Sú zdravotné údaje pacientov v bezpečí?
Nariadenie GDPR1 ovplyvňuje všetky oblasti ľudského života. Osobitnú pozornosť si vyžaduje spracúvanie údajov týkajúcich sa zdravotnej dokumentácie zdravotníckymi zariadeniami a nemocnicami. GDPR definuje takéto údaje ako „osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby, prípadne ako údaje o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave“.
Vzhľadom na dôležitosť spracúvania tohto typu osobných údajov GDPR poskytuje údajom odhaľujúcim informácie o zdravotnom stave osoby špeciálnu ochranu. Tá sa prejavuje predovšetkým v nutnosti zvolenia špeciálneho právneho základu, na základe ktorého je možné takéto údaje spracúvať a splnení určitých predpokladov pre bezpečné spracúvanie osobných údajov (napríklad ustanovenie zodpovednej osoby, posúdenie a následne vyhodnotenie vplyvu, povinné vyhotovovanie záznamov o spracovateľských činnostiach a podobne). Z uvedeného je zrejmý dôraz na zvýšenú bezpečnosť takýchto údajov.
Spracúvanie údajov musí prebiehať v súlade s princípmi správnosti, bezpečnosti, minimalizácie a proporcionality2. Osobné údaje majú byť spracúvané v čo najmenšom rozsahu, pričom v procese ich spracúvania má participovať len obmedzený počet subjektov. Práve porušenie týchto zásad bolo dôvodom na udelenie historicky najvyššej pokuty zdravotníckemu zriadeniu (400.000 EUR).
Portugalský úrad na ochranu osobných údajov zistil, že zamestnanci tamojšieho zdravotníckeho zariadenia Centro Hospitalar Barreiro Montijo pristupovali do interného informačného systému, obsahujúcemu údaje o zdravotnom stave pacientov, cez tzv. „fiktívne“ profily. Išlo o profily, ktoré patrili zdravotníckym pracovníkom, ktorí už v danom čase v nemocnici nepracovali. Okrem toho bolo prostredníctvom týchto profilov možné nahliadať do všetkých zdravotníckych záznamov pacientov bez rozdielu3. Na základe týchto zistení bolo vyhodnotené, že zdravotnícke zariadenie neprijalo dostatočné technické opatrenia na ochranu osobných údajov svojich pacientov a teda, nezaistilo dôvernosť, integritu, dostupnosť a trvalú bezpečnosť zdravotníckych systémov a služieb. Argument zdravotníckeho zriadenia, že informačný systém bol dodaný štátom a teda, zodpovednosť nesie on sám, neobstál. Portugalský úrad na ochranu osobných údajov rozhodol, že je na zdravotníckom zariadení zaistiť, aby bol informačný systém v súlade s požiadavkami GDPR.
Podobnému problému, nie však v obdobnom rozsahu, pred nedávnom čelila nemocnica v českom meste Tábor4. Českému úradu na ochranu osobných údajov bolo podnetom oznámené podozrenie z možného porušenia ochrany osobných údajov, a to formou nahliadania do elektronickej zdravotnej dokumentácie pacientky a pozmeňovania jej obsahu neoprávnenými osobami. Následnou kontrolou boli zistené závažné nedostatky v systéme tzv. logovania elektronickej zdravotnej dokumentácie. Logovaním sa rozumie zanechávanie elektronických stôp alebo záznamov, ktoré dokážu určiť a overiť kto, kedy a z akého dôvodu k určitým osobným údajom pristupoval5. Vytvárané logy v tomto prípade nedokázali preukázať všetky informácie požadované GDPR, čím nemocnica de facto nebola schopná efektívne kontrolovať oprávnenosť prístupu svojich zamestnancov k tejto dokumentácii. Za paralelu s prípadom portugalského zdravotníckeho zriadenia možno považovať aj prílišne široko koncipované prístupové oprávnenia zamestnancov nemocnice. V praxi to znamenalo, že s výnimkou psychiatrickej dokumentácie pacientov mali všetci zdravotnícki pracovníci prístup ku všetkej dokumentácii jednotlivých pacientov. Tento ich postup bol v príkrom rozpore s princípom minimalizácie spracúvania a princípom bezpečnosti spracúvaných údajov.
Výsledkom kontroly táborskej nemocnice bolo zistenie porušení ustanovení GDPR týkajúcich sa nedostatočných opatrení pred neoprávneným alebo náhodným prístupom k osobným údajom a zároveň ich neoprávnenému spracúvaniu a zneužitiu. Za toto porušenie bola nemocnici vyrubená, v porovnaní s portugalským zdravotníckym zariadením symbolická pokuta vo výške 40.000 Kč (1.560 EUR).
Rôznorodosť výšky pokút v oboch prípadoch spočívala predovšetkým v závažnosti porušenia GDPR a s tým súvisiacim ohrozením práv a právom chránených záujmov fyzických osôb. Vzhľadom k týmto kritériám je nepochybné, že existencia tzv. „mŕtvych kont“, z ktorých bolo možné získavať informácie o pacientoch bez obmedzenia ich rozsahu a účelu, ako to bolo v prípade portugalského zdravotníckeho zariadenia, sa s chybne naprogramovanými logmi táborskej nemocnice nemôže porovnávať. Táborská nemocnica zároveň existujúci stav bezodkladne napravila. Z tohto dôvodu sa dvojakosť posudzovania týchto, na prvý pohľad rovnakých prípadov, javí ako opodstatnená a spravodlivá.
Snahu kontrolných orgánov vo vzťahu k dodržiavaniu zákonného a riadneho spracúvania zdravotných údajov pacientov možno hodnotiť vysoko pozitívne. Je potrebné si uvedomiť, že údaje nachádzajúce sa v zdravotnej dokumentácii pacientov požívajú osobitnú ochranu, keďže z kontextu ich spracúvania by mohli vyplývať významné riziká pre základné práva a slobody fyzických osôb6. Situácie, kedy by sa takéto údaje dostali do nepovolaných rúk (napr. farmaceutických spoločností) by mohli mať vzhľadom k reálnemu ohrozeniu práv a právom chránených záujmov pacientov nedozierne následky.
Vychádzajúc z vyššie uvedeného možno konštatovať, že problematika ochrany tohto druhu osobných údajov je veľmi komplikovanou a najmä neprebádanou oblasťou. Vzhľadom ku krátkej účinnosti GDPR a z toho prameniaceho nedostatku relevantných informácií odporúčame, aby bol postup každého zdravotníckeho zariadenia v tejto oblasti koordinovaný skúseným odborníkom v oblasti ochrany osobných údajov.
1 Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
2 Zdroj: https://www.itgovernance.eu/blog/en/portuguese-hospital-appeals-gdpr-fine
3 v praxi je bežné, že k vybraným zdravotníckym záznamom pacienta majú prístup vybraní zdravotnícki pracovníci s ohľadom na ich špecializáciu a charakter tam obsiahnutých údajov
5 Rozsudok Nejvyššího správního soudu, sp. zn. 7 As 150/2012 zo dňa 30.1.2013
6 recitál 51 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
Komentár partnera
Ochrana osobných údajov je diskutovanou témou už niekoľko mesiacov. Napriek značným snahám národných autorít o vyhotovenie záväzného a zjednocujúceho výkladu GDPR v praxi často narážame na závažné aplikačné problémy. Môže za to nielen odlišné právne prostredie jednotlivých členských štátov, na území ktorých sa GDPR aplikuje, ale častokrát absencia pochopenia zmyslu a dôvodov jeho prijatia.
Prílišný formalizmus či práve naopak, neopodstatnený liberalizmus jeho výkladu môže vzhľadom k činnostiam osôb zainteresovaných na spracúvaní osobných údajov pôsobiť skôr nežiaduco. Je nevyhnutné, aby boli pri spracúvaní osobných údajov vytvorené spoľahlivé právne mechanizmy, schopné zabrániť neželaným vplyvom na správnosť a jednotnosť spracúvania. To je možné dosiahnuť profesionálnym prístupom odborníkov, ktorí posudzujú každý prípad individuálne, avšak vo vzájomnej zhode s medzinárodnou praxou a najvyššími právnymi štandardmi.
V prípade, ak si nie ste istý, či spracúvate osobné údaje v súlade s vnútroštátnou a európskou legislatívou alebo naopak, ak stojíte na druhej strane a máte podozrenie, že sú vaše údaje spracúvané nezákonne, neváhajte sa na nás obrátiť.