Zmluva s lekárom a GDPR: Vzor a súlad s legislatívou

Všeobecné nariadenie o ochrane osobných údajov (GDPR) prinieslo do oblasti spracúvania osobných údajov významné zmeny. Cieľom tohto článku je poskytnúť komplexný pohľad na problematiku zmlúv s lekármi v kontexte GDPR, vrátane vzorov a zabezpečenia súladu s platnou legislatívou.

GDPR a jeho vplyv na zdravotníctvo

Všeobecné nariadenie o ochrane osobných údajov (GDPR) stanovuje jednotné pravidlá ochrany osobných údajov v celej Európskej únii. GDPR prinieslo zvýšenie povedomia o ochrane osobných údajov. Skratka GDPR vyvoláva v mnohých zmiešané pocity. Hrozba vysokých pokút, ktoré môže regulátor pre porušenie pravidiel v oblasti spracovania osobných údajov uložiť, prinútila mnohých prevádzkovateľov vyhľadať niekoho, kto by z nich bremeno zabezpečenia súladu s ochranou osobných údajov sňal. V oblasti zdravotníctva, kde sa spracúva množstvo citlivých osobných údajov pacientov, je súlad s GDPR mimoriadne dôležitý.

Predchádzajúca slovenská právna úprava vs. GDPR

V niektorých ohľadoch bola slovenská právna úprava pred prijatím Všeobecného nariadenia prísnejšia ako terajšia. Podľa nášho názoru však bola najmä kvalitatívne iná. V zmysle predchádzajúcej právnej úpravy a zaužívanej praxe plnili bežní prevádzkovatelia povinnosti vyplývajúce zo zákona č. 122/2013 Z. z. o ochrane osobných údajov platného pred prijatím nariadenia často len naoko. Napríklad tým, že zapracovali súhlas so spracovaním osobných údajov do pracovných zmlúv (veľakrát nadbytočne) alebo nechali svojich zamestnancov podpísať poučenie oprávnených osôb (väčšinou bez prečítania). Predchádzajúca úprava ochrany osobných údajov trochu nahrávala formalizmu. Pre bežného prevádzkovateľa to bolo celkom prijateľné. Mohol formálne vyplniť evidenčný list informačného systému, poslať zamestnanca na školenie alebo ho vymenovať za zodpovednú osobu. Získal tak pocit, že niečo pre zabezpečenie súladu s predpisom urobil a často to aj stačilo.

Všeobecné nariadenie však prinieslo (alebo malo priniesť) nevyhnutnosť konkrétneho posúdenia okolností spracovania osobných údajov u prevádzkovateľa alebo sprostredkovateľa. Je potrebné zistiť a jasne definovať právne základy a účely spracovania osobných údajov a informovať o nich dotknuté osoby. Je potrebné analyzovať nevyhnutnosť určenia zodpovednej osoby. Treba sa zamyslieť či je nutné posúdenie vplyvov. Zmenil sa predpis, no to nevyhnutne neznamená, že sa zmenil aj postoj prevádzkovateľov. Zvýšenie informovanosti o ochrane osobných údajov však neprinieslo zmenu v postoji bežných prevádzkovateľov k tejto problematike.

Externé vs. interné riešenia GDPR

Náš rýchly prieskum potvrdil, že ponuka na trhu je v tejto súvislosti naozaj veľká, množstvo IT firiem a advokátskych kancelárií poskytuje externé služby zabezpečenia súladu so Všeobecným nariadením. Z nášho pohľadu nie je vzorová dokumentácia to najvhodnejšie riešenie. Naopak, zdá sa byť v priamom rozpore s tým, čo malo Všeobecné nariadenie priniesť - s odklonom od formalizmu a kvázi splnenia povinností vyplnením akýchsi formulárov. Externé firmy ponúkajú aj možnosť komplexného outsourcingu ochrany osobných údajov. Prevádzkovateľ alebo sprostredkovateľ vtedy môže poveriť dodávateľa všetkým v tejto oblasti - od analýzy, prijatia primeraných technických a organizačných opatrení, vypracovania interných postupov a smerníc až po zabezpečenie bezpečnosti systémov a monitorovanie účinnosti technických opatrení. Externého odborníka navyše prevádzkovateľ ustanoví aj za zodpovednú osobu. Ani túto alternatívu využitia externých služieb nepovažujeme za úplne šťastnú, najmä v prípade, ak prevádzkovateľ spracúva osobné údaje klientov a má viac zamestnancov (napríklad viac ako 10). Domnievame sa, že je vhodné, aby aj menšie podniky spracúvajúce osobné údaje klientov určili interného zamestnanca, ktorý oblasti ochrany údajov aspoň do istej miery porozumie.

Prečítajte si tiež: Vzor zmluvy o príspevku

Podľa nášho názoru je najvhodnejšia možnosť externej spolupráce vypracovanie dokumentácie a interných postupov na mieru. Ak je externá služba poskytnutá dobre, mala by viesť práve k realizácii internej analýzy a k naplneniu princípu zodpovednosti prevádzkovateľa. Teda k prijatiu primeraných technických a organizačných opatrení na zabezpečenie a preukázanie spracúvania osobných údajov v súlade so Všeobecným nariadením a zákonom č. 18/2018 Z. z.

Analýza a dokumentácia ako kľúč k súladu

Analýza však nie je kompletná bez jej zdokumentovania. Rovnako ako je dôležité prijatie organizačných a technických opatrení, je dôležitá aj schopnosť prevádzkovateľa kedykoľvek vysvetliť, prečo prijal práve také opatrenia a postupy. Odporúčaným výsledkom analýzy (nielen nami, ale aj pracovnou skupinou zriadenou podľa článku 29 GDPR - tzv. WP 29) je jej zdokumentovanie. Vypracovanie dokumentu popisujúceho internú analýzu by malo byť súčasťou poskytnutia služby externým dodávateľom. Taký dokument je tiež vhodný nástroj na zhrnutie opatrení, ktoré prevádzkovateľ uskutočnil pre zabezpečenie súladu so Všeobecným nariadením. Dokument môže tiež obsahovať informácie slúžiace ako zdroj poučenia pre zamestnancov prevádzkovateľa prichádzajúcich do kontaktu s osobnými údajmi.

Obsah dokumentácie internej analýzy

V prvom rade je vhodné vymedziť postavenie analyzovaného subjektu z hľadiska spracovania osobných údajov - určiť, v akej súvislosti osobné údaje spracúva a či je v postavení prevádzkovateľa alebo sprostredkovateľa. Ďalej je potrebné stanoviť, aké právne základy spracovania osobných údajov boli identifikované, t. j. či ide napríklad o i) nevyhnutnosť plnenia zmluvy (často pri klientoch, ale aj pri zamestnancoch); ii) nevyhnutnosť spracúvania údajov podľa osobitného predpisu (napríklad pri zamestnancoch); iii) oprávnený záujem (napríklad pri existujúcich klientoch, ktorým sa zasiela newsletter) alebo či ide aj o iv) súhlas (pretože sa spracúvajú citlivé kategórie osobných údajov, napr. údaje o prekonaných ochoreniach).

Z hľadiska analýzy je veľmi dôležitá oblasť určenia - ktoré povinnosti vyplývajúce zo Všeobecného nariadenia a zákona č. 18/2018 Z. z. sa na analyzovaný subjekt nevzťahujú. Je potrebné uviesť, prečo a ako sa dosiahol záver, že sa na analyzovaný subjekt nevzťahuje, napr. povinnosť posúdenia vplyvu a predchádzajúcej konzultácie alebo povinnosť určiť zodpovednú osobu. Tu je dôležité byť konkrétny. Napríklad v prípade analyzovaného subjektu spracúvajúceho osobné údaje zhruba 3000 dotknutých osôb pôsobiaceho v Bratislave, kde žije zhruba 650.000 obyvateľov, možno povedať, že nejde o spracúvanie údajov vo veľkom rozsahu. Pri určení povinností, ktoré sa na prevádzkovateľa nevzťahujú, nemusí byť dôležité len geografické hľadisko, ale aj spôsob spracovania údajov (napr. len manuálne), prípadne rozsah spracúvaných osobných údajov (napr.

V časti venovanej zákonnosti spracúvania osobných údajov je vhodné podrobnejšie rozobrať jednotlivé právne základy a najmä pri súhlase opísať spôsob, akým ho prevádzkovateľ získava, uchováva, prípadne aktualizuje. Pokiaľ ide o znenie súhlasu, resp. spôsob jeho získania od existujúcich klientov, je možné odkázať na príslušné prílohy k dokumentu a text súhlasu alebo komunikácie s klientmi v nich uviesť. Pri zdokumentovaní splnenia informačnej povinnosti odporúčame presne opísať, ako prevádzkovateľ alebo sprostredkovateľ informácie dotknutým osobám poskytuje a prečo práve takým spôsobom. Môže to byť napríklad zverejnením textu na svojich internetových stránkach v časti ochrana osobných údajov, najmä v prípade, ak získava údaje klientov prostredníctvom internetu.

Prečítajte si tiež: Pracovná zmluva opatrovateľky v Belgicku

Dôležitým bodom je časť, v ktorej sa identifikujú tretie strany, ktoré majú vo vzťahu k analyzovanej osobe postavenie sprostredkovateľa. Tu je vhodné tiež popísať postavenie analyzovaného subjektu ako sprostredkovateľa k iným prevádzkovateľom. Identifikácia sprostredkovateľov je dôležitá najmä preto, aby analyzovaná osoba vedela, s kým má uzatvoriť sprostredkovateľskú zmluvu. V prílohe dokumentu môže byť prispôsobený vzor sprostredkovateľskej zmluvy pre analyzovaný subjekt.

V ďalšej časti analýzy sa môžeme venovať prenosu osobných údajov, najmä ak ide aj o prenos osobných údajov do tretích krajín nezaručujúcich primeranú úroveň ochrany. Ten môže byť napríklad nevyhnutný na splnenie predmetu zmluvy medzi prevádzkovateľom a jeho klientmi, ktorí si objednajú nejaké služby v tretích krajinách.

Bezpečnostné opatrenia, by mali byť vyústením analýzy postavenia prevádzkovateľa pri spracovaní osobných údajov. Ak prevádzkovateľ využíva sofistikovanejšie online aplikácie alebo spracúva aj údaje pri prijímaní platieb prostredníctvom platobných kariet (kedy by mal spĺňať napr. príslušné požiadavky, tzv. PCI DSS compliance) je potrebné, aby venoval dátovej bezpečnosti osobitnú pozornosť. Ak má analyzovaný subjekt svojho externého poskytovateľa IT služieb, je dobré, aby spolu s ním, prípadne s ďalšími externými dodávateľmi vypracovali bezpečnostné smernice a prijali potrebné technické opatrenia.

Z hľadiska internej analýzy sú vyššie popísané body v zásade postačujúce. Do dokumentu však možno zaradiť aj ďalšie časti, ako napríklad popis zásad spracúvania osobných údajov a popis práv dotknutých osôb, prípadne pokyny pre zamestnancov spracúvajúcich osobné údaje. Najmä v prípade, ak bude dokument použitý aj na účely informovania zamestnancov.

Zodpovedná osoba a jej určenie

V súvislosti s internou analýzou a jej zdokumentovaním by sme radi poukázali na problematiku určovania zodpovednej osoby. Stretávame sa s tým, že najmä menší prevádzkovatelia a sprostredkovatelia určujú zodpovednú osobu napriek tomu, že túto povinnosť nemajú. Ako príklad môžeme uviesť malú s.r.o. s jedným zamestnancom, ktorej predmetom činnosti je spracovanie účtovníctva a mzdová a personálna agenda. Externá firma odporučila tomuto prevádzkovateľovi, aby určil zodpovednú osobu, t. j. aby poveril externým výkonom funkcie zodpovednej osoby práve túto externú firmu (za odplatu). Hoci mzdové účtovníctvo zahŕňa spracúvanie osobných údajov dotknutých osôb ako jednu z hlavných činností prevádzkovateľa, podľa nášho názoru nejde o pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu s prihliadnutím na počet klientov takejto malej účtovnej firmy, ale aj na účel a spôsob spracovania. V usmernení pracovnej skupiny zriadenej podľa článku 29 Všeobecného nariadenia (WP 29) sa ako príklad toho, čo nepredstavuje spracúvanie vo veľkom rozsahu, uvádza spracúvanie dát pacientov jednotlivým všeobecným lekárom.

Prečítajte si tiež: Dôležité aspekty zmluvy o sociálnej službe

„WP29 odporúča, aby si prevádzkovatelia a sprostredkovatelia zdokumentovali internú analýzu, ktorú vykonali s cieľom rozhodnúť, či má byť zodpovedná osoba určená alebo nie, aby boli schopní demonštrovať, že riadne vzali do úvahy všetky relevantné faktory. Takáto analýza má byť súčasťou dokumentácie v súlade so zásadou zodpovednosti prevádzkovateľa/sprostredkovateľa. A tým sa vraciame k presvedčeniu, že hlavná zmena, ktorú Všeobecné nariadenie prinieslo, je potreba analýzy, zváženia všetkých faktorov a zamyslenia sa, ako protikladu k mechanickému vypĺňaniu formulárov a nadbytočnému vyžadovaniu súhlasov.

Licencie pre lekárov a ich význam

V zmysle zákona 578/2004 Z.z. existujú rôzne typy licencií pre lekárov:

• L1A - licencia na výkon samostatnej zdravotníckej praxe - určená pre lekárov, ktorí neplánujú mať vlastné zdravotnícke zariadenie, ale budú poskytovať zdravotnú starostlivosť u iných poskytovateľov alebo na inom mieste ako je zdravotnícke zariadenie. Držiteľ licencie sa stáva podnikateľom.
• L1B - licencia na výkon zdravotníckeho povolania v povolaní lekár - určená pre lekárov, ktorí chcú prevádzkovať vlastné zdravotnícke zariadenie.
• L1C - licencia na výkon činnosti odborného zástupcu - licencia pre lekára, ktorý si zakladá s.r.o., n.o. alebo inú právnickú osobu za účelom prevádzkovania zdravotníckeho zariadenia.
• L1D - licencia na výkon lekárskej posudkovej činnosti - určená pre lekárov vykonávajúcich výkon lekárskej posudkovej činnosti na inom mieste ako v zdravotníckom zariadení.

Žiadateľ podáva žiadosť o vydanie licencie v listinnej forme na RLK (regionálnom sekretariáte) podľa miesta výkonu povolania alebo v prípade, ak ešte povolanie nevykonáva, na RLK príslušnej podľa miesta budúceho výkonu povolania alebo elektronicky s kvalifikovaným elektronickým podpisom alebo pečaťou. Ak nebola žiadosť podaná úplne, pracovník regionálneho sekretariátu vyzve žiadateľa na doplnenie žiadosti a upozorní ho, že 30-dňová lehota na vydanie licencie začína plynúť dňom doručenia úplnej žiadosti na RLK. Po prijatí úplnej žiadosti alebo po doplnení neúplnej žiadosti pracovník regionálneho sekretariátu vyznačí na úplnej žiadosti dátum prevzatia a úplnú žiadosť zašle na Slovenskú lekársku komoru so sídlom v Bratislave, Račianska 42/A, PSČ: 831 02 a to najneskôr do 3 dní od jej prevzatia. Pracovník sekretariátu SLK žiadosť predloží na schválenie najbližšiemu zasadnutiu Prezídia SLK tak, aby bola žiadosť schválená najneskôr do 30 dní odo dňa prevzatia úplnej žiadosti na regionálnom sekretariáte. Pracovník sekretariátu komory súčasne pripraví doklad o vydaní licencie tak, aby mohla byť licencia podpísaná prezidentom komory bezprostredne po jej schválení prezídiom SLK.

Preukazuje sa úradne osvedčenými kópiami vysokoškolského diplomu, diplomu o špecializácii alebo certifikátom na výkon certifikovaných pracovných činností. Lekár, ktorý nadobudol odbornú spôsobilosť v zahraničí, preukazuje odbornú spôsobilosť aj osvedčenou kópiou dokladu o uznaní vzdelania. Zdravotná spôsobilosť sa preukazuje lekárskym posudkom o zdravotnej spôsobilosti vo vzťahu k výkonu príslušného zdravotníckeho povolania - vzor vyššie na stiahnutie. Občania SR s trvalým pobytom v SR nedokladajú výpis z registra trestov. Na účel preukázania bezúhonnosti poskytujú údaje potrebné na vyžiadanie výpisu z registra trestov - príloha č. 1 žiadosti o vydanie licencie. potvrdenie zamestnávateľov (na potvrdení je potrebné uviesť konkrétnu ŠPECIALIZÁCIU), resp.

Za účelom ďalšieho použitia licencie (napr. vydanie povolenia na prevádzkovanie zdravotníckeho zariadenia) je potrebné nechať si na licenciu vyznačiť právoplatnosť. Právoplatnosť si môžete dať vyznačiť na sekretariátoch regionálnych komôr. Licencia nadobúda právoplatnosť uplynutím lehoty na odvolanie (16. deň odo dňa jej doručenia).

Držiteľ licencie môže požiadať o dočasné pozastavenie licencie najviac na jeden rok a to listinným podaním doručeným na RLK alebo SLK alebo elektronicky s kvalifikovaným elektronickým podpisom alebo pečaťou. Zákon nevylučuje požiadať o dočasné pozastavenie licencie aj opakovane. Držiteľ licencie môže požiadať o zrušenie licencie, a to listinným podaním doručeným na RLK alebo SLK alebo elektronicky s kvalifikovaným elektronickým podpisom alebo pečaťou. Upozorňujeme, že v zmysle 74 ods. 1 písm. a) zákona č. 578/2004 Z.z. môže SLK licenciu zrušiť najskôr ku dňu, ktorý nasleduje mesiac po doručení žiadosti o zrušenie licencie na SLK (napr. Ak žiadosť o zrušenie licencie bude doručená dňa 31.01.

Duplikát licencie bude označený v pravom hornom rohu slovom „DUPLIKÁT“. Duplikát je odovzdaný žiadateľovi až po predložení dokladu o zaplatení za vydanie duplikátu.

Príkazná zmluva vs. pracovná zmluva s lekárom

Momentálne časť lekárskych služieb zabezpečujú lekári, ktorí sú u zamestnávateľa v TPP a časť sa zabezpečuje dodávateľsky - lekármi, ktorí následne fakturujú tieto služby. Bolo by možné zabezpečiť služby interných lekárov cez príkaznú zmluvu? (Teda že by mal zamestnávateľ s nimi uzavretú pracovnú zmluvu na TPP a okrem toho ešte príkaznú zmluvu, ktorá by sa týkala výlučne služieb na oddelení - ide priemerne o cca 4 služby mesačne/lekár - niekedy viac, niekedy menej).

Príkaznou zmluvou, uzatvorenou podľa § 724 až § 741 Občianskeho zákonníka, sa príkazník zaväzuje, že pre príkazcu obstará nejakú vec alebo vykoná inú činnosť.

1. Ak je v príkaznej zmluve dohodnutá činnosť a podmienky vykonávania tejto činnosti tak, že spĺňajú kritériá závislej práce podľa § 1 ods. 2 Zákonníka práce, odmena poskytnutá za vykonanú činnosť je príjmom zo závislej činnosti podľa § 5 ods. 1 písm. a) zákona č. 595/2003 Z. z. o dani z príjmov, v zmysle ktorého príjmom zo závislej činnosti sú príjmy z pracovnoprávneho vzťahu, služobného pomeru, štátnozamestnaneckého pomeru alebo členského pomeru, alebo z „obdobného vzťahu, v ktorom je daňovník pri výkone práce pre platiteľa príjmu povinný dodržiavať pokyny alebo príkazy platiteľa príjmu“, a to bez ohľadu na to, či ide o pravidelný, nepravidelný alebo jednorazový príjem. Ak príkazná zmluva zakladá právo na príjem zo závislej činnosti podľa § 5 ods.
2. Ak sú v príkaznej zmluve podmienky vykonania činnosti dohodnuté tak, že nespĺňajú kritériá závislej práce a činnosť vykonáva fyzická osoba jednorazovo alebo opakovane, na základe živnostenského oprávnenia alebo iného oprávnenia, príjem sa považuje za príjem z podnikania a z inej samostatne zárobkovej činnosti podľa § 6 ods. 1 a 2 zákona o dani z príjmov. Platiteľ odmeny takto vyplatený príjem nezdaňuje a ani neodvádza poistné na sociálne a zdravotné poistenie. Príjem vyplatený príkazníkovi je jeho zdaniteľným príjmom a súčasťou základu dane z príjmov z podnikania a inej samostatne zárobkovej činnosti.
3. Ak sú v príkaznej zmluve podmienky vykonania činnosti dohodnuté tak, že nespĺňajú kritériá závislej práce a činnosť je vykonaná len jednorazovo osobou bez živnostenského alebo iného oprávnenia, príjem z takejto príkaznej zmluvy je možné považovať za ostatný príjem podľa § 8 zákona o dani z príjmov. Platiteľ odmeny takto vyplatený príjem nezdaňuje a ani neodvádza poistné na sociálne a zdravotné poistenie. Príkazník je povinný takýto príjem priznať v daňovom priznaní spolu s ostatnými zdaniteľnými príjmami.

Ak výkon práce pre platiteľa príjmu (neštátne zdravotnícke zariadenie) spĺňa podmienku, že fyzická osoba (lekár) vykonáva činnosť podľa pokynov a príkazov platiteľa príjmu, nie pod svojím menom, nie na vlastný účet, takéto príjmy patria medzi príjmy zo závislej činnosti, aj pri poskytovaní na základe príkaznej zmluvy.

Ochrana osobných údajov v zdravotníctve

Ochrana osobných údajov je v Slovenskej republike upravená zákonom Národnej rady Slovenskej republiky č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov a Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27.

Ako verejnoprávna inštitúcia spracúvame Vaše osobné údaje vo väčšine prípadov priamo na základe zákona (napr. zákon č. 131/2002 Z.z. o vysokých školách v znení neskorších predpisov) na plnenie naších zákonných povinností a plnenie úloh realizovaných vo verejnom záujme. SZU archivuje a uchováva osobné údaje dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú. Akékoľvek náhodne získané osobné údaje v žiadnom prípade ďalej systematicky nespracúvame na žiadny účel vymedzený Prevádzkovateľom a/alebo ustanovený Prevádzkovateľovi zákonom. Ak je to možné informujeme dotknutú osobu, ktorej náhodne získané osobné údaje patria o ich náhodnom získaní a podľa povahy prípadu jej poskytneme potrebnú súčinnosť vedúcu k obnoveniu kontroly nad jej osobnými údajmi.

Máte právo na poskytnutie kópie osobných údajov, ktoré o Vás máme k dispozícii, ako aj na informácie o tom, ako Vaše osobné údaje používame. Vo väčšine prípadov budú Vaše osobné údaje poskytnuté v písomnej listinnej forme, pokiaľ nepožadujete iný spôsob poskytnutia. Prijímame primerané opatrenia, aby sme zabezpečili presnosť, úplnosť a aktuálnosť informácií, ktoré o Vás máme k dispozícii. osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa § 15 ods. 1. V prípadoch, kedy Vaše osobné údaje spracúvame na základe Vášho súhlasu, máte právo tento súhlas kedykoľvek odvolať. Zároveň máte právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi, ak je to technicky možné a ak sa spracúvanie Vašich osobných údajov vykonáva automatizovanými prostriedkami (t.j. Toto právo nesmie mať nepriaznivé dôsledky na práva iných osôb. V prípade, že by ste boli priamo dotknutí na svojich právach ustanovených zákonom o ochrane osobných údajov máte podľa § 100 tohto zákona právo podať Úradu na ochranu osobných údajov SR návrh na začatie konania o ochrane osobných údajov. Vzor návrhu zverejňuje Úrad na svojom webovom sídle.

tags: #zmluva #s #lekarom #GDPR #vzor