GDPR – řada dalších důležitých témat


Autoři: Mgr. MUDr. Jaroslav Maršík
Vyšlo v časopise: Čas. čes. lék., 89, 2017, č. 11, s. 24-25

V minulém čísle jsme se stručně uvedli do světa podle GDPR (General Data Protection Regulation, neboli nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně osobních údajů v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, přímo účinné od 25. 5. 2018) a slíbili si, že v dalších pokračováních se některými jeho zákoutími probereme důkladněji.


Nabízí se různá témata, ale mám-li vybrat ta nejžádanější, pak bychom si dnes měli odpovědět na dvě nejčastěji pokládané otázky. První – co pro vás, lékárnice a lékárníky, ohledně GDPR udělá komora? A druhá – které lékárny, či spíše jejich provozovatelé, si budou muset zajistit pověřence pro ochranu osobních údajů?

Komora se GDPR vyhnout nemůže. Musí se s ním vypořádat sama jako správce osobních údajů, který provádí rozsáhlé zpracování, a navíc je v postavení orgánu veřejné moci. Již jen proto musí celý svůj provoz přizpůsobit novému nařízení. Mj. bude muset připravit a vést záznamy o činnostech zpracování, zavést posouzení vlivu na ochranu osobních údajů, umět vyhovět požadavkům subjektů údajů (lidí) na informaci, zapomenutí, přenositelnost, dostatečně osobní údaje zabezpečit, a ta­ké ustanovit již zmíněného pověřence pro ochranu osobních údajů. To vše musí jít ruku v ruce s vybudováním nového systému členské evidence, protože ten stávající už dosluhuje. To vše je ale potýkání se komory s GDPR jen pro sebe samu. Z členské perspektivy je podstatnější, co lze od komory očekávat za pomoc pro lékárny.

Nejednoznačné odpovědi

Na téma GDPR je již nyní dostupné velké množství informací na obecné úrovni. Komora k nim přispívá i těmito články, ale není jejich smyslem opakovat vše, co lze dohledat např. na internetových stránkách Úřadu pro ochranu osobních údajů, nebo co lze vyslechnout na nepřeberném množství seminářů a konferencí. Ještě i nyní, v listopadu 2017, se dočkáváme mnoha různých výkladů o tom, co GDPR obnáší a jak mu vyhovět. Všechny se shodují v tom, že nesestupují z určité úrovně nekonkrétnosti. Jednoduše řečeno, nikdo si netroufá na otázky, které každého správce pálí nejvíc, odpovědět jednoznačně. Namátkou jmenujme přesné hranice pro ustanovení pověřence, nakládání s maily, vizitkami, údaji v zálohových úložištích apod. Je to do značné míry dáno tím, že přesné odpovědi často ani nelze dát jinak, než přímo v prostředí jednotlivých správců osobních údajů. Některé odpovědi se časem určitě vyjasní. Jen zatím nikdo nesbírá odvahu k jejich formulování. To, co zvláště zajímá lékárníky, by měla umět definovat, a také pomoci řešit, právě komora.

Předpokládáme, že v průběhu příštích měsíců komora ve spolupráci s ÚOOÚ připraví a zveřejní stanoviska např. k povinnosti posouzení vlivu na ochranu osobních údajů, rozsahu záznamů o činnostech zpracování, podobě a užívání souhlasu k zacházení s osobními údaji, povinnosti ustanovení pověřence nebo úpravy smlouvy o zpracování osobních údajů (typicky lékárenské software). To vše v závislosti na tom, jak se budou použitelné informace objevovat ve všeobecně akceptované podobě. Ideálním cílem pak je vypracování kodexu chování předpokládaného článkem 40 nařízení a jeho schválení dozorovým úřadem. V ČR je jím ÚOOÚ. Kodex by pak měl být vodítkem provozovatelům lékáren, které by jim mělo ulehčit uplatňování GDPR v jejich lékárně. ÚOOÚ je k těmto aktivitám vstřícný. Z kontaktu s kolegy z lékařské komory vyplývá, že se nacházejí v obdobném stadiu jako komora lékárnická. Již nyní lze ale říci, že větší provozovatelé lékáren, tedy buď skutečně velkých lékáren, nebo většího počtu lékáren, se musí více než na stanoviska komory spolehnout na vlastní síly. GDPR je už takové, že jeho řádná aplikace zdaleka nespočívá jen v důkladném seznámení se s teorií, ale především v odpracování si analýzy, vyhodnocení, přenastavení, zabezpečení a udržování souladného zacházení s osobními údaji ve svých lékárnách a při jejich řízení.

Pověřenec pro ochranu osobních údajů

Pojďme se nyní věnovat druhému dnešnímu tématu, tedy pověřenci pro ochranu osobních údajů. Jde o institut, který je nový. Nynější právní úprava ochrany osobních údajů, reprezentovaná u nás zákonem o ochraně osobních údajů, jej nezná. Mluví se o tom, že pověřenců bude v ČR zapotřebí několik tisíc, že má jít ideálně o osoby orientované současně v právu, IT a řízení rizik, že osoby splňující tato kritéria se buď vůbec nevyskytují, anebo jsou jejich jednotky už rozebrány a věnují se jiným činnostem. Vypadá to tedy, že o pověřence bude nouze a budou drazí. O to více je pochopitelná snaha správců osobních údajů vydávat se za ty, kteří pověřence mít nemusí. Jak to tedy s pověřenci vypadá?

Pověřence musí jmenovat orgány veřejné moci, dále správci nebo zpracovatelé, jejichž hlavní činnosti vyžadují rozsáhlé a systematické monitorování subjektů údajů, a správci nebo zpracovatelé, jejichž hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií údajů (dnešní citlivé údaje). Poslední kategorie, tedy rozsáhlé zpracování zvláštních kategorií údajů, se týká právě oblasti zdravotnictví, protože mezi tyto kategorie patří i údaje o zdravotním stavu. V prostředí chudém na jasné informace vyčnívá všeobecně známý příklad, že nemocnice zcela jistě rozsáhlé zpracování provádí a pověřence proto potřebovat bude, zatímco praktický lékař působící v jedné ordinaci rozsáhlé zpracování neprovádí a pověřence nepotřebuje. Ohledně lékáren bohužel žádný takový vzorový příklad znám není a není pro ně ani snadno použitelný zmíněný příklad praktického lékaře. Po předběžné konzultaci s ÚOOÚ  je zřejmé, že není zájem na tom, aby byl každý provozovatel lékárny povinen jmenovat pověřence. Zejména u provozovatelů jednotlivých menších lékáren by šlo o nesplnitelný požadavek. Má se za to, že v oblasti zdravotnictví je rizikovost zacházení s osobními údaji i přes jejich „citlivost“ snížena tím, že podléhá přísným regulím už ze samotné právní úpravy poskytování zdravotních služeb. Proto se lze spoléhat na to, že se s údaji o pacientech i bez GDPR zachází opatrně, a k tomu se přihlíží i při posuzování přísnosti při plnění povinností podle nařízení. Bude-li tedy lékárna poskytovat běžnou lékárenskou péči v menším provozu a bez marketingového podchycení pacientů, nebude muset pověřence jmenovat. Záměrně volím takto jednoznačný příklad a nerozšiřuji jej za účelem hledání ostré hranice mezi lékárnami bez pověřence a s ním. Více si zatím nelze troufat. Máme ale v úmyslu připravit jakousi řadu typů lékáren podle velikosti, činností, zásilkového výdeje a marketingových nabídek a pokusit se s ÚOOÚ vytyčit přesnější kontury množiny lékáren, které pověřence potřebovat nebudou.

Dostatečné kvality v oblasti práva jsou nutností

Pověřenec může být zaměstnancem nebo může působit na základě smlouvy o poskytování služeb. Jedna osoba může být pověřencem pro vícero správců. Není nijak početně omezeno, pro kolik, ale vždy by měl být schopen plnit u všech správců své povinnosti. Kva­lifikace pověřence není definována dosaženým vzděláním. Měl by mít dostatečné profesní kvality v oblasti práva a praxe v oblasti ochrany osobních údajů a schopnost plnit úkoly podle GDPR. Protože víme, že takových osob bude jako šafránu, počítá se s tím, že se pověřenci stanou osoby, které zpočátku nebudou oplývat všemi předpokládanými vlastnostmi, ale že se za pochodu vzdělají. V mnoha případech už se tak děje. Mezi potřebné vlastnosti bych dále zařadil i schopnost komunikovat s vedením správce, subjekty osobních údajů a ÚOOÚ. Pověřenec musí být u správce (nebo zpracovatele) zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů, musí mu být poskytnuty zdroje k plnění jeho úkolů, nesmí mu být udíleny žádné pokyny týkající se výkonu těchto úkolů.

Přímo podřízen je vrcholovým řídícím pracovníkům správce nebo zpracovatele. Může plnit i jiné úkoly, ale nesmí se kvůli nim dostat do střetu zájmů. Mezi jeho úkoly patří nejméně poskytování poradenství a informací správcům a zpracovatelům a monitorování souladu zpracování osobních údajů s nařízením. To vylučuje, aby byl tím, kdo přímo zavádí opatření při zpracování, protože by následně kontroloval svou vlastní činnost, což je nežádoucí. Na pověřence se mohou obracet subjekty údajů, pověřenec spolupracuje s ÚOOÚ a působí jako kontaktní místo pro ÚOOÚ.

Doporučuje se, aby i správci, kteří pověřence jmenovat nemusí, měli zaměstnance, nebo spolupracující osobu orientovanou v ochraně osobních údajů, která jim bude schopna poskytovat poradenství. Na takového poradce se nevztahují výše uvedená pravidla. Jen je nutné takovou osobu nevydávat za pověřence. A ještě jedna důležitá poznámka. Pověřence nelze jmenovat jen pro určitou část zacházení s osobními údaji. Pokud už je pověřenec jmenován, pak vždy pro veškeré zacházení s osobními údaji. Bude-li u provozovatele lékáren jmenován pověřenec, stane se tak nepochybně kvůli zpracování osobních údajů pacientů. Jakmile bude jmenován, bude jeho úkolem dohlížet na zpracování osobních údajů nejen pacientů, ale i zaměstnanců, obchodních partnerů a všech dalších fyzických osob.

Příští číslo časopisu bude zřejmě věnované eReceptu. Proto se nad dalšími informacemi o GDPR setkáme už v roce jeho počátku.

Mgr. MUDr. Jaroslav Maršík


Štítky
Farmacie Farmakologie Farmaceutický asistent
Článek Editorial

Článek vyšel v časopise

Časopis českých lékárníků

Číslo 11

2017 Číslo 11

Nejčtenější v tomto čísle

Tomuto tématu se dále věnují…


Kurzy

Zvyšte si kvalifikaci online z pohodlí domova

Mnohočetný myelom: Úvodní léčba netransplantovatelných pacientů
nový kurz

Cesta pacienta s CHOPN
Autoři: doc. MUDr. Vladimír Koblížek, Ph.D.

Kopřivka a její terapie
Autoři: MUDr. Petra Brodská

Uroinfekce v primární péči
Autoři: MUDr. Marek Štefan

Hojení ran
Autoři: PharmDr. Irma Miklášová

Všechny kurzy
Přihlášení
Zapomenuté heslo

Nemáte účet?  Registrujte se

Zapomenuté heslo

Zadejte e-mailovou adresu se kterou jste vytvářel(a) účet, budou Vám na ni zaslány informace k nastavení nového hesla.

Přihlášení

Nemáte účet?  Registrujte se