5 najčastejších chýb, ktorých sa dopustili lekári od účinnosti GDPR

GDPR je účinný už vyše 18 mesiacov. Za toto obdobie sa mnohé veci objasnili, podnikatelia dostali odpovede na aplikačné problémy, Úrad vydal viacero usmernení a súdy rozhodli v celom rade prípadov. Napriek tomu nás však často kontaktujú lekári s problémami týkajúcimi sa GDPR. Väčšina týchto problémov vznikla z dôvodu, že lekári venovali GDPR len okrajovú pozornosť a nariadeniu neprikladali veľkú váhu.

1. Problematiku ochrany osobných údajov ponechali na starosť svojim zamestnancom

Zodpovednosť za dodržiavanie právnych predpisov týkajúcich sa ochrany osobných údajov má vždy prevádzkovateľ. Prevádzkovateľom je fyzická alebo právnická osoba, ktorá vymedzila účel a prostriedky spracúvania osobných údajov. Prevádzkovateľom môže byť priamo lekár, lekárska ambulancia či nemocnica.
Väčšina lekárov sa nevyzná alebo sa nezaujíma o zákonnú úpravu GDPR a nemá čas sa zaoberať ani vytvorením príslušnej dokumentácie k GDPR. Preto nechávajú problematiku ochrany osobných údajov v rukách sestričiek, asistentiek, či iných zamestnancov.
Takýto postup vám však neodporúčame. Vaša sestrička či asistentka nie je odborníčkou na ochranu osobných údajov a navyše za všetky chyby a nedostatky zodpovedáte vy ako prevádzkovateľ, nie ona.

2. Dokumentáciu k GDPR lekári nezaviedli do praxe

Mnoho lekárov sa však novými pravidlami ochrany osobných údajov skutočne zaoberalo. Niektorí poverili riešením GDPR odborníkov, iní si dokumentáciu spravili sami. Často sa však stretávame so situáciou, že lekári síce majú vypracovanú dokumentáciu k GDPR, avšak v praxi sa pravidlami ochrany osobných údajov vôbec neriadia.
GDPR nie je len administratívna záťaž, ale záležitosť, ktorú je potrebné zaviesť do praxe. Pokiaľ by vás navštívila kontrola, nestačí, že máte vypracovanú dokumentáciu. Kontrolóri skúmajú najmä to, či prevádzkovateľ dodržiava prijaté bezpečnostné opatrenia a základné zásady spracúvania osobných údajov.

3. Súhlas na spracúvanie osobných údajov ako právny základ

Lekár môže spracúvať osobné údaje na viacerých právnych základoch. V závislosti od toho, na aký účel osobné údaje spracúva, musí zvoliť správny právny základ. Osobné údaje možno spracúvať aj na právnom základe plnenia zmluvy, plnenia zákonnej povinnosti, oprávneného záujmu, ak je to nevyhnutné na ochranu životne dôležitého záujmu alebo so súhlasom pacienta.
Lekári a zdravotnícke zariadenia často zvolia ako právny základ pre spracúvanie osobných údajov súhlas pacienta. Robia tak “pre istotu”. Takýto postup je však nesprávny. Lekárom a zdravotníckym zariadeniam vyplýva povinnosť spracúvať osobné údaje priamo zo zákona o zdravotnej starostlivosti a iných relevantných právnych predpisov, a preto by osobné údaje mali primárne spracúvať na právnom základe plnenia zákonnej povinnosti, príp. na inom vhodnom právnom základe.
Ak žiadate od pacientov súhlas na spracúvanie osobných údajov, napriek tomu, že ich osobné údaje môžete spracúvať na inom právnom základe, vystavujete sa hrozbe vysokej pokuty.

4. Lekári neinformujú dotknuté osoby

Jednou z povinností lekára a zdravotníckeho zariadenia, je informovať pacientov a prípadne aj iné dotknuté osoby o podmienkach spracúvania ich osobných údajov. Práve táto povinnosť býva obvykle problematická. Niektorí lekári neposkytujú tieto informácie pacientom vôbec, iní ich síce v určitej miere aj poskytujú, avšak tieto sú neaktuálne, nepravdivé, či neúplné.
GDPR a zákon o ochrane osobných údajov presne ustanovuje, aké informácie máte svojim pacientom poskytnúť. K tomu, aby ste vedeli pripraviť zásady ochrany osobných údajov, je potrebné najprv vykonať audit spracúvania osobných údajov, aby ste zistili presný tok údajov smerom do ambulancie a z ambulancie. Zistené informácie následne zapracujete do zásad spracúvania osobných údajov, ktoré môžete zverejniť na vašom webovom sídle a vyvesiť v čakárni.

5. Nedostatočná bezpečnosť

Aj vy ste si kúpili novú uzamykateľnú skriňu a myslíte si, že sú osobné údaje dobre zabezpečené? Zabezpečenie ochrany osobných údajov by malo byť oveľa rozsiahlejšie a komplexnejšie. Jednou zo základných povinností prevádzkovateľa je prijať primerané technické a organizačné bezpečnostné opatrenia na zabezpečenie ochrany osobných údajov. Pri rozhodovaní, ktoré bezpečnostné opatrenia sú potrebné, musíte zvážiť, akými prostriedkami sa osobné údaje spracúvajú a kde sú umiestnené. Preskúmajte riziká, ktoré spracúvanie osobných údajov prostredníctvom týchto prostriedkov prináša a na základe výsledku zvoľte vhodné bezpečnostné opatrenia.