Od května 2018 začne platit General Data Protection Regulation (GDPR), tedy nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Pro spoustu firem a subjektů je toto nařízení strašákem, pro některé je výzvou. Ve zdravotnictví bude implementace problematická, avšak některé aspekty ochrany dat pacientů by mohla výrazně zlepšit. Nejsem právník, nicméně rád bych vyvolal na toto téma veřejnou diskusi mimo skryté právnické kuloáry, tak se na to zkusíme podívat podrobněji.
Letem světem: jaká je současná česká legislativa?
Základem je samozřejmě zákon 101/2000 Sb. o ochraně osobních údajů (např. paragraf 5, který zmiňuje zpracování dat se souhlasem dotčené osoby, avšak vyčleňuje použití dat bez jejího souhlasu v případě životně důležitých zajmů). Zpracování dat ve zdravotnictví se zabývá i občanský zákoník 89/2012 Sb. v paragrafech 2647 až 2650, kde upřesňuje, jakým způsobem lze nahlížet do zdravotnické dokumentace. Pro vědecké účely či statistiku je nutno údaje anonymizovat. A zákon o zdravotních službách 372/2011 Sb. v paragrafu 65 vyjmenovává, kdo všechno může mít do zdravotnické dokumentace přístup. Následné paragrafy řeší způsob uchovávání dokumentace a její zpracování.
Úvod GDPR přináší záplavu definic
Rozsáhlý úvod k evropskému nařízení občas obsahuje zajímavé a mnohdy téměř filosoficky pojaté odstavce. Kupříkladu bod 35 definuje osobní údaje o zdravotním stavu, mezi které by měly být zahrnuty veškeré údaje související se zdravotním stavem vypovídající o minulém, současném či dokonce budoucím tělesném nebo duševním zdraví, dále informace shromážděné v průběhu registrace, číslo přiřazené za účelem jedinečné identifikace pro zdravotnické účely, informace získané během provádění testů nebo vyšetřování části těla nebo tělesných látek a jakékoliv informace například o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě nebo fyziologickém či biomedicínském stavu bez ohledu na to, zda pocházejí například od lékaře nebo jiného zdravotníka, z nemocnice, ze zdravotnického prostředku či diagnostických testů.
Bod 53 upozorňuje, že zdravotní údaje patří do zvláštní kategorie osobních údajů, které zasluhují vyšší stupeň ochrany.
Důkladně anonymizované údaje mohou být použity k vědeckým či statistickým účelům např. v zájmu veřejného zdraví. V tomto je GDPR zajedno s naší současnou legislativou.
Bod 63 zakládá právo pacienta na přístup k údajům o svém zdravotním stavu ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích. To u nás v Česku vlastně nyní platí také.
Články doporučují chránit data a šifrovat
Po dlouhém úvodu následují vlastní články, které dřívější filosofické odstavce přenášejí do přímých nařízení.
Správce se musí řídit nařízením GDPR v případě, že sídlí nebo osobní údaje zpracovává v Evropské unii. To se tedy našich nemocnic a ambulancí jistě týká.
Podle článku 4 jsou osobními údaji veškeré informace o fyzické osobě, díky kterým ji lze přímo či nepřímo identifikovat (např. jméno, identifikační číslo, lokační údaje, síťový identifikátor, zvláštní prvek fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity). Článek 9 úplně obrací situaci: přímo zakazuje zpracovávání údajů o zdravotním stavu – a následně teprve vyjmenovává, kdy tento zákaz neplatí (a tím samozřejmě nakonec povoluje zpracování těchto údajů při poskytování zdravotní péče).
Na počátku všeho by měl být souhlas dané osoby se zpracováním údajů (pokud se nejedná o životně důležitý zájem). Podle článku 6 je zpracování údajů zákonné, pokud subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů, nebo je zpracování údajů nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby. Jednoznačně tak bude potřeb zrevidovat způsob souhlasu pacientů se zpracováváním údajů.
GDPR dále definuje práva fyzických osob, v našem případě klidně i pacientů. Podle článku 12 musí správce na žádost dotčené osoby vysvětlit, jakým způsobem údaje zpracovává a uchovává. Podle článku 16 budeme mít nárok na opravu vedených údajů, článek 17 dává právo na výmaz údajů, článek 18 nám umožňuje zažádat o „omezení zpracování“ (de facto archivaci). Článek 20 pak zadává právo na přenositelnost údajů k jinému správci či zpracovateli.
Pro zdravotnické informační systémy to znamená pokud možno racionalizovat (důsledně analyzovat a zdůvodnit) rozsah zpracovávaných údajů o pacientovi, určit dobu aktivního zpracování (a umožnit následné omezení zpracování, tj. v podstatě archivaci) a zajistit přístup k údajům jen oprávněným osobám. Vůči pacientům bude mít pak poskytovatel zdravotnických služeb povinnost uvést, kdo a jak pacientovy údaje zpracovává, za jakým účelem a po jakou dobu. Bude se muset řídit pacientovým přáním opravit či omezit zpracování. Důležitá bude také přenositelnost údajů k jinému správci či zpracovateli bezpečným elektronickým způsobem. Pokud dojde k porušení zabezpečení osobních údajů, bude muset pacient získat oznámení „za použití jasných a jednoduchých jazykových prostředků“.
Co se týká zpracování osobních údajů, v článku 25 GDPR doporučuje s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavést vhodná technická a organizační opatření, jako je pseudonymizace a minimalizace údajů. Článek 32 dále jako vhodná opatření zmiňuje:
- pseudonymizaci,
- šifrování osobních údajů,
- zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování,
- schopnost obnovit dostupnost osobních údajů a přístup k nim včas,
- proces pravidelného testování.
Obecně se tak zvýší ochrana dat pacientů: pseudonymizace ani šifrování zatím není standardní součástí mnohdy zastaralých zdravotnických informačních systémů. Povinnost zajistit přiměřenou bezpečnost dat samozřejmě funguje i nyní, nicméně explicitní vyjmenování postupů je výborným krokem vpřed.
Nemocnic (nikoli malých ambulancí) se pak bude týkat povinnost mít pověřence pro ochranu osobních údajů pod dohledem národního dozorového orgánu (Úřad pro ochranu osobních údajů).
Kapitola 5 určuje proces předávání osobních údajů do ostatních zemí EU, což může být účelné při ošetření pacienta při pobytu na zahraniční dovolené či zahraniční pracovní cestě.
Shrnutí
Celkově, ač je nařízení vcelku přísné, dává pacientům do ruky zpět vládu nad tokem jejich vlastních osobních údajů. Dosud je vztah mezi pacientem a poskytovatelem zdravotních služeb asymetrický. Zatímco u webové služby se sami rozhodujete, které údaje poskytnete a za jakých podmínek, při ošetření u lékaře nemáte dosud možnost ovlivnit způsob a rozsah zpracování svých údajů. A zamlčovat údaje se nevyplácí a rozhodně to nedoporučuji.
GDPR tento asymetrický vztah narovnává a umožňuje zjistit, která data o vás jako o pacientech poskytovatel zdravotních služeb má, komu všemu je poskytuje či poskytl, kde a jakým způsobem je ukládá a zpracovává, jakým způsobem jsou zabezpečena a kdy budou archivována. Můžete také změnit nesprávné osobní údaje či si elektronickou dokumentaci přenést k dalšímu poskytovateli.
GDPR tak přibližuje ochranu dat ve zdravotnictví tomu, co již známe u webových služeb: pacienti by mohli mít svá data (tedy alespoň částečně) pod kontrolou. Tak uvidíme.
Užitečné odkazy
- GDPR česky
- Dagmar Brechlerová: Přednáška na MEFANET 2016 Obecné nařízení o ochraně osobních údajů (GDPR)
- Vít Zvánovec: Přednáška na ISSS 2017 Citlivé údaje v obecném nařízení o ochraně osobních údajů
- Vít Zvánovec: Přednáška na ISSS 2017 GDPR z pohledu dozorového úřadu
- Jiří Polák: Přednáška na ISSS 2017 GDPR z pohledu dotčených subjektů
- Adéla Čabanová: Článek v E15.cz Nemocnice hledají miliardy na kybernetickou bezpečnost