GDPR Pravidla pro majitele ordinací a zdravotnických zařízení

Jak jsme slíbili v posledním díle seriálu o GDPR, tak přinášíme jednoduchá pravidla, jak být v souladu s novým nařízením. Hned úvodem si řekněme, jaká je vlastně definice GDPR (General Data Protection Regulation), které vejde v platnost 25. května 2018. GDPR = Nařízení evropského parlamentu a rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

 

GDPR není třeba se bát, celá řada pravidel je velmi podobná jako dosud platný zákon na ochranu osobních údajů 101/2000 Sb., který lékaři museli dodržovat dávno před novým nařízením.

 

Nyní k praktickým pravidlům:

 

  1. Každá ordinace/zdravotnické zařízení (dále jen ZZ) bude potřebovat nastavit a popsat interní procesy. Ty budou průvodcem i ochranou osobních údajů (dále jen OÚ) v jednotlivých situacích, podle aktuálních zákonů a nařízení.
  2. OÚ je možné shromažďovat a zpracovávat pouze:
    1. se souhlasem pacienta,
    2. z důvodu plnění smlouvy,
    3. je-li ke zpracování OÚ právní povinnost
    4. neplní-li lékař/majitel ZZ ani jeden důvod vlastnit OÚ, musí je skartovat
  3. Je nutné chránit OÚ i v rámci jejich přesunu mezi lékaři i ZZ.
  4. Používání emailu k přenosu OÚ je vysoce rizikové a není dostatečně bezpečné. Je třeba proto zvolit vhodné softwarové řešení, které je zašifrované.
  5. Uložení např. karet pacientů, které jsou plné OÚ, je nutné mít adekvátně zabezpečeny. Doporučujeme použít na kartotéky bezpečnostní zámky.
  6. Je třeba myslet také na pracovní stůl lékaře. Zde se nesmí vyskytovat žádné OÚ jiného pacienta, než právě vyšetřovaného. (Toto pravidlo lze překonat např. otočením karet pacientů tak, aby nešly přečíst žádné údaje.)
  7. Každý správce OÚ je povinen zajistit vhodná technická a organizační opatření k zabezpečení dat. A to jak v oblasti fyzické bezpečnosti, tak také softwarového vybavení (např. vždy aktuální antivirový program nebo individuální heslo do PC pro každého zaměstnance).
  8. Za OÚ je vždy zodpovědný lékař (správce – zpracovatel).
  9. GDPR se týká také Vašich zaměstnanců – po ukončení pracovního poměru je nutné jeho OÚ skartovat po uplynutí zákonné lhůty.
  10. A ještě jednou – heslo do PC musí mít každý zaměstnanec své vlastní. Není tedy možné nahlížet do PC pod heslem jiného zaměstnance a už vůbec ne pod heslem lékaře.