Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2020
  6. Kontrolní činnost v oblasti ochrany osobních údajů
  7. Poskytovatel zdravotních služeb (UOOU-01071/20)

Poskytovatel zdravotních služeb (UOOU-01071/20)

Kontrola zabezpečení osobních údajů zpracovávaných ve zdravotnické dokumentaci u poskytovatele ambulantních lékařských služeb

Kontrola byla zahájena na základě kontrolního plánu pro rok 2020. Předmětem kontroly bylo přijetí technických a organizačních opatření při zabezpečení zdravotnické dokumentace v elektronické a listinné podobě, tj. plnění povinností správce osobních údajů ve smyslu čl. 5 odst. 1 písm. f) a čl. 32 obecného nařízení, a to i v souvislosti s oznámeným poznatkem krajského úřadu a uděleným napomenutím ze strany Úřadu.

Kontrolou bylo zjištěno, že kontrolovaná osoba v rámci vedení zdravotnické dokumentace zpracovává osobní údaje pacientů, které jsou osobními údaji ve smyslu čl. 4 odst. 1 obecného nařízení. Kontrolovaná osoba má účel a prostředky zpracování osobních údajů stanoveny právními předpisy, je tedy ve smyslu čl. 4 odst. 7 obecného nařízení správcem osobních údajů pacientů. Ve smyslu definice čl. 4 odst. 2 obecného nařízení kontrolovaná osoba osobní údaje pacientů zpracovává, zpracování osobních údajů je ve smyslu čl. 6 odst. 1 písm. c) obecného nařízení zákonné, neboť je nezbytné pro splnění právní povinnosti, která se na správce vztahuje. Kontrolovaná osoba zpracovává údaje pacientů ve smyslu čl. 4 odst. 15 obecného nařízení, tedy údaje o zdravotním stavu, resp. zvláštní kategorie osobních údajů ve smyslu čl. 9 obecného nařízení. Toto zpracování je ve smyslu čl. 9 odst. 2 písm. h) obecného nařízení zákonné.  

Kontrolou nebylo zjištěno porušení povinností kontrolované osoby uložené ji jako správci osobních údajů dle čl. 24 odst. 1 obecného nařízení, neboť má přesně stanovené postupy zpracování osobních, resp. zvláštních kategorií osobních údajů. Kontrolující s přihlédnutím ke konkrétní povaze, rozsahu, kontextu, postupům a účelům zpracování, vč. zvážení rizika při zpracování, konstatovali, že přijatá technická a organizační opatření zajišťují dostatečnou úroveň zabezpečení ve smyslu čl. 32 obecného nařízení a zpracování je v souladu se zásadou vyjádřenou v čl. 5 odst. 1 písm. f) obecného nařízení.