foto: www.uoou.cz/ÚOOÚ logo
S lehkou nadsázkou bychom mohli říct, že historie Úřadu na ochranu osobních údajů (ÚOOÚ), nezávislého správního orgánu pro tuto citlivou oblast, zajímavě odráží vývoj technologie i civilizačních fenoménů vývoje společnosti.
Za více než dvacetiletí se proměnily nástroje ochrany, jejich rozsah, a dokonce smysl. Vyprofilovaly se oblasti, kompetence, koordinace s evropskými a dalšími legislativními systémy. Posun komunikace do online prostoru, virtuální modely, aplikace, to vše zdokonaluje práci s daty, ale současně roste nebezpečí jejich úniku a zneužití. Jak jsou naše osobní data zpracovávána, užívána a chráněna z pozice státu? Na otázky HOSPITALin nám odpovídal za ÚOOÚ jeho tiskový mluvčí, Mgr. Tomáš Paták.
Aktuální nebezpečí napadení nemocnic se už dvakrát u nás projevilo v reálné podobě. Mají státní orgány přehled, v jakém stavu ochranné systémy ve veřejném zdravotnictví jsou? Máme na mysli i třeba VZP, záchranky a další oblasti.
Jako kontrolnímu orgánu Úřadu nepřísluší plnit základní povinnosti správců a pověřenců jednotlivých zdravotnických zařízení, např. nastavovat systémy zpracování či nahrazovat legislativní a metodickou roli ministerstva zdravotnictví, je však připraven poskytovat předběžné konzultace, jak mu určuje čl. 36 obecného nařízení o ochraně osobních údajů. Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s obecným nařízením, u každého správce takové opatření může být odlišné. Zdravotnické zařízení musí při určování rizika porušení zabezpečení vycházet zejména z kategorie “citlivých” osobních údajů, které zpracovává. Údaje o zdravotním stavu jsou zvláštními kategoriemi, které vyžadují náročnější a kvalitní zabezpečení.
Dojde-li k porušení zabezpečení, ať úmyslně či nedbalostně, je zdravotnické zařízení povinno v souladu s čl. 32 obecného nařízení o ochraně osobních údajů tuto skutečnost ohlásit Úřadu, a to bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o porušení zabezpečení dozvědělo. Jelikož zdravotnická zařízení zpracovávají zvláštní kategorie osobních údajů, i běžný incident s osobními údaji může velmi pravděpodobně mít za následek riziko pro práva a svobody zpracováním dat dotčených fyzických osob, zejména pacientů.
Může UOOU provádět kontroly a případně trvat na nápravě nebo zřízení ochranných zařízení?
Úřad pro ochranu osobních údajů byl zřízen v červnu 2000 jako ústřední správní úřad pro oblast ochrany osobních údajů, který zejména plní funkci dozorového úřadu, tedy porovnává stav stanovený příslušnými právními předpisy se stavem reálným u konkrétního správce či zpracovatele osobních údajů a vydává o tom autoritativní rozhodnutí.
Dozorová činnost je základním posláním Úřadu, jejímž cílem je napravit chybné procedury zpracování osobních údajů správci nebo zpracovateli osobních údajů. Zabývá se mimo jiné nedostatečnou ochranou osobních údajů, která má systémový přesah, tj. z její nápravy bude například profitovat větší množství subjektů údajů. Úřad samozřejmě provádí kontrolní činnost i vůči zdravotnickým zařízením.
Nepřesahuje ochrana dat do ochrany informací ve smyslu zák. 106, aby byly prostě jakékoli informace z nemocnic "nedobytné"?
Právo na informace je zakotveno v čl. 17 Listiny základních práv a svobod, který zaručuje právo na informace ve veřejné správě. Pravidla pro poskytování informací a postupy při vyřizování žádostí o informace stanoví zákon č. 106/1999 Sb., o svobodném přístupu k informacím. Tento obecný právní předpis se neuplatní tam, kde speciální právní úprava poskytuje relativně komplexní právní oporu pro poskytování určitého druhu informací. Povinnost poskytovat informace se netýká dotazů na názory, budoucí rozhodnutí a vytváření nových informací. Informace, které nelze poskytnout, a informace jejichž poskytnutí je omezeno, jsou uvedeny v § 7-11 zákona č. 106/1999 Sb. (např. ochrana utajovaných skutečností, ochrana osobních údajů, ochrana obchodního tajemství, ochrana důvěrnosti majetkových poměrů apod.). Obecně platí, že pokud povinný subjekt bude postupovat na základě zákona č. 106/1999 Sb., naplní tím zároveň požadavek čl. 6 obecného nařízení, aby každé zpracování bylo podloženo právním titulem. Zákon č. 106/1999 Sb. takový právní titul představuje, byť se judikatura k jeho výkladu při nakládání specificky s osobními údaji může stále vyvíjet.
Nehrozí situace, že při napadení nemocnice se může klient dožadovat nějaké osobní kompenzace, bude-li se cítit únikem dat ohrožen, třeba v zaměstnání?
Pokud vznikla subjektu údajů hmotná či nehmotná újma v důsledku porušení obecného nařízení ze strany správce či zpracovatele, má právo na úhradu újmy. Nejčastěji to bude znamenat obrátit se přímo s žádostí o náhradu na správce či zpracovatele, a pokud ten nebude dobrovolně plnit, bude se subjekt údajů muset obrátit na soud. Je tedy věcí poškozeného, konkrétního subjektu údajů, zda se rozhodne domáhat se odškodnění žalobou u soudu.
Měly by být systémy ochrany a zabezpečení jednotné a řízené státní bezpečnostní institucí, nebo je lepší autonomní kruh, spravovaný třeba soukromou specializovanou firmou?
Ať správce zvolí jakékoliv řešení, musí zajistit, že má v konečném důsledku data a jejich zpracování pod kontrolou. Např. nemocnice musí také pacientům, kterým poskytuje služby, být schopna vysvětlit, co a za jakých podmínek se s jejich údaji děje a že k nim přistupuje jen jasně vymezený okruh příslušných, oprávněných osob. Některé agendy vylučují outsourcing už svými možnými riziky a vyžadovaly by zvýšenou ochranu a častější průběžnou kontrolu operací zpracování (nejen zabezpečení).
Autor: Jan HOVORKA
Foto: www.uoou.cz