V této souvislosti vyvstává otázka, zda poskytovatelé zdravotních služeb mohou Pacientská data zpracovávat i pro účely vědeckého výzkumu. Zákon o zdravotních službách o možnosti takového zpracování mlčí. Na první pohled by se tak mohlo zdát, že ke zpracování Pacientských dat pro vědecké účely může poskytovatel zdravotních služeb přistoupit, pouze pokud získá výslovný předchozí souhlas dotčeného pacienta[7]. Takový postup je však pro poskytovatele zdravotních služeb nejen administrativně náročný, ale i nejistý, neboť je spojen s rizikem neudělení či následného odvolání souhlasu příslušným pacientem.

V tomto článku poukazujeme na možnost poskytovatelů zdravotních služeb opřít zpracování Pacientských dat pro vědecké účely o tzv. další (slučitelné) zpracování ve smyslu čl. 5 odst. 1 písm. b) GDPR, které souhlas pacienta nevyžaduje[8].

Slučitelné zpracování podle GDPR

Jednou ze základních zásad zpracování osobních údajů je zásada účelového omezení. Ta je vyjádřena v čl. 5 odst. 1 písm. b) GDPR, podle kterého osobní údaje (a) musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely (princip „specifického účelu“) a (b) nesmějí být dále zpracovávány způsobem, který je neslučitelný s těmito účely (princip „slučitelného užití“).

Reklama

DPP/DPČ ve víru legislativních změn (online - živé vysílání) - 25.11.2024

25.11.2024 09:303 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Zásada slučitelného užití je vykládána tak, že GDPR umožňuje zpracování osobních údajů i za jiným účelem, než za kterým byly údaje původně shromážděny. Podmínkou je, aby takové další zpracování bylo slučitelné s původním účelem zpracování. V případě slučitelného dalšího zpracování pak podle recitálu 50 GDPR není zapotřebí právní základ odlišný od toho, který umožnil původní shromáždění osobních údajů[9].

Jinými slovy, pokud poskytovatel zdravotních služeb shromáždí Pacientská data za účelem plnění své právní povinnosti (vedení zdravotnické dokumentace), může o tento právní základ opřít i následné slučitelné zpracování pro vědecké účely. Vycházet může i z čl. 5 odst. 1 písm. b) GDPR, podle kterého se další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého[10] či historického výzkumu nebo pro statistické účely nepovažuje za neslučitelné s původními účely.

Autoři článku se proto přiklání k závěru, že poskytovatelé zdravotních služeb, kteří shromáždili Pacientská data za účelem poskytováním zdravotních služeb, mohou tato data zpracovávat i pro účely vědeckého výzkumu, a to bez toho, že by k takovému navazujícímu vědeckému zpracování získali zvláštní souhlas dotčených pacientů.

Podmínky slučitelného zpracování

Při dalším zpracování Pacientských dat pro vědecké účely musí poskytovatelé zdravotních služeb splnit požadavky, které GDPR klade na správce. Poskytovatelé zdravotních služeb tak zejména musí:

1. řádně informovat pacienty o zpracování Pacientských dat pro účely vědeckého výzkumu a o právním základu takového zpracování[11]; a
2. v souladu s čl. 89 odst. 1 GDPR zavést při dalším zpracování vhodná technická a organizační opatření, zejména s cílem zajistit dodržování zásady minimalizace údajů[12]. Demonstrativní výčet těchto opatření je uveden v § 16 Zákona o zpracování osobních údajů[13]. Tato opatření by měla odpovídat stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob.

GDPR preferuje, aby slučitelné zpracování probíhalo způsobem, který neumožňuje nebo přestane umožňovat identifikaci subjektů údajů[14]. V případě medicínských výzkumů však naprostá anonymizace údajů zpravidla není možná. Zejména pro ověření dat a závěrů výzkumu bude nezbytné ponechat možnost propojit Pacientská data s konkrétním pacientem. Vhodným opatřením tak může být např. i pseudonymizace Pacientských dat, kdy pro účely dalšího (vědeckého) zpracování budou identifikátory konkrétního pacienta[15] nahrazeny určitým specifickým kódem.

Mgr. Tomáš Zwinger,
advokát

Mgr. Matyáš Kužela,
partner

act Řanda Havel Legal advokátní kancelář s.r.o.

Truhlářská 13-15
110 00  Praha 1

Tel.:    +420 222 537 500 – 501
Fax:    +420 222 537 510
e-mail:    office.prague@actlegal-rhl.com

---

[1] Zákon č. 372/2011 Sb. , o zdravotních službách a podmínkách jejich poskytování, ve znění pozdějších předpisů (dále jen „Zákon o zdravotních službách“).

[2] Nejde-li o poskytování lékárenské péče v lékárně.

[3] Rozsah údajů ve zdravotnické dokumentaci uvádí § 53 odst. 2 Zákona o zdravotních službách a vyhláška č. 98/2012 Sb. , o zdravotnické dokumentaci, ve znění pozdějších předpisů.

[4] Nařízení Evropského parlamentu a Rady č. 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES.

[5] GDPR, čl. 4 bod 1).

[6] GDPR, čl. 9.

[7] GDPR, čl. 9 odst. 2, písm. a).

[8] Upozorňujeme, že tento závěr je názorem autorů článku, který dosud nebyl potvrzen rozhodovací praxí či stanoviskem dozorového úřadu či Evropského sboru pro ochranu osobních údajů. Současně podotýkáme, že Evropský sbor pro ochranu osobních údajů přislíbil vydání zvláštních pokynů k této problematice.

[9] Recitál 50 GDPR uvádí, že „Zpracování osobních údajů pro jiné účely, než jsou ty, pro které byly osobní údaje původně shromážděny, by mělo být povoleno pouze v případě, kdy je slučitelné s účely, pro které byly osobní údaje původně shromážděny. V takovém případě není třeba právní základ odlišný od toho, který umožnil shromáždění osobních údajů. […] Další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo být považováno za slučitelné zákonné operace zpracování. […]“.

[10] GDPR neobsahuje definici pojmu „zpracování pro účely vědeckého výzkumu“. Evropský sbor pro ochranu osobních údajů k tomu uvedl, že tento pojem nesmí být rozšiřován nad rámec svého běžného významu, přičemž „vědeckým výzkumem“ se rozumí výzkumný projekt zřízený v souladu s příslušnými odvětvovými metodickými a etickými normami a ve shodě s osvědčenými postupy. Viz Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679, verze 1.1, ze dne 4. května 2020, bod 152.

[11] GDPR, čl. 13 ve spojení s čl. 5 odst. 1 písm. b).

[12] Zpracovávat pouze Pacientská data, která jsou přiměřená, relevantní a omezená na nezbytný rozsah ve vztahu k účelu dalšího zpracování (viz čl. 5 odst. 1 písm. c) GDPR).

[13] Zákon č. 110/2019 Sb. , o zpracování osobních údajů, v platném znění (dále jen „Zákon o zpracování osobních údajů”).

[14] GDPR, čl. 89 odst. 1. Ustanovení § 16 odst. 2 Zákona o zpracování osobních údajů obdobně ve vztahu k Pacientským datům stanoví: „Pokud to umožňuje dosáhnout účelu uvedeného v odstavci 1, osobní údaje uvedené v čl. 9 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 správce nebo zpracovatel dále zpracovává v podobě, která neumožňuje identifikaci subjektu údajů, ledaže tomu brání oprávněné zájmy subjektu údajů“.

[15] Zejména jméno, příjmení, rodné číslo, adresa.