Vyhľadávanie v online časopise
Online časopis
Mlčanlivosť zdravotníckeho pracovníka, vedenie zdravotnej dokumentácie a ochrana osobných údajov v zdravotníckom zariadení
Dátum: Rubrika: Právo
Základné zásady ochrany osobných údajov sú úzko späté s povinnosťami zdravotníckych pracovníkov podľa osobitných právnych predpisov (zákon č. 576/2004 Z. z. o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov v z. n. p., zákon č. 578/2004 Z. z. o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov v z. n. p., zákon č. 153/2013 Z. z. o národnom zdravotníckom informačnom systéme a o zmene a doplnení niektorých zákonov v z. n. p.).
V tomto článku nadviažeme na predchádzajúci článok „Aplikácia kľúčových zásad GDPR nevyhnutných pre bezpečný postup lekára v praxi, uverejnený v čísle 6/2019, v ktorom sme sa bližšie venovali zásade obmedzenia účelu, zásade minimalizácie osobných údajov, zásade správnosti a zásade minimalizácie uchovávania osobných údajov. Bližšie popíšeme zásadu zodpovednosti prevádzkovateľa – poskytovateľa zdravotnej starostlivosti a zásadu integrity a dôvernosti. Pri týchto dvoch zásadách možno ilustrovať prepojenie a potrebu rešpektovania nielen nariadenia GDPR [nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), ďalej len „nariadenie GDPR“], ale aj právnych predpisov týkajúcich sa výkonu zdravotníckeho povolania. So zásadou integrity a dôvernosti súvisí povinná mlčanlivosť zdravotníckych pracovníkov, komunikácia s rodinnými príslušníkmi, médiami, správne vedenie zdravotnej dokumentácie, sprístupňovanie a poskytovanie údajov zo zdravotnej dokumentácie.
ZÁSADA ZODPOVEDNOSTI POSKYTOVATEĽA ZDRAVOTNEJ STAROSTLIVOSTI
Zásada zodpovednosti za spracúvané osobné údaje pre prevádzkovateľa znamená zodpovednosť za dodržiavanie všetkých zásad a povinností stanovených nariadením GDPR. Poskytovateľ zdravotnej starostlivosti (ďalej aj ako „poskytovateľ“ alebo „zdravotnícke zariadenie“) je povinný prijať primerané a účinné technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú rizikám. V uvedených opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účel spracúvania a hroziace riziko pre práva fyzických osôb – pacientov, ale aj zamestnancov. Rovnako musí poskytovateľ pri zabezpečovaní bezpečnostných opatrení zohľadniť najnovšie poznatky ako aj náklady, ktoré by musel na zabezpečenie vynaložiť. Neznamená to však, že sú nevyhnutne potrebné najdrahšie softvérové zabezpečenia osobných údajov.
Súčasne poskytovateľ musí vedieť preukázať prijaté bezpečnostné opatrenia, pri prijímaní pravidiel vystupovať aktívne a snažiť sa splniť si všetky povinnosti tak, ako mu ich nariadenie GDPR ukladá.
Na účely prijatia zodpovednosti by mal prevádzkovateľ najmä prijímať adekvátne politiky ochrany osobných údajov, ktorými bude deklarovať svoju zodpovednosť za spracúvanie a ochranu osobných údajov. Následne poskytovateľ musí dbať na to, aby všetci zamestnanci dodržiavali ochranu osobných údajov, tak ako ju nastaví v rámci prijatých interných politík ochrany osobných údajov. Z tohto hľadiska sú veľmi dôležité a efektívne školenia zamestnancov.
V prípade kontroly spracúvania osobných údajov Úrad na ochranu osobných údajov nebude musieť preukazovať poskytovateľovi porušenie povinností uložených právnymi predpismi o ochrane osobných údajov. Naopak, poskytovateľ bude povinný dozornému orgánu počas kontroly spracúvania osobných údajov preukázať, že spracúva osobné údaje v súlade so všetkými požiadavkami GDPR. Nad rámec uvádzame, že kontrolóri Úradu na ochranu osobných údajov nie sú oprávnení nahliadať do zdravotnej dokumentácie a zdravotnícki pracovníci sú v rámci kontroly viazaní povinnou mlčanlivosťou.
ZÁSADA INTEGRITY A DÔVERNOSTI
Vzťah medzi lekárom a pacientom je výsostne založený na dôvere. Pacient prichádza k lekárovi bez pochybnosti o tom, že sa o jeho údajoch dozvie iná tretia osoba, napríklad zamestnávateľ, rodinný príslušník, sused alebo iné neoprávnené osoby. Na druhej strane ambulantné prostredie je charakteristické tým, že sa v ňom striedajú pacienti, pričom zdravotná dokumentácia, lekárske správy alebo laboratórne výsledky sa nachádzajú voľné položené na stole, prípadne obsah dôverného rozhovoru medzi pacientom a lekárom počuť až do čakárne a v prípade nemocníc sú často pri vizite pacienta prítomní aj iní pacienti.
Je dôležité, aby všetky osobné údaje boli spracúvané tak, aby sa zabezpečila ich primeraná bezpečnosť a dôvernosť vrátane predchádzania neoprávnenému prístupu k osobným údajom. Preto poskytovateľ zdravotnej starostlivosti, ktorý je zodpovedný za implementáciu a dodržiavanie pravidiel ochrany osobných údajov, musí prijať primerané bezpečnostné opatrenia.
Prijaté bezpečnostné opatrenia musia byť adekvátne spracúvaným osobným údajom, a to tak po technickej, organizačnej a personálnej stránke. Nižšie uvádzame príklady a veľmi úzky výpočet niektorých bezpečnostných opatrení, avšak je potrebné upozorniť, že každé zdravotnícke zariadenie je špecifické a pri nastavovaní ochrany osobných údajov je potrebné ku každému zdravotníckemu zariadeniu pristupovať individuálne.
Pod technickými opatreniami možno napríklad rozumieť:
- sieťové firewally,
- sledovanie siete a analýza správania,
- mechanizmy kontroly práv a prístupov, záložné kópie dát,
- používanie kryptografických riešení a podobne.
Medzi organizačné opatrenia sa napríklad zaraďujú:
- poučenie zamestnancov o povinnostiach pri spracúvaní osobných údajov a zodpovednosti za ich porušenie,
- rozdelenie právomoci,
- vzdelávanie a zvyšovanie povedomia zamestnancov,
- postupy likvidácie osobných údajov a iné.
Medzi personálne opatrenia možno napríklad zaradiť:
- pravidlá manipulácie s fyzickými nosičmi osobných údajov,
- pravidlá používania prenosných IT prostriedkov (napr. mobil, notebook),
- politika čistého stola,
- postup po ukončení pracovného pomeru,
- prideľovanie prístupových práv a úrovní prístupu oprávnených osôb a správa hesiel,
- postup pri ohlasovaní a riešení bezpečnostných incidentov a iné.
V rámci praxe zdravotníckeho zariadenia môžu „zjednodušené“ bezpečnostné opatrenia vyzerať takto:
- Lekárske správy, výsledky vyšetrení v papierovej podobe, ktoré sú prevzaté od pacienta alebo sú do zariadenia doručené v priebehu dňa, treba uložiť na miesto neprístupné pacientom, resp. ihneď založiť do zdravotnej dokumentácie pacienta.
- Lekárske správy, výsledky vyšetrení či iné dokumenty obsahujúce osobné údaje nesmú byť voľne položené na stole, lavici, skrini alebo na takom mieste, kde má prístup neoprávnená osoba (napr. iný pacient,
Odomknite si prístup k odbornému obsahu na portáli.
Prístup k obsahu portálu majú len registrovaní používatelia portálu. Pokiaľ ste už zaregistrovaný, stačí sa prihlásiť.
Ak ešte nemáte prístup k obsahu portálu, využite 10-dňovú demo licenciu zdarma (stačí sa zaregistrovať).
Bezplatný odpovedný servis pre predplatiteľov
Vaše otázky môžete zadať na www.otazkyodpovede.sk.