Ako môžu zdravotnícke zariadenia zosúladiť svoju činnosť s GDPR?

Aj napriek tomu, že od účinnosti zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov uplynulo prvých pár mesiacov, nie všetky subjekty majú svoje procesy zosúladené s novou právnou úpravou. Zvlášť významnú časť tejto „nezosúladenej“ skupiny tvoria práve subjekty, ktoré spracúvajú tie najcitlivejšie osobné údaje, a to zdravotnícke zariadenia.

Poskytovatelia zdravotnej starostlivosti musia zabezpečiť, aby spĺňali zákonné požiadavky a boli schopní preukázať, že primerane chránia osobné údaje svojich pacientov. Každý poskytovateľ zdravotnej starostlivosti, stomatologickej starostlivosti, estetickej medicíny, alternatívnej medicíny, nemocnice, resp. iné zdravotnícke organizácie musia bez výnimky spĺňať GDPR požiadavky na spracúvanie osobných údajov a vytvoriť účinný systém, ktorý umožňuje ochranu osobných údajov a uplatnenie práv dotknutých osôb.

OSOBITNÉ KATEGÓRIE OSOBNÝCH ÚDAJOV

Medzi osobitné kategórie osobných údajov, s ktorými poskytovatelia zdravotnej starostlivosti prichádzajú dennodenne do styku, a práve vďaka ktorým sú všetci poskytovatelia zdravotnej starostlivosti povinní podriadiť svoju činnosť GDPR, sú:

• genetické údaje: sú osobné údaje, týkajúce sa zdedených genetických charakteristických znakov fyzickej osoby alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby,
• biometrické údaje: sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania osobných údajov týkajúcich sa fyzických charakteristických znakov fyzickej osoby, fyziologických charakteristických znakov fyzickej osoby alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú jedinečnú identifikáciu alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, a to najmä vyobrazenie tváre alebo daktyloskopické údaje,
• údaje týkajúce sa zdravia: sú osobné údaje, týkajúce sa fyzického zdravia alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní zdravotnej starostlivosti alebo služieb súvisiacich s poskytovaním zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave.

KĽÚČOVÉ KROKY K DOSIAHNUTIU SÚLADU

Hoci existuje viacero dôležitých opatrení, ku ktorým by organizácie mali pristúpiť, zdôrazňujeme najmä nasledovných 5 krokov, ktoré by malo každé zdravotnícke zariadenie bezpodmienečne vykonať k dosiahnutiu súladu s GDPR:

1. posúdenie súčasného stavu: každá organizácia by mala prejsť nezávislým posúdením súčasného stavu ochrany osobných údajov všetkých kategórií dotknutých osôb, ako aj zmonitorovaním toku osobných údajov v organizácii, za účelom identifikovania zraniteľných miest;
2. vypracovanie GDPR compliance dokumentácie – GDPR sa netýka iba jednotlivých kategórií pacientov, ale aj zamestnancov a iných spolupracujúcich subjektov. Každá dotknutá osoba musí byť poučená o spracúvaní osobných údajov a zároveň na spracúvanie jej osobných údajov nad rámec rozsahu vyplývajúceho zo zmluvy alebo zákona, musí byť udelený jej dobrovoľný súhlas (napr. na marketing);
3. ustanovenie zodpovednej osoby – nakoľko hlavnou činnosťou každého zdravotníckeho zariadenia je najmä spracúvanie osobitných kategórií osobných údajov dotknutých osôb, je nevyhnutné, aby každé zdravotnícke zariadenie malo ustanovenú zodpovednú osobu, ktorá bude dohliadať a pravidelne monitorovať ochranu osobných údajov;
4. vypracovanie bezpečnosti spracúvania osobných údajov a posúdenia vplyvu na ochranu osobných údajov – v daných dokumentoch by práve ustanovená zodpovedná osoba mala popísať všetky hrozby a riziká súvisiace s účelmi spracúvania osobných údajov, ako aj vypracovať analýzu rizík ochrany osobných údajov a posúdenie dopadov na práva dotknutých osôb, v prípade porušenia ochrany osobných údajov a prijať opatrenia na odstránenie nedostatkov;
5. vyškolenie zamestnancov a iných oprávnených osôb – najmä v súvislosti s implementovaním správnych interných procesov získavania osobných údajov, povinnosťou mlčanlivosti, ako aj správnou archiváciou a likvidáciou osobných údajov.

V prípade, ak sa poskytovatelia zdravotnej, či inej starostlivosti, pri ktorej dochádza k spracúvaniu osobitných kategórii osobných údajov domnievajú, že nepatria do primárnej pozornosti Úradu na ochranu osobných údajov, poukazujeme na významné oprávnenie každej dotknutej osoby, a to, že každá osoba môže na Úrad na ochranu osobných údajov podať podnet k prevereniu oprávnenosti a bezpečnosti spracúvania osobných údajov v akejkoľvek organizácii, zariadení alebo spoločnosti. Uvedené oprávnenie môže byť aj nástrojom na odstránenie konkurenčných (obzvlášť súkromných) zdravotníckych zariadení z trhu, najmä v dôsledku likvidačných sankcií zo strany Úradu na ochranu osobných údajov v prípade porušenia ochrany osobných údajov.

Ak poskytovatelia zdravotnej starostlivosti ešte nepodnikli žiadne opatrenia k implementovaniu GDPR, príp. ak v implementovanom procese absentuje niektorý z vyššie uvedených obligatórnych krokov, odporúčame, aby takýto poskytovatelia zahájili činnosť smerujúcu ku kompletnému a bezchybnému GDPR súladu, keďže samotný Úrad na ochranu osobných údajov zaujal stanovisko, že GDPR sa v plnom rozsahu týka všetkých bez výnimky, a to aj malých podnikateľov a SZČO.

Publikované na www.epravo.sk, 7. 8. 2018

MENKE LEGAL s.r.o.