Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Obchodní společnost

Kontrola osobních údajů při vedení kartotéky pacientů v cloudové aplikaci

Kontrola byla zařazena do Kontrolního plánu Úřadu pro rok 2019 na základě stížnosti, jejímž předmětem bylo zřízení a následná žádost o zrušení účtu pacienta (stěžovatele) v systému XY. Stížnost směřovala jak na postup lékaře při vytvoření daného účtu, tak na postup kontrolované osoby při vyřizování žádosti o jeho zrušení.

Kontrolou bylo zjištěno, že aplikace XY je tzv. cloudová aplikace, která poskytuje zdravotnickým zařízením funkci ambulantního informačního systému. Aplikace XY má základní verzi, ke které se připojují, na základě požadavků objednatele (zdravotnického zařízení, lékařů), další moduly. Jádrem aplikace XY je databázové řešení pro správu kartotéky pacientů, v níž lze registrovat pacienta v zařízení, založit jeho kartu i karty jednotlivých návštěv, vést záznamy o léčbě či plánovat návštěvy pacienta. Základní jednotkou v aplikaci XY je zdravotnické zařízení, pod nímž je vytvořena ordinace, resp. více ordinací. Databáze pacientů (kartotéka) je pak vedena vždy v rámci konkrétní ordinace. Data pacientů může do aplikace XY zadávat pouze správce zdravotnického zařízení, resp. lékař (tj. pacienti se v aplikaci neregistrují sami). Kontrolovaná osoba dodává aplikaci XY zdravotnickým zařízením (lékařům) a dále její činnost spočívá především v nastavení uživatelského účtu správce, poskytování vzdálené technické podpory, s možným přístupem k osobním údajům pacienta se souhlasem zdravotnického zařízení (lékaře). Na základě uzavřených smluv pak kontrolovaná osoba poskytuje virtuální prostor pro ukládání dat z aplikace XY a zajišťuje technické řešení provozu datového online systému XY. Na základě kontrolních zjištění bylo vyhodnoceno, že kontrolovaná osoba je v postavení zpracovatele osobních údajů podle čl. 4 bod 8) nařízení (EU) 2016/679. Předmětného zpracování se na straně kontrolované osoby účastní i další zpracovatelé, a to společnost poskytující cloudové úložiště a společnost zajišťující technickou správu a rozvoj aplikace.

S ohledem na postavení kontrolované osoby je zřejmé, že většina povinností vyplývajících pro správce osobních údajů z nařízení (EU) 2016/679 při využívání systému XY, se primárně vztahuje nikoli na kontrolovanou osobou, ale na jednotlivá zdravotnická zařízení, která jsou v pozici správců osobních údajů. Kontrolovaná osoba musí plnit povinnosti vztahující se na zpracovatele dle nařízení (EU) 2016/679. Kontrolou nebylo zjištěno, že by byl dán důvod k podezření z porušení ustanovení týkajících se právního základu pro zpracování či smluvního zakotvení spolupráce správce a zpracovatelů. Přímo i na kontrolovanou osobu se vztahují povinnosti uvedené v čl. 32 nařízení (EU) 2016/679, přičemž v tomto směru kontrolující konstatovali porušení citovaného ustanovení, a to s ohledem na absenci administrátorských logů zachycujících činnost kontrolované osoby a dalšího zpracovatele v aplikaci XY.

Ve vztahu k vyřízení stížnosti bylo kontrolou zjištěno, že na straně kontrolované osoby k žádnému pochybení nedošlo.

Doplňující informace

V rámci každého informačního systému, do kterého má přístup více uživatelů či subjektů, musí docházet k logování dílčích činností. Jde o povinnost imanentně vyplývající z článku 32 nařízení (EU) 2016/679.