Blog

GDPR aneb ochrana osobních údajů

Osobní údaje představují identifikaci každého jedince, čímž ho činí ve společnosti jedinečným, proto má každý člověk právo na zadržování a ochranu takovýchto informací. V dnešní době je ovšem toto právo narušováno, a to jak z legislativních důvodů (uzavírání smluv), tak i na základě jeho souhlasu (dobrovolné poskytnutí osobních údajů), proto je důležité stanovit jasná a obecně platná pravidla pro usměrňování zpracování osobních údajů a citlivých osobních údajů.

Pro harmonizaci legislativy bylo schváleno Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) s účinností pro celou EU od 25. 5. 2018. GDPR se týká všech firem, zaměstnanců, zákazníků, občanů, pacientů. Pro oblast zdravotnictví představuje specifickou aplikaci z důvodu zpracování citlivých osobních údajů, kterými jsou záznamy o zdravotním stavu.

 

Co je osobní údaj a citlivý osobní údaj?

Osobní údaj je takový záznam, který lze jednoznačně spojit s konkrétní osobou. Mezi osobní údaje patří např. jméno, adresa, tel. číslo, e-mail, věk, datum narození, číslo OP, rodné číslo. Mezi citlivé osobní údaje lze zařadit např. zdravotní karta, sexuální orientace, trestní minulost, etnický původ, politické názory.

 

Je potřeba na veškeré zpracování dávat souhlas?

Subjekty (firma, zdravotnické zařízení,…) mají právo zpracovávat a uchovávat osobní údaje, jestliže k tomu mají právní důvod. Neplatí tedy předpoklad, že osobní údaje, ale také citlivé osobní údaje lze primárně zpracovávat pouze se souhlasem nositele údajů. Uchování a zpracování zdravotnické dokumentace a identifikačních údajů pacientů je v souladu s právním důvodem, proto není zapotřebí souhlas pacientů.

Souhlas je nutný tehdy, pokud subjekt nemá právní důvod pro zpracování a uchovávání údajů.

 

Jaký je vztah přímého marketingu a GDPR?

Přímým marketingem se rozumí přímé, adresné oslovení zákazníka (klienta), a to poštou, e-mailem, telefonicky nebo osobně. Firma má právo tímto způsobem kontaktovat pouze své klienty, se kterými má zákaznický vztah, nebo ty uživatele, kteří jí dají souhlas. V rámci přímého marketingu může těmto klientům zasílat různá obchodní sdělení, pod která spadá např. nabídka svých služeb, přání k narozeninám, Vánocům nebo žádost o ohodnocení svých služeb.

Klient má ovšem právo vznést námitku proti zpracování jeho osobních údajů pro účely přímé marketingové komunikace. Tedy vznese nesouhlas se zasíláním obchodních sdělení, což firma musí respektovat.

 

Jaká jsou Vaše práva

V souvislosti s GDPR představujete nositele údajů, subjekty údajů, kteří mají svá práva: právo na jasný a srozumitelný jazyk, na informace, na kvalitní zpracování údajů, na přístup k osobním údajům, na přenositelnost, právo vznést námitku proti zpracování, odmítnout přímý marketing, právo být zapomenut a odvolat svůj souhlas.

 

Právo na informace a kvalitní zpracování osobních údajů

Jako klient máte právo na informace o: identifikaci správce dat (zdravotnického zařízení), účelech pro zpracování, o tom, komu budou data zpřístupněna, popř. předávání dat mimo EU, době zpracování. Dále máte právo na veškeré informace, které o Vás správce (zdravotnické zařízení) eviduje, pokud o ně požádáte. Jako klient máte dále právo na informaci o porušení zabezpečení osobních údajů, jestliže dojde k nějakému incidentu, a naopak zdravotnické zařízení má povinnost Vás o takovéto skutečnosti informovat.

Zdravotnické zařízení má povinnost zpracovávat úplné a přesné osobní údaje, což je ovšem založeno na lidské práci, která nemusí být neomylná. Jestliže klient zjistí chybu ve zpracování těchto údajů (např. špatně evidovaný e-mail, tel. číslo), zažádá o opravu nebo doplnění.

 

Přenositelnost osobních údajů, právo vznést námitku a právo být zapomenut

Jako klient máte právo na vydání osobních údajů, které zpracovává jeden správce (např. bývalý praktický lékař) a tyto údaje předat jinému správci (např. nový praktický lékař). Přenos může proběhnout pouze mezi těmito správci.

Jako subjekt práva můžete vznést námitku se zpracováním osobních údajů a správce (zdravotnické zařízení) musí prokázat svou oprávněnost, jinak musí přestat se zpracováním.

Klient má právo být zapomenut, ovšem pouze pokud již osobní údaje nejsou potřebné, zpracování je protiprávní nebo odvolal souhlas se zpracováním. Co se týká zdravotnického zařízení, tak to má zákonnou povinnost uchovávat a zpracovávat identifikační údaje o svých pacientech a vést zdravotní dokumentaci, včetně její archivace, která má své předepsané zákonné lhůty.

 

Základem je bezpečnost...

Zpracování a nakládání s údaji musí být ve zdravotnickém zařízení stanoveno tak, aby byly Vaše osobní a citlivé osobní údaje chráněny před neoprávněným nebo nahodilým zásahem, aby nedošlo k jejich ztrátě, neoprávněnému přenosu nebo zneužití.

Vaše údaje jsou zpracovávány tak, aby bezprostředně souvisely s Vaším zdravotním stavem a tak, aby Vám byla poskytnuta co nejlepší komplexní zdravotní péče.

Přístup k Vašim osobním údajům mají pouze zaměstnanci kliniky, kteří jsou vázáni povinnou mlčenlivostí, která trvá i po skončení jejich pracovního poměru.

 

Přístup TMH kliniky k GDPR

V souvislosti s ochranou osobní údajů naše klinika od 1. 1. 2018 zavedla nový přístup v elektronické komunikaci se svými pacienty a klienty. Hlavním důvodem bylo převedení osobních a citlivých osobních dat do chráněného režimu. Konkrétně, aby rodná čísla, recepty, lékařské zprávy a další neběhaly volně po e-mailech.

K tomuto jsme vytvořili datové úložiště - Terminátor, který je přístupný pro klienty všech nadstandardních programů zdarma a pro ostatní pacienty za drobný poplatek 350 Kč (vč. DPH)/rok. Jestliže pacient nechce využívat této aplikace, může si vše vyzvednout osobně na našem pracovišti.

Pokud máte o zřízení účtu zájem, kontaktujte Ing. Lucii Bradáčovou na tel. 533 306 480 nebo e-mailu ucet@tmhklinika.cz.

Program lze spustit na www.tmhinfo.cz, věříme, že datové úložiště Terminátor zajistí nejen bezpečný přenos dat, ale že bude v komunikaci s lékaři pro klienty naší kliniky přínosem.

 

Testovací provoz nám ukázal nejčastější chyby:

  • Zadávání neúplného rodného čísla (pouze 6 znamků místo všech 10)
  • Zadávání rodného čísla s lomítkem (nutno zadat bez lomítka)
  • Chybně nastavené heslo
  • Zapomenutí již změněného hesla