Na otázku „Potrebujú zdravotnícke zariadenia získavať od každého pacienta súhlas na spracovanie osobných údajov?“ existuje stručná a jednoznačná odpoveď – nie vždy. V mnohých prípadoch majú zdravotnícke zariadenia zákonný dôvod na spracúvanie osobných údajov bez nutnosti získania súhlasu pacienta. Avšak, existencia mnohých výnimiek a špecifík zavádza neistotu nielen medzi pacientmi, ale aj medzi poskytovateľmi zdravotnej starostlivosti.
V tomto článku sa pozrieme podrobnejšie na to, ako to funguje v praxi, čo hovorí legislatíva (najmä GDPR a zákon o zdravotnej starostlivosti), čo je potrebné na legitímne spracúvanie údajov a kedy je skutočne nevyhnutné pýtať si súhlas. Cieľom je vysvetliť tento dôležitý aspekt ochrany osobných údajov spôsobom, ktorý je jasný, praktický a správne ukotvený v právnom rámci. Pre zdravotnícke zariadenia je pochopenie právnych povinností nevyhnutné pre ochranu seba i svojich pacientov.
Právny rámec spracovania osobných údajov v zdravotníctve
Spracovanie osobných údajov v oblasti zdravotnej starostlivosti sa riadi najmä nariadením GDPR (Všeobecné nariadenie o ochrane údajov) a národnou legislatívou, konkrétne zákonom č. 576/2004 Z. z. o zdravotnej starostlivosti. Tieto predpisy presne definujú, ako možno nakladať s údajmi pacientov.
Citlivé osobné údaje a ich ochrana
GDPR označuje údaje týkajúce sa zdravia za osobitnú kategóriu údajov. Patrí sem:
- zdravotná dokumentácia
- diagnostické výsledky
- záznamy o liečbe
- informácie o pohlaví, genetike, biometrii alebo reprodukčnom zdraví
Spracovanie týchto údajov je povolené len za presne definovaných podmienok. Jednou z týchto podmienok je aj existencia zákonného dôvodu, ktorý nahrádza potrebu získavať súhlas.
Kedy súhlas nie je potrebný
Väčšina zdravotníckych zariadení môže spracúvať osobné údaje bez súhlasu pacienta na základe týchto právnych titulov:
Spracovanie nevyhnutné na poskytovanie zdravotnej starostlivosti
Podľa článku 9 ods. 2 písm. h) GDPR je spracovanie údajov možné, ak je nevyhnutné za účelom:
- poskytovania zdravotnej alebo sociálnej starostlivosti,
- diagnostiky,
- liečenia a prevencie,
- riadenia systémov zdravotníckych služieb.
V týchto prípadoch je spracovanie údajov považované za zákonnú povinnosť a nevyžaduje sa konkrétny informovaný súhlas pacienta.
Právna povinnosť
Podľa článku 6 ods. 1 písm. c) GDPR môže byť spracovanie nevyhnutné na splnenie právnej povinnosti, ktorou je napríklad vedenie zdravotnej dokumentácie, oznamovacie povinnosti voči štátu (napr. ÚVZ) alebo poisťovniam.
Kedy je súhlas potrebný
Aj napriek možnosti spracúvať údaje bez súhlasu existujú situácie, kedy súhlas pacienta je nevyhnutný. Tie vznikajú najmä v prípadoch, keď nie je jasne definovaný iný právny základ.
Marketingové a informačné účely
Ak zdravotnícke zariadenie chce použiť údaje pacienta na zasielanie newsletterov, pozvánok, alebo iných marketingových aktivít – tu je potrebné získať súhlas.
Výskum mimo bežnej liečby pacienta
Pri spracovaní údajov na výskumné účely (napr. vedecké analýzy, klinické štúdie), ktoré nie sú priame súčasťou liečby daného pacienta – je povinný informovaný súhlas.
Elektronická komunikácia nad rámec poskytovania starostlivosti
Ak pacient napríklad súhlasí s uchovávaním údajov o svojich predchádzajúcich konzultáciách pre budúce sledovanie alebo pri používaní aplikácií, ktoré si vyžadujú dlhodobejšiu interakciu.
Ako správne informovať pacienta
Aj keď súhlas nie je vždy potrebný, pacient má právo na informácie o tom, ako sú jeho údaje spracovávané. Toto je základná zásada transparentnosti podľa GDPR.
Obsah informačnej povinnosti
Zdravotnícke zariadenie musí pacientovi poskytnúť:
- údaje o prevádzkovateľovi (meno, sídlo, kontakt),
- účel spracovania údajov,
- právny základ spracovania,
- doba uchovávania údajov,
- práva pacienta (napr. prístup, oprava, výmaz),
- možnosť podať sťažnosť na Úrad na ochranu osobných údajov.
Spracovanie údajov tretími stranami
Zdravotnícke zariadenie často prenáša spracovanie údajov aj iným subjektom – napríklad IT firmám, ktoré zabezpečujú elektronické zdravotné záznamy alebo externým laboratóriám. Tieto subjekty sa označujú ako spracovatelia.
Zmluvný vzťah so spracovateľom
Každý takýto subjekt musí byť zmluvne viazaný a musí garantovať, že údaje spracúva v súlade s GDPR. Zdravotnícke zariadenie je ako prevádzkovateľ zodpovedné za výber dôveryhodného partnera a jeho kontrolu.
Uchovávanie a archivácia údajov
Dôležitým aspektom spracovania údajov je tiež doba ich uchovávania. Tu sa uplatňujú špeciálne predpisy v oblasti zdravotníctva:
- Zdravotná dokumentácia sa musí uchovávať minimálne 20 rokov (v prípade niektorých kategórií údajov aj dlhšie).
- Po uplynutí zákonnej doby musia byť údaje bezpečne zlikvidované.
Ani po ukončení dohľadu nad pacientom nie je možné automaticky vymazať všetky údaje – platí tu právna povinnosť archivácie.
Následky nesprávneho spracovania
Ak zdravotnícke zariadenie pochybí v oblasti ochrany osobných údajov, môže čeliť:
- pokutám zo strany Úradu na ochranu osobných údajov (v tisícoch až státisícoch eur),
- poškodeniu dobrej reputácie,
- zodpovednosti za ujmy pacientov (napr. únik údajov).
Preto je dôležité venovať ochrane údajov systematickú pozornosť a mať vypracované interné postupy a školenia pre personál.
Záver: Praktické odporúčania pre zdravotnícke zariadenia
Spracovanie osobných údajov v zdravotníctve bez výslovného súhlasu pacienta je vo väčšine prípadov legálne, pokiaľ má poskytovateľ zákonný dôvod. No musí byť pritom dodržaná zásada minimalizácie údajov, bezpečnosti a transparentnosti.
Odporúčania:
- Vždy informujte pacientov o tom, ako s ich údajmi nakladáte.
- Zabezpečte interné školenia personálu o GDPR a pracovných postupoch.
- Revidujte zmluvy so všetkými spracovateľmi údajov.
- Vytvorte logický plán na uchovávanie a likvidáciu zdravotnej dokumentácie.
- Získavajte súhlas iba vtedy, keď je zákonný titul nepostačujúci.
Transparentnosť, dôveryhodné spracovanie a právna presnosť sú kľúčom k ochrane pacienta a zároveň aj organizácie.