Odbornost pověřenců nemocnic se zvyšuje, ÚOOÚ však stále eviduje řadu oznámení ze zdravotnictví
Podněty, stížnosti a ohlášení porušení zabezpečení osobních údajů v oblasti zpracování osobních údajů ve zdravotnictví patří mezi jedny z nejčastějších, které od účinnosti GDPR Úřad pro ochranu osobních údajů dostává. I to zaznělo na třetím setkání pověřenců nemocnic v Jihlavě ze strany Jiřího Žůrka, ředitele odboru konzultačních agend ÚOOÚ, který zároveň potvrdil vzrůstající odbornost pověřenců ve zdravotnictví.
„Od počátku účinnosti GDPR došlo ke zřetelné kultivaci ve zpracování osobních údajů napříč všemi oblastmi, ale vysledovat ji lze zejména v oblastech s povinným jmenováním pověřenců pro ochranu osobních údajů, přičemž oblast zdravotnictví není výjimkou. I u samotných pověřenců došlo k pozitivnímu posunu v jejich odbornosti, resp. vlastnímu výkonu činnosti. Od účinnosti GDPR, tj. 25. května 2018, jsme se první měsíce setkávali mnohdy se situací, kdy někdo byl jmenován pověřencem jen pro formu, aniž by ho tato role pracovně plně uspokojovala. Dnes už pověřence zpravidla opravdu vykonávají ti, kteří tuto činnost chtějí vykonávat a také se v ní náležitě vzdělávají a zdokonalují, což se samozřejmě odráží i v kvalitě samotného zpracování osobních údajů u správce či zpracovatele, u kterého působí“, uvedl Jiří Žůrek.
Stížnosti či podněty, které Úřad dostává na oblast zdravotnictví, se nejčastěji týkají chyb personálu, spočívající např. v neoprávněném sdělování informací ze zdravotnické dokumentace, dále jde o stížnosti na nezabezpečení zdravotnické dokumentace (typicky její umístění v čekárně lékaře). Některé tyto případy následně přirozeně prolínají i do oblasti ohlašování porušení zabezpečení osobních údajů.
„K nejčastějším příčinám porušení zabezpečení osobních údajů patří například úmyslné či neúmyslné zneužití údajů zaměstnancem, neodborná manipulace se zdravotnickou dokumentací, úspěšný phishingový útok, který velmi často následně vyústí v umístění škodlivého programu, neoprávněný přístup do počítačového systému, chyba techniky, softwaru či krádež zařízení obsahujícího osobní údaje (včetně např. zdravotnické dokumentace)“, upřesnil ředitel odboru konzultačních agend ÚOOÚ.
Chybuje se ale také při samotném ohlašování porušení zabezpečení. Ohlašovatelé porušení zabezpečení osobních údajů ne vždy dodržují náležitosti stanovené GDPR. „Často chybí zejména popis pravděpodobných důsledků porušení zabezpečení osobních údajů nebo popis opatření, která správce přijal k převzetí daného porušení,“ vysvětlil Žůrek. To se však většinou týká malých poskytovatelů zdravotnických služeb, kteří nedisponují odborným aparátem ve formě pověřence, který by poskytl odbornou radu.
Právě pro ulehčení ohlašování porušení zabezpečení osobních údajů ze strany těchto poskytovatelů, zpřístupnil ÚOOÚ formulář pro ohlašování porušení zabezpečení osobních údajů.