Podle § 13 předmětného zákona jsou správce a zpracovatel povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.

Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů. V rámci uvedených opatření správce/zpracovatel posuzuje rizika týkající se plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům, zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování, zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a opatření, která umožní určit a ověřit, komu byly osobní údaje předány.

S ohledem na výše uvedené bude nutné posoudit zejména, zda forma emailové komunikace dostatečně brání neoprávněným osobám v přístupu k osobním údajům pacientů a dále zda je možno ověřit, komu byly osobní údaje předány.

Ve světle výše uvedených ustanovení zákona na ochranu osobních údajů jsme toho názoru, že emailová forma neposkytuje dostatečné zabezpečení osobních údajů a nedoporučujeme ji k zasílání jakýchkoliv informací o zdravotním stavu pacienta.

Údaj o zdravotním stavu pacienta je zvláštním druhem osobního údaje a nakládání s těmito údaji je vedle výše uvedeného zákona o ochraně osobních údajů upraveno rovněž zákonem č. 372/2011 Sb. o zdravotních službách a podmínkách jejich poskytování. I přesto, že v druhém uvedeném zákoně je výslovně zakotveno právo pacienta na informace o zdravotním stavu a právo na nahlížení do zdravotnické dokumentace, je nutné stále brát v potaz povinná opatření dle zákona o ochraně osobních údajů a i v případě poskytování těchto informací přímo pacientům zajistit potřebnou ochranu údajů, zejména před přístupem třetích osob.

Dle § 45 se právnická osoba nebo fyzická osoba podnikající podle zvláštních předpisů se dopustí správního deliktu tím, že při zpracování citlivých osobních údajů nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů dle § 13. Za tento správní delikt lze uložit pokutu do výše 10 000 000 Kč.

Dozor nad dodržováním povinností stanovených zákonem při zpracování osobních údajů provádí Úřad pro ochranu osobních údajů, který rovněž projednává přestupky a jiné správní delikty a uděluje pokuty podle tohoto zákona. Kontrolní činnost Úřadu se provádí na základě kontrolního plánu nebo na základě podnětů a stížností.

Jak je uvedeno výše, ochrana osobních údajů pacientů je dále realizována prostřednictvím zvláštního právního předpisu, a to zákonem č. 372/2011 Sb. o zdravotních službách a podmínkách jejich poskytování, který ve svém § 51 nazvaném Zachování mlčenlivosti v souvislosti se zdravotními službami stanoví, že poskytovatel je povinen zachovat mlčenlivost o všech skutečnostech, o kterých se dozvěděl v souvislosti s poskytováním zdravotních služeb, přičemž tato povinná mlčenlivost podle odstavce 1 platí též pro zdravotnické pracovníky a jiné odborné pracovníky. Zpřístupnění informací o zdravotním stavu pacienta nepovolené osobě pak může být klasifikováno právě jako porušení povinnosti mlčenlivosti. Porušení této povinnosti může být dle tohoto zákona sankcionováno jako správní delikt pokutou až do výše 1 000 000 Kč.

Mgr. Anděla Tichá,
advokátní koncipientka

Řezníček & Co. s.r.o., advokátní kancelář

U Černé věže 66/3
370 01 České Budějovice

Tel.: +420 386 323 247
Fax:  +420 383 839 361
e-mail: recepce@akreznicek.cz

© EPRAVO.CZ – Sbírka zákonů , judikatura, právo | www.epravo.cz