Nemocnice (UOOU-02203/20)
Kontrola zpracování osobních údajů v souvislosti s nakládáním s osobními doklady pacientů
Kontrola nemocnice (příspěvková organizace) byla zahájena na základě ohlášení porušení zabezpečení osobních údajů. Z uvedeného ohlášení vyplývaly možné nedostatky v zabezpečení osobních údajů, kdy mělo dojít ke ztrátě osobních dokladů pacienta, z prvotního popisu však nebylo zřejmé, jak k dané události došlo.
Předmětem kontroly bylo dodržování povinností při zpracování osobních údajů stanovených obecným nařízením a zákonem č. 110/2019 Sb., o zpracování osobních údajů, v souvislosti s nakládáním s osobními doklady pacientů. Kontrola se zaměřila na dodržování povinností stanovených čl. 24 a čl. 25 obecného nařízení, a to v obecné rovině ve smyslu nastavení interních postupů, a dále cílila na konkrétní případ ztráty osobních dokladů, jenž byl Úřadu ohlášen jako porušení zabezpečení osobních údajů.
Kontrolující konstatovali, že s ohledem na předmět kontroly kontrolovaná osoba doložila přijatá organizační a technická opatření v souladu s ustanoveními čl. 24 a čl. 25 obecného nařízení. Ve věci porušení zabezpečení osobních údajů nebyly kontrolovanou osobou v rámci prvotního ohlášení sděleny bližší podrobnosti a až v průběhu kontroly vyplynul skutečný popis události. Pacient své osobní doklady nedal do úschovy a ponechal si je v nočním stolku na pokoji. Zde je však omylem vyzvedla zdravotní sestra a předala je jinému pacientovi, který byl právě propouštěn. Tento si záměny nevšiml a až později jeho rodinný příslušník tuto záměnu nahlásil. Doklady posléze předal na jiném zdravotním středisku, kde je měl vyzvednout řidič a přivézt kontrolované osobě. V rámci toho však došlo ke ztrátě, přičemž není zřejmé, v jakém okamžiku, a kdo je měl v tu dobu v držení. Kontrolující na základě zjištěných událostí uzavřeli, že posouzení aplikace čl. 33 obecného nařízení v daném případě není relevantní, neboť v této konkrétní věci ztráty osobních dokladů se nejednalo o případ spadající do věcné působnosti obecného nařízení, jak je definována v jeho čl. 2 odst. 1.
Doplňující informace
V případě ohlášení porušení zabezpečení osobních údajů ve smyslu čl. 33 obecného nařízení je nezbytné předat Úřadu veškeré informace dle odst. 3 citovaného článku, přičemž popis události by měl být pokud možno co nejucelenější. Důsledný popis události vždy přispívá k rychlému a efektivnímu řešení daného incidentu.