Ochrana osobných údajov v zdravotníctve: komplexný pohľad

Ochrana osobných údajov v zdravotníctve je mimoriadne dôležitá téma, ktorá sa dotýka každého pacienta, zdravotníckeho pracovníka a poskytovateľa zdravotnej starostlivosti. Vzhľadom na citlivosť informácií o zdraví je nevyhnutné, aby sa s nimi zaobchádzalo s maximálnou opatrnosťou a v súlade s platnou legislatívou.

Právny rámec ochrany osobných údajov

Právna úprava ochrany osobných údajov je rozdelená na európsku a vnútroštátnu úroveň. Základným právnym aktom na európskej úrovni je Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR). V slovenskom právnom poriadku je to zákon č. 18/2018 Z. z. o ochrane osobných údajov.

Základné právne predpisy:

  • Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (GDPR).
  • Zákon NR SR č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
  • Zákon NR SR č. 576/2004 Z. z. o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov.
  • Zákon NR SR č. 577/2004 Z. z. o rozsahu zdravotnej starostlivosti uhrádzanej na základe verejného zdravotného poistenia a o úhradách za služby súvisiace s poskytovaním zdravotnej starostlivosti.
  • Zákon NR SR č. 578/2004 Z. z. o poskytovateľoch zdravotnej starostlivosti, zdravotníckych pracovníkoch, stavovských organizáciách v zdravotníctve a o zmene a doplnení niektorých zákonov.
  • Zákon NR SR č. 580/2004 Z. z. o zdravotnom poistení a o zmene zákona č. 95/2002 Z. z. o poisťovníctve a o zmene a doplnení niektorých zákonov.
  • Zákon NR SR č. 581/2004 Z. z. o zdravotných poisťovniach, dohľade nad zdravotnou starostlivosťou a o zmene a doplnení niektorých zákonov.
  • Zákon NR SR č. 153/2013 Z. z. o národnom zdravotníckom informačnom systéme.
  • Zákon NR SR č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov.
  • Zákon č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov.

Spracúvanie osobných údajov v zdravotníctve

Pri poskytovaní zdravotnej starostlivosti prichádzajú zdravotnícki pracovníci a iní zamestnanci poskytovateľa zdravotnej starostlivosti do kontaktu s osobnými údajmi pacientov. Ide o údaje v rozsahu potrebnom pre poskytovanie zdravotnej starostlivosti a plnenie zákonných povinností.

Účely spracúvania osobných údajov:

  • Poskytovanie zdravotnej starostlivosti pacientom.
  • Plnenie zmluvných povinností na základe dohody o poskytovaní zdravotnej starostlivosti.
  • Plnenie zákonných povinností vyplývajúcich z osobitných právnych predpisov (napr. zákon o zdravotnej starostlivosti).
  • Zasielanie povinných hlásení do Národného centra zdravotníckych informácií a do národných zdravotných registrov (onkologický register, register pacientov s diabetes mellitus, a ďalšie).

Spracúvanie osobných údajov v zdravotníctve sa opiera o zákonný základ, najmä o zákon o zdravotnej starostlivosti. Súhlas pacienta so spracúvaním, poskytovaním a sprístupňovaním údajov zo zdravotnej dokumentácie sa za podmienok ustanovených zákonom č. 576/2004 Z. z. nevyžaduje.

Povinnosti poskytovateľa zdravotnej starostlivosti

Poskytovateľ zdravotnej starostlivosti má ako prevádzkovateľ, ktorý spracúva osobné údaje pacientov, povinnosti vyplývajúce z GDPR a zákona o ochrane osobných údajov.

Prečítajte si tiež: Ambulantná a ústavná starostlivosť na Slovensku

Medzi hlavné povinnosti patrí:

  • Informačná povinnosť: Poskytnutie informácií pacientom o spracúvaní osobných údajov (v zmysle čl. 13 GDPR).
  • Zabezpečenie bezpečnosti: Prijatie primeraných technických, personálnych a organizačných opatrení na zabezpečenie bezpečného spracúvania osobných údajov.
  • Vedenie záznamov o spracovateľských činnostiach: Zaznamenávanie všetkých procesov a informácií týkajúcich sa spracúvania osobných údajov.
  • Školenie zamestnancov: Pravidelné školenie oprávnených osôb o ochrane osobných údajov.
  • Ustanovenie zodpovednej osoby (DPO): Vymenovanie osoby, ktorá dohliada na zákonnosť spracúvania osobných údajov.
  • Riešenie bezpečnostných incidentov: Konzultácia a riešenie akýchkoľvek problémov alebo bezpečnostných incidentov týkajúcich sa spracúvania údajov.

Bezpečnostná dokumentácia:

Poskytovateľ zdravotnej starostlivosti by mal vytvoriť komplexnú bezpečnostnú dokumentáciu, ktorá odzrkadľuje súčasný a požadovaný stav v oblasti ochrany osobných údajov. Táto dokumentácia by mala obsahovať:

  • Záznamy o spracovateľských činnostiach.
  • Hodnotiacu správu z auditu.
  • Ciele v personálnej, organizačnej a technickej oblasti.
  • Špecifikáciu primeraných opatrení.
  • Upravené dokumenty a tlačivá v súlade s legislatívou.

Práva dotknutých osôb (pacientov)

Každý pacient má vo vzťahu k spracúvaniu jeho osobných údajov niekoľko práv, ktoré mu zaručuje GDPR a zákon o ochrane osobných údajov.

Medzi základné práva patria:

  • Právo na prístup k osobným údajom: Právo požadovať od poskytovateľa informácie o type a rozsahu uchovávaných osobných údajov.
  • Právo na opravu osobných údajov: Právo požadovať opravu nepresných alebo neúplných osobných údajov.
  • Právo na výmaz osobných údajov: Právo požadovať výmaz osobných údajov, ak už nie sú potrebné na účely, na ktoré sa získali, alebo ak pacient odvolá súhlas so spracúvaním (ak je súhlas právnym základom). Toto právo je obmedzené, ak existuje zákonná povinnosť údaje ďalej spracúvať.
  • Právo na obmedzenie spracúvania: Právo požadovať obmedzenie spracúvania osobných údajov v určitých prípadoch (napr. ak pacient namieta správnosť údajov).
  • Právo na prenosnosť osobných údajov: Právo získať osobné údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a preniesť ich k inému poskytovateľovi.
  • Právo namietať spracúvanie osobných údajov: Právo namietať spracúvanie osobných údajov, ak sa spracúvanie zakladá na legitímnom záujme poskytovateľa alebo ak sa údaje spracúvajú na účel priameho marketingu.
  • Právo na neúčinnosť automatizovaného individuálneho rozhodovania: Právo nebyť predmetom rozhodnutia založeného výlučne na automatizovanom spracúvaní, vrátane profilovania, ktoré má právne účinky alebo sa ho významne dotýka.
  • Právo podať sťažnosť: V prípade, že sa pacient domnieva, že dochádza k neoprávnenému spracúvaniu jeho osobných údajov, má právo podať sťažnosť na Úrade pre ochranu osobných údajov Slovenskej republiky.

Uchovávanie osobných údajov

Nemocnica alebo iný poskytovateľ zdravotnej starostlivosti uchováva spracúvané osobné údaje týkajúce sa zdravia v zmysle §22 zákona č. 576/2004 Z.z. a zákona č. 395/2002 Z.z. o archívoch a registratúrach a o doplnení niektorých zákonov, 20 rokov po smrti dotknutej osoby, ostatnú dokumentáciu 20 rokov od posledného poskytnutia starostlivosti dotknutej osobe. Ostatné lehoty na uchovávanie osobných údajov sú vymedzené v Záznamoch o spracovateľských činnostiach pre jednotlivé informačné systémy.

Zodpovedná osoba (Data Protection Officer - DPO)

Poskytovateľ zdravotnej starostlivosti má podľa Nariadenia GDPR povinnosť ustanoviť zodpovednú osobu (DPO). Zodpovedná osoba dohliada nad zákonnosťou spracúvania osobných údajov a je kontaktnou osobou pre Úrad na ochranu osobných údajov a pre dotknuté osoby (pacientov).

Úlohy zodpovednej osoby:

  • Dohľad nad dodržiavaním GDPR a zákona o ochrane osobných údajov.
  • Poskytovanie poradenstva a usmernení v oblasti ochrany osobných údajov.
  • Školenie zamestnancov.
  • Spolupráca s Úradom na ochranu osobných údajov.
  • Riešenie sťažností a žiadostí dotknutých osôb.

Kontrola a sankcie

Oblasť ochrany osobných údajov môže vo Vašej organizácii skontrolovať Úrad na ochranu osobných údajov Slovenskej republiky. V prípade zistených nedostatkov môže úrad uložiť pokutu až do výšky 20.000.000,- Eur.

Prečítajte si tiež: Zubná starostlivosť s VšZP

Ochrana osobných údajov v Univerzitnej nemocnici Bratislava (UNB)

Pre Univerzitnú nemocnicu Bratislava je veľmi dôležité aby bolo zabezpečené riadne spracúvanie osobných údajov jej pacientov a klientov a aby bola zabezpečená ich riadna ochrana. Osobné údaje a údaje týkajúce sa zdravia sa spracúvajú podľa Zákona NR SR č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len ,,zákona č. 18/2018 Z.z.), Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), Zákona NR SR č. 576/2004 Z. z. o zdravotníckej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len ,,zákona č. 576/2004 Z.z.), Zákona NR SR č. 577/2004 Z. z. o rozsahu zdravotnej starostlivosti uhrádzanej na základe verejného zdravotného poistenia a o úhradách za služby súvisiace s poskytovaním zdravotnej starostlivosti v znení neskorších predpisov , Zákona NR SR č. 578/2004 Z. z. o poskytovateľoch zdravotnej starostlivosti, zdravotníckych pracovníkoch, stavovských organizáciách v zdravotníctve a zmene a doplnení niektorých zákonov v znení neskorších predpisov, Zákona NR SR č. 580/2004 Z. z. o zdravotnom poistení a zmene zákona č.95/2002 Z. z. o poisťovníctve a zmene a doplnení niektorých zákonov v znení neskorších predpisov , Zákon NR SR č. 581/2004 Z. z. o zdravotných poisťovniach, dohľade nad zdravotnou starostlivosťou a zmene a doplnení niektorých zákonov v znení neskorších predpisov, Zákona NR SR č. 153/2013 o národnom zdravotníckom systéme a Zákona NR SR č. Dotknuté osoby sú najmä pacient, klient, zamestnanec, zákonný zástupca a splnomocnenec pacienta, resp. Univerzitná nemocnica Bratislava bude uchovávať spracúvané osobné údaje týkajúce sa zdravia v zmysle §22 zákona č. 576/2004 Z.z. 20 rokov po smrti dotknutej osoby, ostatnú dokumentáciu, 20 rokov od poskytnutia poslednej zdravotnej starostlivosti a v zmysle zákona č. 395/2002 Z.z. o archívoch a registratúrach a o doplnení niektorých zákonov. Ostatné lehoty na uchovávanie osobných údajov sú vymedzené v Záznamoch o spracovateľských činnostiach pre jednotlivé informačné systémy.

Pacient má právo od Univerzitnej nemocnice Bratislava získať potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Ak Univerzitná nemocnica Bratislava takéto osobné údaje spracúva, dotknutá osoba má právo získať prístup k týmto osobným údajom a informácie o účele spracúvania osobných údajov; kategórii spracúvaných osobných údajov; identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné; dobe uchovávania osobných údajov, ak to nie je možné, informáciu o kritériách jej určenia; práve požadovať od Univerzitnej nemocnice Bratislava opravu osobných údajov týkajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie osobných údajov; práve podať návrh na začatie konania podľa § 100 zákona č. 18/2018 Z.z.; zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby; existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4 zákona č. na to, aby Univerzitná nemocnica Bratislava bez zbytočného odkladu opravila nesprávne osobné údaje, ktoré sa jej týkajú. d) dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1 zákona č.

Prečítajte si tiež: Slovenské a americké zdravotníctvo

tags: #zdravotna #starostlivost #ochrana #osobných #udajov

Ďalšie články