Nemocnicím zbývá 8 měsíců, aby začaly pečlivěji chránit osobní údaje

21.09.2017

Mezi osobní údaje patří též i rentgenové snímky pacientů, nebo portrétní fotografie zaměstnanců.

  • Občan, tedy pacient nebo zaměstnanec rozhoduje, zdali budou jeho údaje shromažďovány a případně v jakém rozsahu, což může kdykoli odvolat! Souhlas proto nevyžadujme tam, kde není potřeba - například když děláme nutnou personální agendu. Jinak může vzniknout prekérní situace: Zaměstnanec odvolá souhlas se zpracováním svých osobních údajů, které však potřebujeme kvůli jiným zákonům.
  • Už nyní platí řada zásad, osobní data můžeme například zpracovávat jenom za legitimním účelem. Navíc však přibude princip odpovědnosti: Správce osobních údajů (nemocnice) plně odpovídá za dodržování pravidel a svoji případnou výjimku musí být schopen doložit relevantní analýzou!
  • Nemocnice jmenuje takzvaného pověřence, který bude kontaktní osobou pro veřejnost. Může pověřit interního zaměstnance i externistu. Pověřenec však potřebuje povědomí o právním kontextu, zkušenosti s ochranou osobních údajů a ideálně taky rozumí informačním technologiím. Podle některých právních výkladů nemusí takového člověka najímat samostatně působící lékař, protože neprovádí "rozsáhlé pravidelné a systematické monitorování subjektů údajů" (článek 37).
  • Nemocnice musí vést takzvané "záznamy o činnostech zpracování" podle článku 30 GDPR. Tam uvede například účely, za jakými osobní data shromažďuje apod.
  • GDPR zavádí nová práva pacientů a zaměstnanců: právo na přenositelnost údajů (například při změně zaměstnavatele), právo vznést námitku proti zpracování svých osobních údajů a právo "nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování".
  • Případné bezpečnostní incidenty, které znamenají riziko pro práva a svobody pacientů nebo zaměstnanců, nemocnice do 72 hodin nahlásí Úřadu pro ochranu osobních údajů (ÚOOÚ), ve vážných případech taky dotčenému člověku. Například když je tiskárna na veřejně přístupné chodbě a mzdová účetní tam zapomeneme kopii pracovní smlouvy, která specifikuje mzdu konkrétního zaměstnance.