Lázně Darkov, a.s.
Inspektorka Úřadu provedla v termínu od 14. listopadu 2014 do 16. prosince 2014 kontrolu společnosti Lázně Darkov, a.s. (dále jen „Společnost“), jejímž předmětem bylo dodržování povinností správce osobních údajů stanovených v hlavě II zákona č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů (dále jen „zákon č. 101/2000 Sb.“) se zaměřením na zabezpečení osobních údajů – zdravotnické dokumentace (dále také „ZD“).
Kontrola Společnosti byla provedena na základě podnětu, který byl Úřadu postoupen Obvodním oddělením Policie České republiky Karviná – Mizerov dne 22. září 2014 a obsahoval podezření, že Společnost porušila ustanovení § 13 zákona č. 101/2000 Sb., neboť zjistila, že ve Společnosti došlo ke ztrátě 22 úplných zdravotnických dokumentací klientů – pacientů. Policie ČR předala Úřadu spisovou dokumentaci, obsahující popis zjištěných skutečností, získaných vlastním šetřením.
Z poznatků získaných v průběhu kontroly a z vyžádaných dokladů a dokumentů od Společnosti byl zjištěn skutkový stav a následně provedeno právní hodnocení. V Protokolu o kontrole inspektorka Úřadu konstatovala, že Společnost v rámci své základní činnosti, tj. poskytování lázeňské péče ústavní, ambulantní zdravotní péče v oboru rehabilitační a fyzikální medicíny, praktického lékařství pro dospělé, poskytování sociálních služeb, je jako poskytovatel zdravotní péče povinna vést a uchovávat zdravotnickou dokumentaci a nakládat s ní podle ustanovení § 52 a násl. zákona č. 372/2011 Sb., o zdravotních službách.
Zdravotnická dokumentace je souborem informací vztahujících se ke konkrétnímu pacientovi, o němž je vedena a která zaznamenává dle § 53 odst. 2 písm. a) a g) výše uvedeného zákona identifikační údaje pacienta, kterými jsou jméno, popřípadě jména, příjmení, datum narození, rodné číslo, je-li přiděleno, číslo pojištěnce veřejného zdravotního pojištění a další údaje včetně informací o zdravotním stavu pacienta, o průběhu a výsledku poskytovaných zdravotních služeb a dalších významných okolnostech souvisejících se zdravotním stavem pacienta a s postupem při poskytování zdravotních služeb, včetně údajů zjištěných z rodinné, osobní a pracovní anamnézy pacienta, a je-li to důvodné, též údaje ze sociální anamnézy a další údaje podle zákona o zdravotních službách nebo jiných právních předpisů upravujících zdravotní služby nebo poskytování zdravotní péče. Je tedy nepochybné, že Společnost zpracovává informace, na základě kterých lze identifikovat konkrétní fyzickou osobu a informace, které se této konkrétní fyzické osoby týkají, tedy zpracovává osobní údaje dle § 4 písm. a) zákona č. 101/2000 Sb. Jako poskytovatel zdravotních, sociálních, léčebných, lázeňských a dalších služeb zpracovává informace vypovídající o zdravotním stavu svých klientů – pacientů, a to v rozsahu upraveném § 53 a násl. zákona č. 372/2011 Sb., tedy zpracovává citlivé údaje pacientů dle § 4 písm. b) zákona č. 101/2000 Sb. Osobní údaje a citlivé údaje v rámci poskytování zdravotní, léčebné, resp. lázeňské péče shromažďuje, zapisuje a dále uchovává a využívá v elektronické a listinné podobě, tedy je shromažďuje, ukládá na nosiče informací, zpřístupňuje, upravuje, pozměňuje, vyhledává, používá, předává atd., čímž dle § 4 písm. e) zákona č. 101/2000 Sb. osobní a citlivé údaje zpracovává. Jako poskytovatel lázeňské péče ústavní, ambulantní zdravotní péče v oboru rehabilitační a fyzikální medicíny, praktického lékařství pro dospělé, poskytování sociálních služeb určila Společnost účel zpracování osobních údajů, současně určila i prostředky zpracování osobních údajů, provádí zpracování dle příslušných právních předpisů, dle § 4 písm. j) zákona č. 101/2000 Sb. je Společnost správcem osobních údajů a za toto zpracování odpovídá.
Dále inspektorka Úřadu konstatovala, že Společnost nejpozději od 15. července do 1. srpna 2014 ztratila přehled o dispozici a uložení 22 zdravotnických dokumentací klientů – pacientů, kteří nejpozději ke dni 15. července 2014 ukončili svůj léčebně-rehabilitační léčebný pobyt v lázních. Společnost jako správce osobních údajů odpovídá dle § 13 odst. 1 zákona č. 101/2000 Sb. za ztrátu 22 zdravotnických dokumentací s osobními a citlivými údaji 22 subjektů údajů, obsahujících lékařskou zprávu o výsledku léčení, medikační list, ošetřovatelskou dokumentaci, lázeňský návrh, informovaný souhlas k výkonům, chorobopis a další dokumenty dle zdravotního stavu klienta a požadavku ošetřujícího lékaře (záznam o ergoterapii, logopedická zpráva, cílené funkční testy a vyšetření, konziliární vyšetření, popisy zobrazovacích vyšetření, EKG záznam, sledování glykemie, sledování bilance tekutin, laboratorní výsledky, schválení průvodce pobytu, schválení o prodloužení pobytu zdravotní pojišťovny, hlášení výskytu nemocničních a ostatních nákaz, žádost o nahlížení a pořizování zdravotnické dokumentace, hlášení o pádu klienta, zdravotně sociální záznam, léčebný průkaz). Společnost tedy jako správce osobních údajů porušila povinnost správce dle § 13 odst. 1 zákona č. 101/2000 Sb., neboť nepřijala taková opatření, aby nemohlo dojít ke ztrátě osobních a citlivých údajů shromažďovaných ve zdravotnické dokumentaci 22 subjektů údajů.
V reakci na zaslaný Protokol o kontrole Společnost zaslala Úřadu informaci o rozšíření přijatých technicko-organizačních opatřeních na všech úrovních poskytování zdravotních služeb, kde zdravotnický personál přijde do styku se ZD. Společnost zavedla prokazatelné předávání ZD nebo její části od přijetí pacienta – klienta, průběhu jeho léčby, až po uložení zdravotnické dokumentace do Spisovny zdravotnické dokumentace. Systém managementu kvality Společnost rozšířila o interní audity zaměřené na dodržování předpisů, které se týkají nakládání se ZD. Opakovaně byla provedena kontrola oprávnění přístupů zdravotnických pracovníků do systému elektronické ZD, evidence klíčů a zapůjčení chorobopisů ze Spisovny zdravotnické dokumentace, kde byla tato možnost omezena na ředitelku léčebné péče a hlavní sestru s prokazatelnou evidencí.
S ohledem na uvedené informace o rozšíření technicko-organizačních opatření Úřad nezahájil se Společností správní řízení o uložení opatření k nápravě, neboť avizovaná přijatá opatření považoval za dostatečná.
V následném správním řízení byla rozhodnutím správního orgánu ve druhém stupni Společnosti uložena pokuta ve výši 220.000 Kč.
Kontrolu řídila inspektorka Jana Rybínová.