Nemocnice, neziskové organizace či správci bezpečnostních systémů se připravují na nové evropské nařízení o ochraně osobních údajů známé jako GDPR (General Data Protection Regulation). Ve velkém zpracovávají citlivá data, která musí být výrazněji chráněna před zneužitím či krádeží, třeba šifrováním. Firmy je mohou zpracovávat jen na základě zákonných výjimek. Čas na přizpůsobení se mají do konce května, kdy bude nařízení účinné v celé Evropské unii.

Podpis či otisk prstu

"Některé osobní údaje jsou takového charakteru, že mohou osoby samy o sobě poškodit ve společnosti, v zaměstnání, ve škole či mohou zapříčinit jejich diskriminaci," popisuje Vojtěch Marcín z Úřadu pro ochranu osobních údajů takzvanou zvláštní kategorii osobních dat.

Mezi ně patří informace, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení. Za citlivá osobní data se považují také údaje o členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci.

Seriál HN k ochraně dat GDPR

◼  10. 1. - GDPR a kampeličky
◼  17. 1. - GDPR a marketing
◼  24. 1. - GDPR a pracoviště

Nově budou podle evropského nařízení do zvláštní kategorie přímo spadat rovněž genetické a biometrické údaje. Jde například o snímek obličeje, otisk prstu či dlaně, snímky oční rohovky nebo charakteristika hlasu a chůze. Soudy ve svých rozsudcích dovodily, že do kategorie biometrických údajů spadají i podpisy. Nařízení tak dopadne například na systémy, které s biometrickými údaji aktivně pracují, třeba při ověřování podpisu osoby, spuštění či aktivaci mobilního telefonu nebo počítače anebo při vstupu do budovy.

Výslovné souhlasy

Údaje, které spadají do kategorie citlivých, musí být mnohem lépe zabezpečeny než ostatní − třeba adresa trvalého bydliště či e-mailový kontakt. "Přísnější režim pro zpracování citlivých údajů podle současného zákona a následně podle GDPR si dává za cíl chránit evidenci o konkrétních lidech před zneužitím. U zvláštní kategorie osobních údajů platí přísnější režim, protože v případě jejich úniku, neautorizovaného zveřejnění může dojít k závažnému zásahu do soukromí jednotlivce," říká Karin Pomaizlová z advokátní kanceláře Taylor Wessing Praha.

Zvýšená ochrana se projevuje zejména v tom, že data lze zpracovávat jen na základě stanovených výjimek. Mezi nimi je na prvním místě výslovný souhlas osoby s nakládáním s údaji. Jenže "výslovnost" takového povolení evropské nařízení přímo nedefinuje.

"Lze ji chápat jako jakousi oddělenost od ostatních souhlasů pro zpracování osobních údajů. Souhlas se zpracováním zvláštních kategorií osobních údajů by měl být dán odděleně, výslovně, od dalších souhlasů," vysvětluje v měsíčníku Právní rádce Jiří Žůrek, ředitel odboru pro styk s veřejností z Úřadu pro ochranu osobních údajů.

Další výjimkou, která umožňuje citlivá data zpracovávat, je ochrana životně důležitých zájmů osob či plnění právních povinností. Úlevu mají také nadace a neziskovky, které sledují politické, filozofické, náboženské či odborové cíle a data zpracovávají pouze v souvislosti se svým působením. Zákonnou výjimku pak mají také zdravotnická zařízení, a to pro posouzení pracovních schopností zaměstnance, lékařskou diagnostiku či poskytování zdravotní nebo sociální péče.

Za neoprávněné zpracování citlivých dat mohou organizace dostat milionové pokuty, nakládání s takovými daty bez "povolení" pak může být dokonce i trestným činem.

Nemocnice mohou mít problém

Možnost pracovat s citlivými osobními údaji zároveň znamená řadu povinností. "Je nutné přijmout IT bezpečnostní opatření, například šifrování, které údaje ochrání před neautorizovaným přístupem," uvádí Pomaizlová. A právě s tím má řada nemocnic problém.

Do zdravotnické dokumentace konkrétního pacienta může nahlížet pouze lékař, který ho opravdu léčí. "To znamená, že pacient leží na jeho oddělení, přišel k němu na vyšetření, lékař se stal účastníkem léčebného postupu nebo se jedná o hledání původce nakažlivé choroby. Žádný jiný lékař nemá právo do osobních údajů konkrétního pacienta nahlížet," upřesňuje Úřad pro ochranu osobních údajů.

Zneužití by měl zamezit například logovací systém, který zaznamenává, kdo vstupoval do zdravotnické dokumentace pacienta.

Kompletní ochranu citlivých dat pacientů ale zatím některé nemocnice v pořádku nemají a na nápravu mají již necelých pět měsíců. Advokátka Jana Sedláková na svém webu zveřejnila případovou studii městské nemocnice, která mapovala její připravenost na nová pravidla.

Z analýzy Sedlákové vyplynulo, že nemocnice zpracovávala data nad povolený zákonný rámec, špatně oddělovala jednotlivé databáze, neměla v pořádku souhlasy se zpracováním dat, a některé údaje byly dokonce sdíleny s externí auditorskou kanceláří bez potřebných povolení.

Pověřenci se prodraží

Jednou z novinek, které nařízení GDPR přináší, je i pověřenec pro ochranu osobních údajů. Toho musí jmenovat mimo jiné organizace, jejichž hlavní činností je rozsáhlé zpracování citlivých osobních údajů.

"Pověřenec může zatížit i tak napjaté rozpočty, které jsou určené hlavně na činnost spojenou s posláním neziskovek," obává se Markéta Ježková, ředitelka organizace Lata. Nemocnice pověřence potřebují automaticky. Neziskové organizace pak podle svého zaměření. Náklady na novou pozici přitom mohou přesáhnout i půl milionu korun ročně.

Související