Máme bohaté zkušenosti s ochranou osobních údajů a implementací GDPR ve zdravotnických zařízeních. Dokážeme je tedy efektivně a rychle připravovat na soulad s nařízením o ochraně osobních údajů.
Již současná právní úprava na oblast ochrany dat samozřejmě pamatuje v několika zákonech i podzákonných předpisech. Tyto řeší problematiku udělování souhlasu se zpracováním dat, definují možnosti nahlížení do zdravotnické dokumentace a stanovují okruh osob, které tak mohou činit, a dále účely zpracování dat, pro které je nutné data anonymizovat.
GDPR nově definuje, co vše spadá pod pojem „osobní údaje o zdravotním stavu“. Ve stručnosti jde o údaje o zdravotním stavu minulém, současném i budoucím (například rizika), informace poskytnuté při registraci ve zdravotnickém zařízení, výsledky vyšetření a testů, a to vše bez ohledu na způsob získání informace.
Dopad na praxi zpracování dat by měl být následující:
- Nově bude nutné získat souhlas dané osoby se zpracováním údajů.
- Bude nutné zrevidovat rozsah zpracovávaných údajů o pacientech, jakož i určit dobu, po jakou budou údaje aktivně zpracovávány, a dále stanovit, jak a po jakou dobu budou tyto údaje archivovány, a v neposlední řadě určit, které subjekty budou mít k těmto údajům přístup, ke kterým kategoriím údajů a v jakém rozsahu.
- Pacientovi bude muset být umožněno poměrně široce se svými údaji nakládat – nahlížet do nich či umožnit jejich elektronický přenos k jinému správci (lékaři, zdravotnickému zařízení). Pacient bude oprávněn požádat o úpravu údajů vedených o své osobě, či omezit rozsah zpracování těchto údajů. Dále bude mít pacient právo požádat o kompletní výpis činností zpracování svých údajů, tedy o celistvý přehled toho, který subjekt, za jakým účelem a v jakém čase do pacientových dat nahlížel nebo je zpracovával.
- Pacient bude muset být srozumitelně informován o případné skutečnosti, že došlo k porušení zabezpečení jeho dat, ať v jakémkoliv rozsahu.
- Na technické úrovni bude nutné zavést vhodná opatření vedoucí ke zvýšení ochrany dat. Půjde o často zmiňovanou pseudonymizaci dat, šifrování dat, zajištění odolnosti dat a služeb, zajištění schopnosti obnovit data a pravidelné testy zavedených procesů.
- Zdravotnická zařízení budou povinna vytvořit funkci pověřence pro ochranu osobních údajů. Tento pověřenec bude dohlížet na to, aby veškeré činnosti byly prováděny v souladu s pravidly a principy GDPR, a zároveň bude prostředníkem pro komunikaci mezi zdravotnickým zařízením a Úřadem pro ochranu osobních údajů (ÚOOÚ).