Áno, aj zdravotnícke zariadenia sú povinné ustanoviť zodpovednú osobu na ochranu osobných údajov, ak spĺňajú určité zákonné podmienky. Táto povinnosť vyplýva z nariadenia Európskeho parlamentu a Rady EÚ č. 2016/679 (GDPR), ktoré platí pre všetky subjekty spracúvajúce osobné údaje. Zdravotnícke zariadenia pravidelne pracujú s tzv. osobitnými kategóriami údajov, ktorými sú napríklad údaje o zdravotnom stave pacientov. Vzhľadom na ich citlivosť je dôležité zabezpečiť ich zákonnú a bezpečnú ochranu, čo je úlohou práve zodpovednej osoby. V nasledujúcich častiach sa podrobne pozrieme, kedy je potrebné túto povinnosť splniť, aké sú právne základy, ako vybrať vhodnú osobu, a čo všetko funkcia zodpovednej osoby obnáša.
Právny rámec povinnosti ustanoviť zodpovednú osobu
Samotná povinnosť ustanoviť zodpovednú osobu (Data Protection Officer – skrátene DPO) vyplýva z článku 37 GDPR. Tento predpis uvádza tri hlavné prípady, kedy je ustanovenie DPO povinné:
- Keď spracúvanie údajov vykonáva verejný orgán alebo verejnoprávne telo (s výnimkou súdov).
- Keď hlavné činnosti správcu alebo sprostredkovateľa spočívajú v spracúvaní, ktoré si vyžaduje pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu.
- Keď hlavné činnosti zahŕňajú spracúvanie osobitných kategórií údajov alebo údajov týkajúcich sa rozsudkov v trestných veciach a trestných činov vo veľkom rozsahu.
Zdravotnícke zariadenia zvyčajne spadajú najmä pod tretiu skupinu, keďže dlhodobo a systematicky spracúvajú osobné údaje, ako sú informácie o zdravotnom stave pacientov, diagnózy, liečby a podobne.
Prečo sa to týka aj súkromných zdravotníckych zariadení
Niektorí prevádzkovatelia si môžu myslieť, že povinnosť sa týka len štátnych a verejných nemocníc. To však nie je pravda. Aj súkromní lekári, kliniky, laboratóriá a ďalšie zdravotnícke subjekty, ktoré systematicky spracúvajú zdravotné údaje, majú túto povinnosť, ak je rozsah tejto činnosti dostatočne veľký.
GDPR nešpecifikuje konkrétny prah pre „veľký rozsah“, ale do úvahy sa berú faktory ako:
- Počet dotknutých osôb (pacientov),
- množstvo spracúvaných údajov,
- trvanie spracúvania,
- geografický dosah údajov.
Odporúča sa skontrolovať individuálne, či rozsah spracúvania vo vašom zariadení túto hranicu spĺňa, prípadne to konzultovať s odborníkom na ochranu údajov.
Čo je úlohou zodpovednej osoby a aké má kompetencie
Zodpovedná osoba na ochranu osobných údajov má viaceré zákonom dané povinnosti, ktoré sa nedajú delegovať na iné osoby. Medzi jej hlavné úlohy patria:
- Informovanie a poradenstvo pre správcu alebo sprostredkovateľa a ich zamestnancov, ktorí vykonávajú spracúvanie.
- Monitorovanie súladu s GDPR, s inými predpismi ochrany údajov a s internými predpismi.
- Poskytovanie odporúčaní pri posudzovaní vplyvu na ochranu údajov (DPIA).
- Spolupráca s Úradom na ochranu osobných údajov SR ako dozorným orgánom.
- Pôsobenie ako kontaktné miesto medzi orgánom a subjektmi údajov (napr. pacientami).
Táto osoba musí konať nezávisle a jej funkcia by nemala viesť ku konfliktu záujmov. Zodpovedná osoba môže byť interný zamestnanec organizácie alebo externý expert na základe zmluvy o poskytovaní služieb.
Ako vybrať správnu zodpovednú osobu
Pri výbere správnej zodpovednej osoby musíte brať do úvahy nielen odbornú kvalifikáciu, ale aj praktické skúsenosti v oblasti ochrany osobných údajov. Dôležité kritériá môžu zahŕňať:
- znalosť právnych predpisov v oblasti ochrany údajov (najmä GDPR a Zákon o ochrane osobných údajov),
- schopnosť identifikovať riziká v procese spracúvania údajov,
- dôkladná znalosť špecifík zdravotníckeho systému,
- nezávislosť od vedenia a iných tímov, ktoré by mohli ovplyvniť jej rozhodovanie.
V prípade menších zariadení alebo obmedzených možností je alternatívou zveriť túto funkciu externej firme alebo odborníkovi so zmluvným vzťahom.
Aké sankcie hrozia v prípade neustanovenia zodpovednej osoby
V prípade, že zariadenie nesplní svoju povinnosť ustanoviť zodpovednú osobu, môže dôjsť k porušeniu predpisov GDPR. Úrad na ochranu osobných údajov SR následne môže uložiť:
- napomenutie alebo upozornenie,
- povinnej náprave spracovateľských činností,
- pokuty až do výšky 10 miliónov EUR, resp. 2 % z ročného obratu (vyššia suma sa uplatňuje).
Okrem toho môže byť poškodená reputácia zdravotníckeho zariadenia a znížená dôvera pacientov. GDPR kladie dôraz na prevenciu a zodpovedný prístup k ochrane údajov – preto je lepšie povinnosti dodržiavať a systémovo nastaviť všetky opatrenia vrátane zodpovednej osoby.
Výhody zodpovednej osoby pre zdravotnícke zariadenie
Aj keď sa povinnosť môže zdať ako byrokratická záťaž, správne ustanovená a kvalifikovaná zodpovedná osoba prináša viaceré výhody:
- Znižuje riziko pokút a regulačných zásahov.
- Zabezpečuje súlad s legislatívou a internými predpismi.
- Zvyšuje dôveru pacientov a partnerov.
- Identifikuje slabé miesta v spracúvaní údajov a navrhuje preventívne riešenia.
- Pomáha pri riešení incidentov, únikov dát a komunikácii s dozorným orgánom.
Z dlhodobého pohľadu ide o výhodnú investíciu do kybernetickej a právnej bezpečnosti organizácie.
Záver: Prevencia nad pokutami
Ustanovenie zodpovednej osoby nie je len zákonnou povinnosťou, ale tiež nástrojom zodpovedného prístupu k ochrane údajov pacientov. Každé zdravotnícke zariadenie by malo vyhodnotiť, či patrí medzi povinné subjekty, a ak áno, správne a včas túto osobu ustanoviť. Nielenže tým splní zákon, ale zároveň zlepší svoju vnútornú compliance kultúru a dôveru verejnosti.
Investovať do kvalitnej zodpovednej osoby je múdre rozhodnutie, ktoré môže ušetriť veľké problémy v budúcnosti – od pokút až po stratu povesťou.
