JAK JE TO S OCHRANOU OSOBNÍCH ÚDAJŮ?
Ve zdravotnické dokumentaci (ZD) bývají často údaje o partnerech, sourozencích, rodičích apod., jak musí nebo nemusí být chráněny? Jak je třeba nakládat se ZD při změně registrujícího poskytovatele či po smrti lékaře? A kdo zodpovídá za bezpečnosti elektronické ZD? Aby to vše bylo jasné, zveřejnil nyní Úřad pro ochranu osobních údajů (ÚOOÚ) své stanovisko.
Problematiku ZD řeší především právní úprava v § 5 odst. 2 písm. a), § 4 písm. b), j) a § 9 zákoně č. 101/2000 Sb., o ochraně osobních údajů. Mimo to se na jakékoliv nakládání se zdravotnickou dokumentací vztahu i úprava občanského zákoníku (zákon č. 89/2012 Sb.),a to zejm. v § 109 a dále pak v § 2647 až 2650. V neposlední řadě je pak tato problematika samozřejmě předmětem úpravy zákona č. 372/2011 Sb., o zdravotních službách, na níž navazuje i prováděcí vyhláška Ministerstva zdravotnictví č. 98/2012 Sb., o zdravotnické dokumentaci. Při specifických zdravotních službách jako je sterilizace či asistovaná reprodukce se pak aplikuje i zákon č. 373/2011 Sb., o specifických zdravotních službách.
Nejdůležitější body, které ÚOOÚ nově ve svém stanovisku zdůrazňuje, shrnujeme níže:
- Údaje třetích osob
Zdravotnická dokumentace pacienta často obsahuje i údaje o jeho partnerech, sourozencích, rodičích či dalších předcích za účelem zjištění rodinné, osobní či sociální anamnézy pacienta. Je třeba pro nahlížení do ZD pacienta třeba souhlas těchto třetích osob? Zákony se v tomto ohledu rozcházejí. Zatímco občanský zákoník stanoví, že souhlas je třeba, zákon o zdravotních službách tvrdí opak. Podle ÚOOÚ se na poskytovatele vykonávající činnost dle zákona o zdravotních službách užije na základě principu „speciální zákonné úpravy“ zákon o zdravotních službách a souhlas nebude třeba. Pokud půjde o činnost např. masérů či chiropraktiků apod., na něž se zákon o zdravotních službách nevztahuje, souhlas třetích osob bude na základě občanského zákoníku třeba.
- Změna poskytovatele
Jak nakládat se zdravotnickou dokumentací při změně registrujícího poskytovatelezdravotních služeb? Zákonná úprava je stručná. ÚOOÚ upřesňuje správný postup. Poskytovatel má povinnost předat potřebné informace o zdravotním stavu pacienta, které jsou nezbytné k zajištění návaznosti dalších zdravotních i sociálních služeb. Nepředává se tedy celá zdravotnická dokumentace, ale jen její výpis s informacemi nezbytnými pro následnou péči. Výpis si může vyžádat sám pacient, nebo nově zvolený registrující poskytovatel. Originál vždy zůstává u původního poskytovatele pro účely např. kontroly zdravotní pojišťovny. Původní poskytovatel uchovává dokumentaci 10 let od změny či 10 let od úmrtí, jedná-li se o všeobecné praktické lékařství, zubaře či gynekologa. Jedná-li se o ambulanci, po dobu 5 let.
- Ukončení poskytování zdravotních služeb
Co se stane s vaší ZD v případě úmrtí vašeho lékaře? Zákon stanoví přesná pravidla, z nichž neexistuje výjimka, jak upozorňuje ÚOOÚ. Osoba blízká lékaře, je-li jí úmrtí lékaře známo, je povinna neprodleně oznámit úmrtí příslušnému orgánu, nejčastěji krajský úřad, a zajistit ZD před nahlížením. Ani tato osoba není oprávněna do ZD nahlížet.
- Kontrola poskytování zdravotních služeb
Příslušný orgán vykonávající kontrolu poskytování zdravotních služeb z moci úřední je oprávněn nahlížet do zdravotnické dokumentace pacienta bez jeho souhlasu a pořizovat kopie či výpisy, jestliže je to v zájmu pacienta a potřebné pro účely této kontroly.
- Elektronická zdravotnická dokumentace
Odpovědnost za zpracování osobních údajů nese poskytovatel zdravotních služeb, nikoliv např. dodavatel systému. Je nutno uchovávat i záznamy o přístupu k systému, tedy záznam kdy a kdo měl do konkrétní ZD přístup. Doba uchování těchto záznamů je minimálně rok. ÚOOÚ shledává největší potenciální riziko porušení zákona v případech ZD v elektronické formě, a to zejména v nastavení přístupu jednotlivých oprávněných osob u poskytovatele zdravotních služeb – především ve velkých nemocnicích. Správce je povinen zajistit, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.