Ochrana osobných údajov pacientov pri poskytovaní zdravotnej starostlivosti

PRÁVNA ÚPRAVA SPRACOVANIA OSOBNÝCH ÚDAJOV

Právnu úpravu ochrany osobných údajov je potrebné rozdeliť na európsku a vnútroštátnu. Základným právnym aktom z hľadiska európskeho práva je Nariadenie Európskeho parlamentu a Rady č. 2016/679, ktoré určite poznáte podľa názvu „nariadenie GDPR“. V rámci slovenského právneho poriadku máme k ochrane osobných údajov zákon č. 18/2018 Z.z.

AJ PRI POSKYTOVANÍ ZDRAVOTNEJ STAROSTLIVOSTI DOCHÁDZA K SPRACOVANIU OSOBNÝCH ÚDAJOV PACIENTOV

Pri poskytovaní zdravotnej starostlivosti prichádzajú zdravotnícki pracovníci, resp. aj tí nezdravotnícki pracovníci pracujúci pre poskytovateľa zdravotnej starostlivosti (napr. ambulanciu, nemocnicu), do styku s osobnými údajmi pacientov. Ide o osobné údaje v rozsahu potrebnom pre poskytovanie zdravotnej starostlivosti pacientom a plnenie ďalších zákonných povinností poskytovateľa pri poskytovaní zdravotnej starostlivosti. Ide najmä o vedenie zdravotnej dokumentácie, zasielanie údajov do Národného zdravotníckeho informačného systému, plnenie povinností poskytovateľa voči zdravotným poisťovniam, povinností pri predpisovaní liekov, zdravotníckych pomôcok a dietetických potravín.

Spracovanie osobných údajov na vyššie vymedzený účel je nevyhnutné z dôvodu plnenia zmluvných povinností na základe dohody o poskytovaní zdravotnej starostlivosti uzatvorenej medzi poskytovateľom a pacientom. Dohoda totižto predstavuje základný pilier vzniku právneho vzťahu medzi pacientom a poskytovateľom zdravotnej starostlivosti. Súčasne dochádza k spracovaniu osobných údajov pacientov z dôvodu plnenia zákonných povinností vyplývajúcich z osobitných právnych predpisov, ako je napr. zákon o zdravotnej starostlivosti (576/2004 Z.z.) a pod. S ohľadom na to, že k spracovaniu osobných údajov pri poskytované zdravotnej starostlivosti dochádza priamo zo zákona, resp. na základe zmluvy (dohody o poskytovaní zdravotnej starostlivosti), nie je potrebný súhlas pacienta na spracovanie jeho osobných údajov.

INFORMAČNÁ POVINNOSŤ O SPRACÚVANÍ OSOBNÝCH ÚDAJOV PACIENTOV

V zmysle čl. 13 Nariadenia GDPR má poskytovateľ zdravotnej starostlivosti ako prevádzkovateľ, ktorý spracováva osobné údaje pacientov, povinnosť poskytnúť pacientom informácie o spracovávaní osobných údajov. Medzi tieto informácie zaraďujeme najmä informácie o:

1. prevádzkovateľovi (kto osobné údaje spracováva - poskytovateľ zdravotnej starostlivosti)
2. sprostredkovateľovi (napr. ak údaje o pacientoch spracováva aj iná osoba ako samotný prevádzkovateľ - napr. dodávateľ zdravotníckeho softwaru pre ambulanciu, účtovníčka...)
3. účele spracovania osobných údajov - či ide o spracovanie osobných údajov na poskytovanie zdravotnej starostlivosti, výdaj liekov a zdravotníckych pomôcok, vedenie účtovníctva a pod.
4. právnom základe spracovania osobných údajov (či sa spracovávajú na základe zmluvy, zákonnej povinnosti alebo na základe udeleného súhlasu)
5. rozsahu spracúvaných údajov - aké osobné údaje pacientov sa spracovávajú
6. dobe uchovávania osobných údajov
7. právach dotknutej osoby (pacienta, ktorého osobné údaje sa spracovávajú) a spôsobe uplatnenia práv dotknutej osoby atď.

AKÉ PRÁVA MÁ PACIENT VO VZŤAHU K SPRACOVATEĽOVI JEHO OSOBNÝCH ÚDAJOV?

Každý koho osobné údaje sú spracovávané (teda aj pacient) má vo vzťahu k tomu, kto jeho osobné údaje spracováva rôzne práva. Ide o:

• Právo požadovať prístup k osobným údajom podľa čl. 15 Nariadenia GDPR - pacient má právo požadovať od poskytovateľa zdravotnej starostlivosti potvrdenie o tom, či sa spracúvajú jeho osobné údaje, a ak je to tak, pacient má právo získať prístup k týmto údajom (kópiu spracúvaných osobných údajov)
• Právo na opravu osobných údajov podľa čl. 16 Nariadenia GDPR - pacient má právo na to, aby poskytovateľ zdravotnej starostlivosti bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa ho týkajú, a aby doplnil neúplné osobné údaje
• Právo na výmaz osobných údajov podľa čl. 17 Nariadenia GDPR - pacient má právo požadovať od poskytovateľa zdravotnej starostlivostivýmaz osobných údajov, ktoré sa ho týkajú napríklad v situácii, keď osobné údaje nie sú potrebné na účely, na ktoré sa získali alebo spracúvali.
• Právo na obmedzenie spracúvania podľa čl. 18 Nariadenia GDPR - napr. ak pacient namieta správnosť osobných údajov počas obdobia umožňujúceho poskytovateľovi zdravotnej starostlivosti overiť správnosť jeho osobných údajov, spracúvanie je protizákonné a pacient namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia.
• Právo na prenosnosť údajov podľa čl. 20 Nariadenia GDPR - pacient má právo získať osobné údaje, ktoré poskytol poskytovateľovi zdravotnej starostlivosti, a to v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu poskytovateľovi zdravotnej starostlivosti, ak spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je pacient.
• Právo namietať spracúvanie osobných údajov podľa čl. 21 Nariadenia GDPR - napr.  ak osobné údaje pacienta poskytovateľ zdravotnej starostlivosti spracúva na účel priameho marketingu, má pacient právo namietať spracúvanie osobných údajov, ktoré sa ho týkajú.
• Právo na neúčinnosť automatizovaného individuálneho rozhodovania vrátane profilovania podľa čl. 22 Nariadenia GDPR
• Právo podať návrh na začatie konania o ochrane osobných údajov podľa § 100 zákona a čl. 77 a 79 Nariadenia GDPR - ak sa pacient domnieva, že jeho osobné údajov, ktoré sa ho týkajú sú spracúvané v rozpore so zákonom č. 18/2018 Z.z. alebo nariadením GDPR, má právo podať Úradu na ochranu osobných údajov SR návrh na začatie konania o ochrane osobných údajov. Kontaktné údaje na Úrad na ochranu osobných údajov sú: Hraničná 12, 820 07 Bratislava 27, Slovenská republika