PRÁVNÍ SERVIS | Nejvyšší správní soud se v nedávném rozsudku věnoval mimo jiné právní úpravě v oblasti ochrany osobních údajů při vedení zdravotnické dokumentace v elektronické podobě. Poukázal například na nenápadný, ale častý problém spočívající v často nedostatečném logování přístupů, kdy se nezaznamenává důvod nahlížení do dokumentace.
V únoru roku 2022 bylo vydáno rozhodnutí Nejvyššího správního soudu sp. zn.: 10 As 19/2020 týkající se vedení zdravotnické dokumentace. Předmětem sporu byl zejména výklad příznivější pozdější právní úpravy v oblasti ochrany osobních údajů při vedení zdravotnické dokumentace a otázka, zda nemocnice může být veřejným subjektem z pohledu ochrany osobních údajů. V tomto článku se pro přehlednost dále zaměříme pouze na první z řešených problémů, tedy výklad právní úpravy v oblasti ochrany osobních údajů při vedení zdravotnické dokumentace.
Vedení zdravotnické dokumentace je upraveno především zákonem č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování. Ten stanovuje základní podmínky vedení, uchovávání a nakládání se zdravotnickou dokumentací, které rovněž tvoří základní povinnosti při poskytování zdravotních služeb a jsou povinné pro všechny poskytovatele zdravotních služeb. Úprava je pak rozvinuta v prováděcím předpisu, kterým je vyhláška o zdravotnické dokumentaci, ve které nalézáme zejména formální podmínky vedení dokumentace.
GDPR a vedení zdravotnické dokumentace
Na vedení zdravotnické dokumentace však dopadají i předpisy týkající se ochrany osobních údajů, tedy Nařízení (EU) 2016/679 známé jako GDPR (dále jako „nařízení“). Toto nařízení nahradilo k 25. 5. 2018 dosavadní právní úpravu, která byla upravena právními řády jednotlivých členských zemí, v ČR konkrétně v zákoně č. 101/2000 Sb., o ochraně osobních údajů, který byl později v roce 2019 nahrazen zákonem č. 110/2019 Sb., o zpracování osobních údajů.
Zpracování osobních údajů je komplexní činnost, kterou provádí správce, kdy v případě zdravotnické dokumentace se většinou jedná o poskytovatele zdravotních služeb, avšak správce může rovněž využít služeb dalšího subjektu tzv. zpracovatele, který bude osobní údaje zpracovávat. Pak je z pohledu poskytovatele zdravotních služeb především nezbytné u zpracovatele zajistit dostatečnou záruku splnění požadavků kladených nařízením k ochraně osobních údajů dotčených subjektů. Rovněž je nutno podotknout, že správce se tím nezbavuje povinnosti spravovat řádně osobní údaje, a to ani v případě přizvání zpracovatele. Správce tedy stále za ochranu osobních údajů odpovídá.
Osobním údajem se rozumí každá informace o identifikované nebo identifikovatelné osobě. V podstatě tedy informace o žijícím člověku, kterého lze přímo či nepřímo identifikovat za pomocí určitých dalších informací. Je nutné uvést, že k identifikování může dojít různými způsoby a nemusí se jednat pouze o údaje vedoucí k přímé identifikaci, avšak může se jednat například i o částečně anonymizované kódy přidělené pacientům, ze kterých lze zpětně zjistit jejich identitu.
V rámci osobních údajů obsažených ve zdravotnické dokumentaci hovoříme o tzv. citlivých údajích, kterým je poskytována zvýšená ochrana. Nařízení citlivé údaje, jak se jim laicky říká, označuje jako tzv. zvláštní kategorii osobních údajů, ve které se vyskytují například údaje o náboženském vyznání, poskytnutých zdravotních službách, či genetické a biometrické údaje a informace o zdravotním stavu.
Nařízení upravuje zásady zpracování osobních údajů, kterými jsou: korektnost, transparentnost, zákonnost, integrita, důvěrnost a omezení účelu. Z těchto základních zásad pak vyplývají povinnosti správce a jeho odpovědnost plynoucí z případného pochybení ve správě osobních údajů. Tímto se již dostáváme k předestřenému rozhodnutí Nejvyššího správního soudu (10 As 19/2020).
Jádrem řešeného sporu byla implementace nařízení, které přineslo novou právní úpravu a vytvořilo v určitých místech nejistotu správců osobních údajů ohledně povinností spojených se správou osobních údajů. Problém spočíval zejména ve výkladu nařízení v porovnání s původním zákonem o ochraně osobních údajů. Zákon o ochraně osobních údajů explicitně vyjadřoval potřebu v případě automatizovaného zpracování osobních údajů vytvářet elektronické záznamy (tzv. logy), pomocí kterých je možné zpětně zjistit kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány. Oproti tomu nařízení GDPR explicitně povinnost vytvářet logy neuvádí, avšak ukládá povinnost správci individuálně vyhodnotit situaci ochrany osobních dat a dle tohoto vyhodnocení aplikovat přiměřená opatření, mezi která by se mohly řadit i logy.
Poskytovatel zdravotních služeb rozsah vedení logů omezil a ve sporu argumentoval využitím GDPR jakožto aktuálnější a příznivější právní úpravy a tím, že vedení excesivního množství logů by šlo proti smyslu a účelu nařízení. Uvedený argument byl však Nejvyšším správním soudem zamítnut a byl potvrzen názor prvostupňového soudu, který uvedl, že v tomto rozsahu není možné držet se pouze jazykového výkladu předmětného článku, avšak je nutné využít zejména teleologického výkladu, pomocí kterého lze dospět k tomu závěru, že požadavky na zabezpečení osobních údajů se s přechodem k novější právní úpravě nezměnily, což v rozsudku potvrdil i Nejvyšší správní soud.
Podmínky logování
Nejvyšší správní soud k tomuto uvádí následující: „Obě ustanovení upravují povinnost správce a zpracovatele osobních údajů zajistit pomocí vhodných technických a organizačních opatření dostatečné zabezpečení osobních údajů proti neoprávněnému sdělování nebo přístupu. Byť tak činí různými slovy, nelze drobné formulační rozdíly vykládat tak, že nařízení klade oproti zákonu o ochraně osobních údajů na správce či zpracovatele osobních údajů nižší požadavky a že se tak jedná o právní úpravu příznivější, ...“
Z uvedeného tak vyplývá, že podmínky logování je nutno vykládat stricto sensu v souladu s původní právní úpravou, ba i přísněji s ohledem na technologický vývoj. Přesněji se jedná o ustanovení § 13 odst. 4 písm. c zákona o ochraně osobních údajů, k otázce výkladu staré a nové úpravy se vyjadřuje rovněž rozhodnutí Nejvyššího správního soudu ze dne 27. 6. 2019, sp. zn. 4 As 140/2019 – 27, které se ve věci vyjadřuje shodně a poukazuje na vztah čl. 32 nařízení GDPR a ustanovení § 13. odst. 1 zákona o ochraně osobních údajů.
Uvedená rozhodnutí poukázala na nenápadný, ale častý problém vedení zdravotnické dokumentace v elektronické podobě spočívající v často nedostatečném logování přístupů, kdy je zpravidla zaznamenán pouze čas, identifikace nahlížející osoby a identifikace dokumentace, do které je nahlíženo. Ze zcela zjevných důvodů se již nezaznamenává důvod nahlížení do dokumentace, což však ÚOOÚ ve sporu správci vytýkal a nyní tuto skutečnost i NSS ve svém rozhodnutí se sp. zn.: 10 As 19/2020 označil za chybu a uvedl, že by měl být zaznamenáván také důvod nahlížení do dokumentace.
V praxi se domníváme, že zaznamenání důvodu přístupu ke zdravotnické dokumentaci, nebo jiného zpracování osobních údajů, je poměrně komplikované. Právní úprava výslovně nezmiňuje, jakým způsobem by mělo docházet ke konkretizaci důvodu přístupu k osobním údajům. I kdyby měl být důvod přístupu zcela stručně popsán, tak tento požadavek enormně zvyšuje personální resp. časové nároky na vedení zdravotnické dokumentace a dělá z doktorů a sester spíše úředníky. O nárocích na nastavení informačních systémů pak ani nemluvíme.
Považovali bychom za vhodné, aby v této souvislosti byly buď upraveny právní předpisy přímo zákonodárcem (lhostejno zda formou úpravy zákona, či vyhlášky), nebo aby byl alespoň vydán metodický pokyn Úřadu pro ochranu osobních údajů, který by tuto nejistotu odstranil. Současně vnímáme, že uvedená problematika je v současné době předmětem dalších soudních sporů, jež však zatím nebyly uzavřeny a lze tedy očekávat další vývoj celé situace.
VAŠÍČEK A PARTNEŘI
Autory článku jsou Adam Pilmajer, Jiří Nezdařil a Adam Škarka z advokátní kanceláře VAŠÍČEK A PARTNEŘI, která je partnerem rubriky Právní servis na INFO.CZ a garantem oblastí správního a zdravotnického práva.
