Blog
Jednou z nových povinností, které zavádí Obecné nařízení o ochraně osobních údajů účinné od 25. května 2018 (dále jen „GDPR“), je povinnost některých správců osobních údajů jmenovat tzv. pověřence pro ochranu osobních údajů. GDPR stanoví, že pokuta za nejmenování pověřence může být až deset milionů eur nebo až 2% z celoročního obratu skupiny.
GDPR v čl. 37 definuje subjekty, které pověřence jmenovat musí. Pro zdravotnická zařízení je relevantní zejména písm. c) uvedeného ustanovení, podle kterého pověřence musí mít ty subjekty, jejichž hlavní činnosti „spočívají v rozsáhlém zpracování zvláštní kategorie osobních údajů.“ Pojem zvláštní kategorie osobních údajů představuje to, co jsme doposud znali jako citlivý údaj. Citlivým údajem, tedy i zvláštním údajem, je i jakýkoli údaj o zdravotním stavu.
Mohlo by se tedy na první pohled zdát, že každý poskytovatel zdravotních služeb má povinnost pověřence jmenovat. Nicméně není tomu tak, protože ne každý zpracovává údaje o zdravotním stavu ve velkém rozsahu.
Při posuzování, zda poskytovatel zdravotních služeb zpracovává údaje o zdravotním stavu pacientů rozsáhle, je nutné vzít v úvahu několik faktorů. Mezi ty nejdůležitější faktory patří počet pacientů a objem zpracovávaných údajů. Předpokládá se, že vysoký počet pacientů a velké množství osobních údajů pacientů zpracovávané na regionální, národní nebo mezistátní úrovni implikuje zvýšené riziko z hlediska zajištění ochrany osobních údajů. Za rozsáhlé zpracovávání dle tohoto kritéria lze jednoznačně považovat zpracování osobních údajů pacientů prováděné v nemocnicích. Naopak zpracování osobních údajů pacientů prováděné jednotlivým lékařem např. v soukromé ordinaci praktického lékaře nebo jiného specialisty nebude dle úvodních ustanovení nařízení GDPR zpravidla zpracováním velkého rozsahu.
Ačkoliv zmíněné příklady jsou více méně zřejmé, v mnoha ostatních případech, zejména u menších soukromých klinik nebo u zařízení specializovaných na poskytování zdravotních služeb zahraniční klientele, bude vždy nutné individuálně posoudit, zda na ně povinnost mít pověřence dopadne. Vypracování záznamu o činnostech zpracování osobních údajů včetně posouzení nezbytnosti jmenovat pověřence patří mezi námi poskytované právní služby.
(6.11.2017)
