Zdravotnictví
I.
Byla dokončena kontrola Ústavu zdravotnických informací a statistiky ČR (ÚZIS ČR) zahájená koncem roku 2006. Předmětem kontroly bylo dodržování zákona o ochraně osobních údajů při sběru a zpracování zdravotnických informací a při vedení národních zdravotních registrů.
Šlo o velmi závažnou kontrolu, neboť ÚZIS ČR je co do rozsahu spravovaných dat zřejmě největším správcem citlivých údajů v České republice. Ve čtrnácti národních zdravotních registrech, které jsou součástí Národního zdravotnického informačního systému, vede ÚZIS ČR citlivé osobní údaje o značné části obyvatel České republiky.
Kontrola byla zaměřena zejména na zabezpečení a ochranu uchovávaných osobních údajů proti zneužití. V rámci kontroly bylo posouzeno technické řešení příslušných informačních systémů, technická a organizační opatření implementovaná v celém procesu zpracování dat, soulad těchto opatření s příslušnými normami pro bezpečnost informačních systémů, a rovněž byla ověřována aplikace interních bezpečnostních předpisů a jejich dodržování v praxi.
Kontrolou bylo zjištěno a konstatováno, že ÚZIS ČR v rámci sběru a zpracování zdravotnických informací a při vedení národních zdravotních registrů řádně plní všechny podmínky ochrany osobních údajů stanovené zákonem a že zpracovávané osobní údaje požívají řádné a úplné ochrany v takovém rozsahu, jaký lze při zpracování takového rozsahu citlivých údajů oprávněně očekávat.
II.
Byla dokončena kauza nestátního zdravotnického zařízení - velké polikliniky, provedená na základě informace, že ve sběrném dvoře několik km od polikliniky se nacházejí zdravotní karty pacientů této polikliniky. Kontrolou bylo zjištěno, že jde o zdravotnickou dokumentaci zhruba 2000 osob, které byly skutečně pacienty uvedeného zdravotnického zařízení. K vývozu zdravotnické dokumentace došlo při stavebních úpravách budovy polikliniky, kdy zdravotnická dokumentace nebyla zabezpečena proti přístupu neoprávněných osob. Pozitivní byla skutečnost, že pracovníci sběrného dvora dokumentaci ihned zajistili a předali Policii ČR, čímž se zabránilo dalšímu případnému zneužití.
V následném správním řízení byla za spáchaný správní delikt poliklinice uložena pokuta ve výši 1,75 mil. Kč. Zohledněna byla zejména skutečnost, že šlo o citlivé údaje a že k úniku zdravotnické dokumentace došlo zcela nepochopitelnou nedbalostí při nakládání s ní. Míra této nedbalosti je zarážející vzhledem k tomu, že se jedná právě o zdravotnické zařízení a zdravotnické pracovníky, pro něž by měla být ochrana údajů o pacientech naprostou samozřejmostí, i bez zákonem stanovených zásad. Vyšší pokuta nebyla poliklinice uložena zejména na základě zohlednění skutečnosti, že značná část nalezené dokumentace se týkala již nežijících osob.
III.
Vzhledem k tomu, že velká zdravotnická zařízení nemocničního typu již byla v minulosti opakovaně kontrolována a stav ochrany osobních údajů pacientů byl v převážné většině případů vyhodnocen jako odpovídající požadavkům zákona, soustředila se kontrolní činnost v roce 2007 zejména na malá nestátní zdravotnická zařízení - ordinace soukromých lékařů. Důvodem byly i četné stížnosti občanů na nedostatečnou ochranu zdravotnické dokumentace v těchto zařízeních. Kontrolami byl skutečně zjištěn stav mnohdy nevyhovující.
Na základě poznatků z provedených kontrol lze shrnout, že většinově bylo zjišťováno velmi primitivní porušování zásad ochrany osobních údajů, na základě elementární nedbalosti a spoléhání se na to, že „děláme to tak pořád a doposud se nic nestalo“. Jako demonstrativní příklady lze uvést následující kauzy:
- Soukromý lékař smluvně zajišťující preventivní zdravotní péči pro strojírenskou firmu doporučil na základě lékařského vyšetření zaměstnancům firmy další odborná vyšetření. Doporučení na vyšetření (včetně diagnóz) předal nikoliv přímo svým pacientům, ale pro „urychlení“ hromadně jejich nadřízenému, aby ten předaná doporučení rozdal. Pacienti (zaměstnanci firmy) byli s takovým postupem oprávněně nespokojeni. V rámci kontroly bylo konstatováno porušení zákona, neboť lékař nepřijal taková opatření, aby nemohlo dojít ke zneužití citlivých údajů.
- Soukromé lékařce byla na vlastní žádost krajským úřadem zrušena registrace její ordinace (nestátního zdravotnického zařízení). Lékařka měla povinnost předat zdravotnickou dokumentaci svých pacientů krajskému úřadu. Tuto povinnost nesplnila, protože majitel nebytových prostor, kde měla lékařka svou ordinaci, zdravotnickou dokumentaci z vyklizovaných místností nedopatřením odebral a spálil v kotli. V rámci kontroly pak bylo konstatováno porušení zákona tím, že lékařka řádně nezabezpečila citlivé údaje proti zničení.
- Další soukromá lékařka hodlala předat zdravotnickou dokumentaci jinému lékaři (pacient změnil lékaře). K předání lékařka využila, tak jako obvykle, smluvní zásilkovou službu. Zdravotní dokumentace byla zásilkové službě předána tím způsobem, že zdravotní karty lékařka položila na volně přístupný stůl na chodbě polikliniky, odkud si zásilková služba vždy zásilky odebírá. Zdravotní karty se však ze stolu ztratily. Dotčení pacienti si pak na postup lékařky oprávněně stěžovali. Zákon byl tedy i v tomto případě porušen, neboť lékařka nezabezpečila citlivé údaje pacientů proti ztrátě
- Jiná soukromá lékařka má kartotéku se zdravotními kartami svých pacientů v čekárně před ordinací. Jako kartotéka slouží dřevěná registrační skříň se samostatnými zásuvkami, každá opatřená zámkem. Pacienti si stěžovali, že v průběhu ordinačních hodin nejsou zámky zásuvek uzamčeny a že tedy hrozí reálná možnost, že do zdravotních karet mohou nahlížet nepovolané osoby, případně že hrozí odcizení zdravotnické dokumentace. Kontrolou bylo zjištěno, že stížnost je oprávněná a že lékařka porušila zákon, neboť nezabezpečila řádně citlivé údaje proti zneužití.
Výsledky kontrolních šetření a oprávněné poukazování občanů na nedostatky v činnosti malých nestátních zdravotnických zařízení prokazují, že mnozí soukromí lékaři si dosud neuvědomují nezbytné nároky na ochranu dat pacientů a odpovědnost za tuto ochranu, a to i přesto, že na základě principu zachování lékařského tajemství by pro ně měly být tyto věci zcela přirozené. Markantní je to zejména v případě údajů o zdravotním stavu pacientů, které jsou citlivými údaji, jejichž zneužití může mít hluboký dopad na soukromí každého člověka. Proto se bude pozornost inspektora v oblasti zdravotnictví soustředit na činnost soukromých lékařů i v dalším období.