Ochrana osobních údajů (GDPR)
Nařízení GDPR
Co znamená GDPR
Obecné nařízení o ochraně osobních údajů neboli GDPR (General Data Protection Regulation) je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě.
GDPR se týká každého, kdo s osobními údaji při svém podnikání či působení pracuje. Občané EU tak opět získají kontrolu nad svými osobními údaji.
Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji – zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem GDPR je chránit digitální práva občanů EU.
GDPR platí v celé EU jednotně od 25. května 2018. V Česku tak nahrazuje současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a vynutilo zrušení původního zákona č. 101/2000 Sb., o ochraně osobních údajů. Současný platný zákon č. 110/2019 Sb., o zpracování osobních údajů, již upřesňuje některé oblasti a dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů na vnitrostátní úrovni. U některých aspektů dokonce Obecné nařízení předpokládá vnitrostátní úpravu, mezi ně patří například: věk způsobilosti dítěte pro souhlas na 15 let, aspekty zpracování osobních údajů pro účely výkonu svobody projevu, práva na informace, svobody vědeckého bádání a umělecké tvorby.
To, že nová pravidla byla přijata formou evropského nařízení, znamená především jejich jednotnou platnost ve všech státech EU, aby je národní vlády a zákonodárci nemohli jakkoli ohýbat a přizpůsobovat místním zájmům nebo lobbistům.
Kompletní znění GDPR v českém překladu jako „Obecné nařízení o ochraně osobních údajů“ naleznete zde.
GDPR ve zdravotnictví
Osoby pracující ve zdravotnictví přicházejí každodenně do kontaktu s množstvím osobních údajů. Předmětem GDPR je co nejvíce ochránit fyzické osoby, jejichž osobní informace by měly být (zdravotnictví nevyjímaje) přísně chráněny před porušením jejich zabezpečení, tedy byť i náhodnému zničení, ztrátě, změně, nebo i neoprávněnému poskytnutí nebo zpřístupnění.
Ve zdravotnictví je třeba trvat na komplexnějším zpracovávání osobních údajů pacientů, členů jejich rodiny, zaměstnanců, ale především i osob zranitelných (děti) a osob, které souhlas se zpracováním osobních údajů nejsou schopny samy poskytnout.
Pro citlivé údaje zpracovávané ve zdravotnictví jsou stanoveny přísnější podmínky než pro obecné osobní údaje, jedná se o tyto typy údajů:
- údaje o zdravotním stavu (takové, které se týkají tělesného a duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu);
- genetické údaje (údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby);
- biometrické údaje (například zobrazení obličeje nebo daktyloskopické údaje);
- další.
Podmínkou zpracování zvláštních kategorií údajů je zejména to, že:
- zpracování je nezbytné pro účely poskytování zdravotních služeb;
- zpracování je nezbytné z důvodu významného veřejného zájmu v oblasti veřejného zdraví;
- subjekt údajů (např. pacient) udělí výslovný souhlas s jejich zpracováním pro jeden nebo více stanovených účelů.
Souhlas se zpracováním osobních údajů ve zdravotnictví
Pokud není zpracování prováděno na základě právního, smluvního vztahu nebo oprávněného zájmu je nezbytné pro subjekt údajů (např. pacient) poskytnout souhlas s jejich zpracováním, který je dle nařízení „svobodný, konkrétní, informovaný a jednoznačný projev vůle, ve kterém subjekt údajů prohlašuje, nebo jinak zjevně potvrzuje své svolení ke zpracování osobních údajů“.