• Josef Bátrla

Zdravotnictví pod lupou ÚOOÚ

Jak obstála zdravotnická zařízení při kontrolách Úřadu pro ochranu osobních údajů? Úřad zkoumal nejen zdravotnickou dokumentaci, e-recepty a informační systémy, ale řešil i kuriózní případ ztráty osobních dokladů.



Pokud jste pověřencem či správ­cem v oblasti zdravotnictví, měli byste při čtení následujících řád­ků zbystřit. V našem seriálu o kontro­lách ÚOOÚ budeme tentokrát rozebírat poznatky z kontrolní činnosti ÚOOÚ ve zdravotnictví. Díky nim se můžete lépe připravit na případnou kontrolu a ověřit si, že vaše zpracování osobních údajů netrpí žádnou vadou. Oblast zdravotnictví je specifická tím, že se v ní zpracovávají zvláštní kategorie osobních údajů. Pojďme se tedy podí­vat na to, co kontroly odhalily.

Ztracené doklady

První z kontrol, o které nás ÚOOÚ in­formuje, byla věnována nemocnici, a to na základě ohlášení porušení zabezpe­čení osobních údajů. Ačkoliv z prvotního oznámení tato skutečnost nebyla dle slov ÚOOÚ úplně zřej­má, v rámci kontrolovaného případu šlo nakonec o ztrátu osobních dokladů pacienta.

Svoje doklady neměl uložené v úschovně, ale ponechal si je v nočním stolku na pokoji, odkud je neúmyslně vyzvedla zdravotní sestra. Ta je násled­ně omylem předala jinému pacientovi, jenž byl v té době propouštěn. Zá­měny dokladů si všiml až rodinný příslušník propuštěného pacienta, na­hlásil to a doklady předal jinému zdra­votnímu středisku, kde si je měl vy­zvednout řidič a převézt je zpět původní nemocnici – kontrolované osobě. K tomu však nikdy nedošlo. Dle slov ÚOOÚ se doklady ztratily a nebylo objasněno, v kterém okamžiku se tak stalo. Na daném případu jsou pozoru­hodné dvě skutečnosti. Zaprvé, že ÚOOÚ danou kontrolu uzavřel, aniž posuzoval aplikaci čl. 33 GDPR (tedy povinnost ohlášení porušení zabezpečení), neboť dle jeho slov tato kon­krétní ztráta osobních dokladů nespadá pod věcnou působnost GDPR tak, jak je stanovena v čl. 2 odst. 1 GDPR. Co k tomuto závěru ÚOOÚ vedlo, není zcela jisté. My si z toho nicméně můžeme dovodit to, že ne každou ztrátu dokladu, který obsahuje osobní údaje, ÚOOÚ považuje za zpracování osobních údajů. Naši pozornost si dále zaslouží i to, že ÚOOÚ si na závěr neodpustil upozornit na jednu věc, týkající se ohlášení porušení zabezpečení. Dle slov Úřadu totiž nebylo úplně jedno­duché z ohlášení vyčíst, co se vlastně stalo. ÚOOÚ tak apeluje na všechny správce, aby v případě ohlášení poru­šení zabezpečení podali co nejucelenější popis události tak, aby řešení daného incidentu mohlo být co nej­rychlejší a nejefektivnější. Zabezpečení zdravotnické dokumentace Druhá z kontrol byla zahájena na zá­kladě kontrolního plánu a směřovala na zabezpečení osobních údajů zpracovávaných ve zdravotnické dokumentaci u poskytovatele ambulant­ních zdravotních služeb. Z popisu kontroly nejsou zcela zřejmé okolnosti zpracování, lze do­vodit jedině to, že kontrola směřovala na zpracování osobních údajů jak v listinné, tak i elektronické podobě. Zaměřila se na okolnosti zpracování osobních údajů a plnění povinností, jako je přijetí technických a organi­začních opatření, zvolení správného právního titulu a dodatečné podmín­ky ke zpracování dle čl. 9 GDPR. Jelikož však kontrola nezjistila žádné porušení a proběhla na základě kontrolního plánu, nelze z výše uvede­ného učinit žádný závěr. Dodavatel ambulantního informačního systému Jako dobrou zprávu pro uživatele in­formačního systému PC DOKTOR lze považovat závěr z kontroly tohoto do­davatele. Systém je dodáván poskytovatelům zdravotních služeb, přičemž ÚOOÚ se v rámci kontroly zaměřil na plnění povinností dle GDPR (zejména pak povinností uvedených v čl. 5, čl. 6, čl. 12 až 23, čl. 25 a čl. 28 až 32 GDPR), aniž odhalil porušení povinností tohoto zpracovatele. E-recept V souvislosti s e-­recepty provedl ÚOOÚ jednu kontrolu. Ta byla zahájena na základě stížnosti, kterou ÚOOÚ postoupil inspektorát České obchodní inspekce. Stěžovatel­ce se totiž nelíbilo, že při vyzvednutí e­-receptu v červenci 2020 byla v lékár­ně požádána o předložení občanského průkazu, z něhož si lékárnice opsala údaje, a následně stěžovatelku informovala, že daný lék nemají. Dle slov ÚOOÚ stěžovatelka považovala samotné opisování údajů za poměrně nestandardní postup, jejž lékárnice neuměla hodnověrně vysvětlit. ÚOOÚ k tomu uvedl: „Kontrolou nebylo zjištěno, že by kontrolovaná osoba zpracovávala osobní údaje stěžovatelky ve své vlastní evidenci, tedy ani číslo jejího občanského průkazu.“ Na ji­ném místě nicméně uvedl, že kontro­lovaná osoba využívá lékárenský systém Lekis a ten má být napojen na Centrální úložiště elektronických receptů, který pro­vozuje Státní ústav pro kont­rolu léčiv. Zároveň k tomu ÚOOÚ uvádí: „Při výdeji léčivých přípravků vydávaných na základě vystaveného receptu shromažďuje a zpracovává informace o pacientech/klientech v rámci výkonu řádné lékárenské praxe, a to minimálně v rozsahu jméno, příjmení, číslo pojištěnce (rodné číslo), evidenční číslo receptu, název léčivého přípravku a jméno vydávajícího lékaře.“ Je tedy otázkou, zda se lze ztotož­nit s předpokládanou skutečností, že zadávání osobních údajů do systému Lekis, jehož prostřednictvím lékárna komunikuje s Centrálním úložištěm elektronických receptů, není ze strany ÚOOÚ považováno za zpracování v rámci vlastní evidence. Daná pre­misa by totiž měla poměrně zásadní dopady v případě využívání některých cloudových služeb. Jedná se však o domněnky, které jsou založeny na krátkém textu zveřejněném na stránkách ÚOOÚ. Tak či tak z uvedeného vyplývá, že Úřad v rámci daného zpracování nezjistil žádné porušení GDPR, ne­boť číslo občanského průkazu je jedna z možností přístupu do Centrálního úložiště elektronických receptů. Svou kontrolu tedy ÚOOÚ uzavřel tak, že v daném případě se neprokázalo po­rušení GDPR a že „lékárna, v souvislosti s online připojením do Centrálního úložiště elektronických receptů, se jako zpracovatel osobních údajů řídí předpisy a metodikami pro provoz úložiště. Státní ústav pro kontrolu léčiv podle zákona o léčivech jako správce osobních údajů zodpovídá za jejich bezpečnost při shromažďování, zpracování a ukládání.“ ePortál Posledním kontrolovaným subjektem v rámci této oblasti byla Pražská správa sociálního zabezpečení (PSSZ), a to na základě kontrolního plánu. ÚOOÚ se zaměřil na kontrolu dodržování po­vinností stanovených GDPR v souvis­losti se zpracováním osobních údajů klientů PSSZ, včetně jejich zpracování při poskytování online služeb prostřednictvím ePortálu, který však pro­vozuje Česká správa sociálního zabez­pečení (ČSSZ). PSSZ je pouze územní organizační jednotky ČSSZ, nicméně ÚOOÚ ji dle závěrů z kontroly považuje za samostatného správce. ÚOOÚ se pak v rámci kontroly zaměřil na plnění povinností dle čl. 6, 13 a 14, ale také 25 až 32 GDPR a ne­ odhalil jakékoliv pochybení. Závěr Zdravotnictví aktuálně patří k jedné z nejdiskutovanějších oblastí s ohle­dem na ochranu osobních údajů jednak kvůli současné pandemii, jednak z důvodu digitalizace některých slu­žeb, jako je registrace do očkovacích systémů, databáze očkovaných osob, ale i zavádění nových opatření jako například povinného testování. Proto si můžeme být jistí, že se tato oblast objeví i v zá­věrech z kontrolní činnosti za rok 2021 – nyní však mů­žeme být připraveni lépe. V příštím díle tohoto miniseriálu se zaměříme na zpracová­ní osobních údajů v oblasti, kterou ÚOOÚ označil jako „ostatní“, a podí­váme se na zpracování osobních údajů z veřejných rejstříků či využí­vání kamerového systému v rámci ve­řejného prostranství v pražských Řeporyjích. Článek vyšel v Elektronickém zpravodaji pro pověřence