bude úprava v této oblasti jednotná na území celé Evropské unie a práva a povinnosti budou plynout přímo z tohoto Nařízení, nikoliv již prostřednictvím prováděcího zákona. Mimo země Evropské unie bude Nařízení aplikovatelné též v Norsku, Lichtenštejnsku a na Islandu.
Kromě snahy o sjednocení právní úpravy je důvodem přijetí Nařízení snaha reagovat na technologický vývoj posledních let v oblasti shromažďování osobních údajů a jejich automatizovaného zpracovávání.
Nařízení je nyní již platné, ale dosud nevstoupilo v účinnost a v současné době běží dvouleté období, během kterého by se správci a zpracovatelé osobních údajů měli s novými pravidly seznámit a zavést je do praxe. Po nabytí účinnosti bude mít úprava obsažená v Nařízení aplikační přednost před českými právními předpisy, tedy pokud se by český právní předpis odchyloval od Nařízení, použije se úprava uvedená v Nařízení.
NahoruZákladní pojmy ochrany osobních údajů
Pro uchopení pravidel v oblasti ochrany osobních údajů je nutné seznámit se s některými pojmy, které se v této oblasti používají.
Osobním údajem je jakákoliv informace, která se týká fyzické osoby a umožňuje tuto osobu identifikovat. Typicky se jedná o jméno a příjmení, datum narození, rodné číslo, adresu bydliště nebo e-mailovou adresu apod. Zvláštní kategorií osobních údajů jsou citlivé osobní údaje, mezi které patří údaje o zdravotním stavu, o rasovém nebo etnickém původu, náboženství nebo trestních záznamech a také biometrické údaje (otisk prstu, snímek oční duhovky apod.). Údajem o zdravotním stavu jsou jak údaje o tělesném a duševním zdraví fyzické osoby, tak údaje o zdravotních službách, které jí byly poskytnuty, pokud vypovídají o jejím zdravotním stavu.
Za subjekt osobních údajů je považována fyzická osoba, ke které se osobní údaje vztahují. Pravidla ochrany osobních údajů se tedy nevztahují na údaje týkající se právnických osob.
Každá osoba, která určuje účel a prostředky zpracování osobních údajů, provádí zpracování osobních údajů a odpovídá za něj, se považuje za správce osobních údajů. Jednoduše řečeno jde zpravidla o osobu, která osobní údaje získává od subjektů osobních údajů.
Zpracováním osobních údajů může správce pověřit tzv. zpracovatele osobních údajů, popř. může zpracovatel vykonávat zpracování osobních údajů na základě zákona. Správce a zpracovatel jsou hlavními adresáty povinností ukládaných v oblasti ochrany osobních údajů.
NahoruZákladní principy Nařízení
Nařízení nepřináší žádnou převratnou změnu základních zásad ochrany osobních údajů, pouze mnohem detailněji upravuje jednotlivé povinnosti správců a zpracovatelů osobních údajů a upřesňuje je.
Základní zásadou ochrany osobních údajů prolínající se celým Nařízením je zásada standardní a záměrné ochrany a přístupu založeného na riziku, čímž má Nařízení na mysli nutnost přizpůsobit zabezpečení osobních údajů povaze, rozsahu a účelu zpracovávaných osobních údajů i rizikům, která hrozí subjektům údajů v případě zneužití osobních údajů. Správce by měl rizika vyhodnotit už na počátku zpracování údajů a celý systém zpracovávání a zabezpečení osobních údajů jim přizpůsobit.
Druhou významnou zásadou je princip odpovědnosti správce za dodržení zásad zpracování osobních údajů, uvedených v čl. 5 odst. 1 Nařízení (zpracovávání osobních údajů korektně, zákonným a transparentním způsobem, zpracování osobních údajů jen pro účel, pro který byly získány, získávání osobních údajů jen v minimálním nezbytném rozsahu, získávání přesných údajů a aktualizace případných nepřesností, uložení osobních údajů jen po určitou omezenou dobu a zabezpečení osobních údajů).
Správce musí být schopen doložit dodržení těchto zásad po celou dobu zpracování a uchovávání osobních údajů. Toho může dosáhnout zejména vypracováním vlastních pravidel pro zpracování a uchování osobních údajů v souladu s požadavky Nařízení a jejich důsledným dodržováním. O zpracování osobních údajů je správce povinen vést záznamy, jejichž konkrétní obsah Nařízení vyjmenovává. Pokud s sebou zamýšlený druh zpracování nese vysoké riziko pro práva a svobody subjektů údajů, je správce povinen před zahájením zpracování posoudit vliv zamýšlených operací zpracování na ochranu osobních údajů.
Nařízení zavádí i nové povinnosti pro správce osobních údajů, jako jsou například povinnost ohlásit dozorovému orgánu (v ČR ÚOOÚ), že došlo k porušení zabezpečení osobních údajů, a to do 72 hodin od okamžiku, kdy se správce o porušení dozvěděl, oznámit porušení zabezpečení též příslušnému subjektu údajů, povinnost jmenovat v některých případech pověřence pro správu osobních údajů nebo povinnost pravidelně testovat zabezpečení osobních údajů a výsledky těchto testů vyhodnocovat. Nařízení rovněž nově klade důraz na technické prostředky k zabezpečení osobních údajů.
NahoruPověřenec pro ochranu osobních údajů
Pokud bude u správce údajů docházet k rozsáhlému zpracování zvláštních kategorií osobních údajů nebo pokud bude zpracování vyžadovat pravidelné a systematické monitorování subjektů údajů, ukládá Nařízení správci povinnost pro zajištění ochrany osobních údajů a kontrolu jejich zabezpečení jmenovat zvláštního pověřence pro správu osobních údajů. Pověřence budou muset jmenovat rovněž orgány veřejné moci a veřejné subjekty s výjimkou soudů jednajících v rámci svých pravomocí.
Povinnost jmenovat pověřence…
