Jak obstála zdravotnická zařízení při kontrolách Úřadu pro ochranu osobních údajů? Úřad zkoumal nejen zdravotnickou dokumentaci, e-recepty a informační systémy, ale řešil i kuriózní případ ztráty osobních dokladů.
Pokud jste pověřencem či správcem v oblasti zdravotnictví, měli byste při čtení následujících řádků zbystřit. V našem seriálu o kontrolách ÚOOÚ budeme tentokrát rozebírat poznatky z kontrolní činnosti ÚOOÚ ve zdravotnictví. Díky nim se můžete lépe připravit na případnou kontrolu a ověřit si, že vaše zpracování osobních údajů netrpí žádnou vadou. Oblast zdravotnictví je specifická tím, že se v ní zpracovávají zvláštní kategorie osobních údajů. Pojďme se tedy podívat na to, co kontroly odhalily.
Ztracené doklady
První z kontrol, o které nás ÚOOÚ informuje, byla věnována nemocnici, a to na základě ohlášení porušení zabezpečení osobních údajů. Ačkoliv z prvotního oznámení tato skutečnost nebyla dle slov ÚOOÚ úplně zřejmá, v rámci kontrolovaného případu šlo nakonec o ztrátu osobních dokladů pacienta.
Svoje doklady neměl uložené v úschovně, ale ponechal si je v nočním stolku na pokoji, odkud je neúmyslně vyzvedla zdravotní sestra. Ta je následně omylem předala jinému pacientovi, jenž byl v té době propouštěn. Záměny dokladů si všiml až rodinný příslušník propuštěného pacienta, nahlásil to a doklady předal jinému zdravotnímu středisku, kde si je měl vyzvednout řidič a převézt je zpět původní nemocnici – kontrolované osobě. K tomu však nikdy nedošlo. Dle slov ÚOOÚ se doklady ztratily a nebylo objasněno, v kterém okamžiku se tak stalo. Na daném případu jsou pozoruhodné dvě skutečnosti. Zaprvé, že ÚOOÚ danou kontrolu uzavřel, aniž posuzoval aplikaci čl. 33 GDPR (tedy povinnost ohlášení porušení zabezpečení), neboť dle jeho slov tato konkrétní ztráta osobních dokladů nespadá pod věcnou působnost GDPR tak, jak je stanovena v čl. 2 odst. 1 GDPR. Co k tomuto závěru ÚOOÚ vedlo, není zcela jisté. My si z toho nicméně můžeme dovodit to, že ne každou ztrátu dokladu, který obsahuje osobní údaje, ÚOOÚ považuje za zpracování osobních údajů. Naši pozornost si dále zaslouží i to, že ÚOOÚ si na závěr neodpustil upozornit na jednu věc, týkající se ohlášení porušení zabezpečení. Dle slov Úřadu totiž nebylo úplně jednoduché z ohlášení vyčíst, co se vlastně stalo. ÚOOÚ tak apeluje na všechny správce, aby v případě ohlášení porušení zabezpečení podali co nejucelenější popis události tak, aby řešení daného incidentu mohlo být co nejrychlejší a nejefektivnější. Zabezpečení zdravotnické dokumentace Druhá z kontrol byla zahájena na základě kontrolního plánu a směřovala na zabezpečení osobních údajů zpracovávaných ve zdravotnické dokumentaci u poskytovatele ambulantních zdravotních služeb. Z popisu kontroly nejsou zcela zřejmé okolnosti zpracování, lze dovodit jedině to, že kontrola směřovala na zpracování osobních údajů jak v listinné, tak i elektronické podobě. Zaměřila se na okolnosti zpracování osobních údajů a plnění povinností, jako je přijetí technických a organizačních opatření, zvolení správného právního titulu a dodatečné podmínky ke zpracování dle čl. 9 GDPR. Jelikož však kontrola nezjistila žádné porušení a proběhla na základě kontrolního plánu, nelze z výše uvedeného učinit žádný závěr. Dodavatel ambulantního informačního systému Jako dobrou zprávu pro uživatele informačního systému PC DOKTOR lze považovat závěr z kontroly tohoto dodavatele. Systém je dodáván poskytovatelům zdravotních služeb, přičemž ÚOOÚ se v rámci kontroly zaměřil na plnění povinností dle GDPR (zejména pak povinností uvedených v čl. 5, čl. 6, čl. 12 až 23, čl. 25 a čl. 28 až 32 GDPR), aniž odhalil porušení povinností tohoto zpracovatele. E-recept V souvislosti s e-recepty provedl ÚOOÚ jednu kontrolu. Ta byla zahájena na základě stížnosti, kterou ÚOOÚ postoupil inspektorát České obchodní inspekce. Stěžovatelce se totiž nelíbilo, že při vyzvednutí e-receptu v červenci 2020 byla v lékárně požádána o předložení občanského průkazu, z něhož si lékárnice opsala údaje, a následně stěžovatelku informovala, že daný lék nemají. Dle slov ÚOOÚ stěžovatelka považovala samotné opisování údajů za poměrně nestandardní postup, jejž lékárnice neuměla hodnověrně vysvětlit. ÚOOÚ k tomu uvedl: „Kontrolou nebylo zjištěno, že by kontrolovaná osoba zpracovávala osobní údaje stěžovatelky ve své vlastní evidenci, tedy ani číslo jejího občanského průkazu.“ Na jiném místě nicméně uvedl, že kontrolovaná osoba využívá lékárenský systém Lekis a ten má být napojen na Centrální úložiště elektronických receptů, který provozuje Státní ústav pro kontrolu léčiv. Zároveň k tomu ÚOOÚ uvádí: „Při výdeji léčivých přípravků vydávaných na základě vystaveného receptu shromažďuje a zpracovává informace o pacientech/klientech v rámci výkonu řádné lékárenské praxe, a to minimálně v rozsahu jméno, příjmení, číslo pojištěnce (rodné číslo), evidenční číslo receptu, název léčivého přípravku a jméno vydávajícího lékaře.“ Je tedy otázkou, zda se lze ztotožnit s předpokládanou skutečností, že zadávání osobních údajů do systému Lekis, jehož prostřednictvím lékárna komunikuje s Centrálním úložištěm elektronických receptů, není ze strany ÚOOÚ považováno za zpracování v rámci vlastní evidence. Daná premisa by totiž měla poměrně zásadní dopady v případě využívání některých cloudových služeb. Jedná se však o domněnky, které jsou založeny na krátkém textu zveřejněném na stránkách ÚOOÚ. Tak či tak z uvedeného vyplývá, že Úřad v rámci daného zpracování nezjistil žádné porušení GDPR, neboť číslo občanského průkazu je jedna z možností přístupu do Centrálního úložiště elektronických receptů. Svou kontrolu tedy ÚOOÚ uzavřel tak, že v daném případě se neprokázalo porušení GDPR a že „lékárna, v souvislosti s online připojením do Centrálního úložiště elektronických receptů, se jako zpracovatel osobních údajů řídí předpisy a metodikami pro provoz úložiště. Státní ústav pro kontrolu léčiv podle zákona o léčivech jako správce osobních údajů zodpovídá za jejich bezpečnost při shromažďování, zpracování a ukládání.“ ePortál Posledním kontrolovaným subjektem v rámci této oblasti byla Pražská správa sociálního zabezpečení (PSSZ), a to na základě kontrolního plánu. ÚOOÚ se zaměřil na kontrolu dodržování povinností stanovených GDPR v souvislosti se zpracováním osobních údajů klientů PSSZ, včetně jejich zpracování při poskytování online služeb prostřednictvím ePortálu, který však provozuje Česká správa sociálního zabezpečení (ČSSZ). PSSZ je pouze územní organizační jednotky ČSSZ, nicméně ÚOOÚ ji dle závěrů z kontroly považuje za samostatného správce. ÚOOÚ se pak v rámci kontroly zaměřil na plnění povinností dle čl. 6, 13 a 14, ale také 25 až 32 GDPR a ne odhalil jakékoliv pochybení. Závěr Zdravotnictví aktuálně patří k jedné z nejdiskutovanějších oblastí s ohledem na ochranu osobních údajů jednak kvůli současné pandemii, jednak z důvodu digitalizace některých služeb, jako je registrace do očkovacích systémů, databáze očkovaných osob, ale i zavádění nových opatření jako například povinného testování. Proto si můžeme být jistí, že se tato oblast objeví i v závěrech z kontrolní činnosti za rok 2021 – nyní však můžeme být připraveni lépe. V příštím díle tohoto miniseriálu se zaměříme na zpracování osobních údajů v oblasti, kterou ÚOOÚ označil jako „ostatní“, a podíváme se na zpracování osobních údajů z veřejných rejstříků či využívání kamerového systému v rámci veřejného prostranství v pražských Řeporyjích. Článek vyšel v Elektronickém zpravodaji pro pověřence