Zdravotnictví
Nikoliv. Pacient není pouhý zákazník a zpracování údajů ve zdravotnictví má přesně vymezený rámec stanovený nejen obecně platnými zásadami a přístupy ochrany osobních údajů podle GDPR. V zásadě lze uvést, že zvláštní zdravotnické předpisy zpracování údajů pacientů pro marketing neumožňují. V různých případech záleží na lékařích a dalších poskytovatelích zdravotní služby, aby v souladu s lékařskou etikou zvážili, zda a jak je vhodné informovat jednotlivé pacienty.
Praxe volání pacientů podle příjmení v čekárně není v rozporu s GDPR. Existují však oddělení, jako je venerologická ambulance nebo infekční oddělení, kde existuje riziko diskreditace, tedy spojení jména s choulostivými informacemi. V těchto případech je nutno zavést postupy vedoucí ke zvýšené ochraně osobních údajů pacientů. Je odpovědností správce, aby pečlivě uvážil vhodný režim pracoviště a jaká technická a organizační opatření přijme a zavede. V souladu s tím dá přesné pokyny svým zaměstnancům.
Pokud je to možné, personál nemocnice by se měl snažit o co největší soukromí pacienta. Sdělení diagnózy či dalších náležitostí zdravotnické dokumentace je možné. Nelze však doporučit, aby při tom byly přítomny další nepovolané osoby, které nejsou v péči ani zaměstnány u poskytovatele zdravotních služeb, například osoby, jež navštěvují pacienta na vedlejším lůžku.
Podle zákona o zdravotních službách platí povinnost mlčenlivosti též pro další osoby, které v souvislosti se svou činností vykonávanou na základě jiných právních předpisů zjistí informace o zdravotním stavu pacienta nebo informace s tím související. Podle GDPR jakákoliv osoba, která jedná z pověření správce a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce.
Léčivý přípravek, jehož výdej je vázán na lékařský předpis, může být vydán i jiné osobě, než které je léčivý přípravek předepsán. Výdej léků v lékárně upravuje § 83 zákona č. 378/2007 Sb., o léčivech. Tamtéž lze nalézt i vhodný postup farmaceuta v případě pochybností o věrohodnosti lékařského předpisu nebo osoby, které se lék vydává.
ÚZIS má povinnost zpracovávat údaje zdravotnických pracovníků (lékařů) a jiných odborných pracovníků ve zdravotnictví na základě právního důvodu uvedeného v GDPR (jde o plnění právní povinnosti). Zákon o zdravotních službách stanoví, jaké osobní údaje se zpracovávají v Národním registru zdravotnických pracovníků. ÚZIS je správcem tohoto systému. Podle zákona o zdravotních službách má poskytovatel zdravotních služeb (nemocnice, samostatný lékař) povinnost předávat údaje do NZIS.
Tyto subjekty jsou ze zákona oprávněny vyžadovat údaje podle zvláštních zákonů, které upravují jejich působnost. Ze strany osob povinných hlásit a předávat údaje se jedná o zpracování osobních údajů, které je nezbytné pro plnění právní povinnosti podle GDPR. Subjekty oprávněné nahlížet do zdravotnické dokumentace bez souhlasu pacienta jsou uvedeny v § 65 odst. 2 zákona o zdravotních službách.
GDPR výslovně předpokládá, že „zpracování osobních údajů pro vědecké účely by mělo být v souladu i s dalšími příslušnými právními předpisy upravujícími například klinická hodnocení“.
Ano, musí jmenovat pověřence, neboť hlavní činností je každodenní zpracování údajů z vyšetření spolu s dalšími údaji pacientů. K rozsáhlosti zpracování viz pokyny Evropského sboru. Více zde.
Zdravotnická laboratoř je v postavení správce, neboť vykonává samostatnou činnost, a poskytovatel zdravotních služeb rovněž. Zpracovatelskou smlouvu mezi sebou podle GDPR uzavírat nemusejí.
Sdělování informací o zdravotním stavu pacienta upravuje zákon o zdravotních službách. Pacient nebo jeho zákonný zástupce má možnost jasně a určitě definovat rozsah informací, které může poskytovatel zdravotní péče sdělovat, komu a jakou formou. Pacient nebo jeho zákonný zástupce má právo kdykoliv okruh osob, kterým je sdělována informace o zdravotním stavu, rozšířit nebo omezit.
Při sdělování a zasílání informací elektronickou cestou je vhodné rozlišovat, o jaké informace se jedná. K méně zásadním částem zdravotnické dokumentace (například rentgenové snímky) by měl mít poskytovatel poznamenáno v kartě pacienta nebo na zvláštním formuláři, jakým způsobem si pacient přeje sdělovat informace. Zásadnější části zdravotnické dokumentace (například celé lékařské zprávy) by měly být elektronicky přenášeny v zabezpečenější podobě, než je prostý e-mail. Důležité je vždy pacienta dopředu informovat o možných rizicích, která nezabezpečená elektronická komunikace může způsobit (například nahlédnutí neoprávněnou osobou, ztráta, zničení, neoprávněné zpřístupnění). V této věci je vhodné se obrátit se žádostí o metodický návod s popisem konkrétních situací na Ministerstvo zdravotnictví či na Českou lékařskou komoru.
Nikoliv. Jedná se o vztah správců vykonávajících samostatnou činnost. Skutečnost, že sdílejí pacienty, nezakládá povinnost uzavřít zpracovatelskou smlouvu. Stejně tak GDPR nezakládá povinnost uzavřít smlouvu o zpracování osobních údajů mezi zaměstnavatelem a poskytovatelem pracovně lékařských služeb.