Zdravotní údaje mají přísný režim
Obecné nařízení o ochraně údajů (GDPR) je klíčovým právním předpisem stanovujícím pravidla pro ochranu všech druhů osobních údajů. GDPR řadí zdravotní údaje mezi zvláštní kategorie osobních údajů, které zasluhují vyšší stupeň ochrany, protože u nich existuje vyšší pravděpodobnost, že jejich zpracování povede k negativním dopadům pro subjekty údajů. Pro zpracování zdravotních údajů se tak uplatňuje přísnější režim. V zásadě není dovoleno tyto vůbec sbírat nebo zpracovávat, pokud to výslovně neumožňuje zákon. V České republice zpracování zdravotních údajů připouští především zákon č. 372/2011 Sb., o zdravotních službách, který upravuje zejména vedení zdravotnické dokumentace a podávání informací pacientům.
Uvedené lze ilustrovat na příkladu, kdy lékař chce svým pacientům iniciativně zasílat informace například o možnosti objednání se na preventivní prohlídku. Lékař tímto bude zpracovávat zdravotnické údaje v souvislosti s plněním svých povinností při vedení zdravotnické dokumentace, k čemuž ho opravňuje právě zákon o zdravotních službách. Pokud by ale lékař bez dalšího (např. výslovného informovaného souhlasu pacienta) využíval zdravotní údaje pacienta k zasílání sdělení, která s jeho povinnostmi nesouvisí, například reklamu na poskytování další zdravotní péče či prodej zdravotnických pomůcek, byl by jeho postup protiprávní.
Zdrženlivost úřadu při udělování sankcí
GDPR rovněž předepisuje maximální výši pokut, které mohou dosáhnout až 20 milionů EUR nebo 4 % z ročního obratu. K této horní hranici se pokuty udělené v České republice ani z dálky neblíží. Český Úřad pro ochranu osobních údajů (ÚOOÚ) je jeden z nejzdrženlivějších dozorových úřadů v Evropské unii, co do výše i množství vyměřených pokut.
Podle průzkumu DLA Piper o pokutách podle GDPR z ledna 2024 byly v České republice v roce 2023 vyměřeny pokuty za zhruba 604 tisíc euro (cca 15,5 milionu korun). Pro srovnání je to více než 50krát méně, než vyměřily země jako Rakousko, Švédsko nebo Norsko (srov. https://www.dlapiper.com/en-be/insights/publications
/2024/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2024).
Nízkému trestání porušení GDPR v poslední době nasvědčuje i nízký počet vyřízených rozkladů proti rozhodnutí ÚOOÚ o spáchání přestupku. Od ledna 2022 do března 2024 jich bylo na webu ÚOOÚ zveřejněno pouze pět, zatímco mezi lety 2018 až 2021 jich bylo zveřejněno alespoň deset každý rok.
Zdrženlivost ÚOOÚ v ukládání pokut ale rozhodně neznamená, že je na místě podceňovat rizika porušování těchto pravidel. Vedle pokuty nebo společně s ní hrozí i další citelné tresty jako zákaz činnosti nebo zveřejnění rozhodnutí o přestupku, nemluvě o případných soukromoprávních žalobách poškozených pacientů. Při velké závažnosti může být zjištěné neoprávněné nakládání s osobními údaji předáno policii k prověření, zda nedošlo k trestnému činu s horní hranicí trestu odnětí svobody až osm let.
Trestání v praxi
Při podezření na spáchání přestupku, kterému zpravidla předchází kontrola ÚOOÚ, se řízení o přestupku řídí obecným zákonem č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich. Několik specifik upravuje zvláštní zákon č. 110/2019 Sb., o zpracování osobních údajů.
I nemocnici může být uložena sankce
Zákon o zpracování osobních údajů obsahuje důležitou procesní výjimku, která neumožňuje za porušení GDPR trestat orgány veřejné moci a jiné veřejné subjekty. Zdánlivě by tato výjimka mohla dopadat na všechny poskytovatele zdravotnických služeb, jejichž činnost je převážně financována z prostředků veřejného zdravotního pojištění, poskytující zdravotní péči ve veřejném zájmu, ale není tomu tak. Jak vyložil Nejvyšší správní soud rozhodnutí z 25. 2. 2022 sp. zn. 10 As 190/2020-39, výjimka z potrestání se nevztahuje na subjekty, které nejsou financovány z veřejných rozpočtů.
Pro zajímavost, předmětné zdravotnické zařízení za nedostatečné evidování přístupu do svého zdravotnického informačního systému dostalo pokutu 40 tisíc korun.
Případ kamer ve vnitřních prostorách kliniky
Relativně častým předmětem kontroly ze strany ÚOOÚ je provozování kamerového systému. Právním titulem je nejčastěji oprávněný zájem na ochraně majetku zdravotnického zařízení. U venkovních prostor je tento titul dán zpravidla vždy. Jiná situace, jak upozornil ÚOOÚ, je ve vnitřních prostorách, kam vchází jen vyzvaní lidé. Tam je zapotřebí vždy posoudit, jestli nedochází k nepřiměřenému zasahování do soukromí na záznamech zachycených osob. Návodná je nově vydaná metodika ÚOOÚ ke kamerovým systémům z února 2024.
Mgr. et Bc. Juraj Juhás, Ph.D.
Závěr
I přes nízkou frekvenci a výši sankcí představuje GDPR významný nástroj pro ochranu pacientů a jejich údajů, přičemž jeho dodržování by mělo být v zorném poli každého poskytovatele zdravotních služeb.
Mgr. et Bc. Juraj Juhás, Ph.D.
vedoucí advokát Glatzová & Co.
Foto: 123rf.com a archiv Juraje Juháse
