Souhlas pacienta ke zpracování osobních údajů

            Podle zákona je obecně nakládání s osobními údaji (a rodné číslo i jméno fyzické osoby mezi ně patří) povoleno. Je však nutné dodržovat povinnosti vyplývající správci osobních údajů ze zákona.

Mezi základní z těchto povinností náleží:

·           získávání souhlasu subjektu údajů (fyzické osoby, k níž se osobní údaje vztahují) k jejich zpracování a

·           povinnost oznámit zahájení nebo změnu zpracovávání osobních údajů Úřadu pro ochranu osobních údajů, který vede registr zpracování osobních údajů.

Z obou zmíněných povinností existují výjimky, které zejména zajímají každého potenciálního správce osobních údajů, a tedy i zdravotnické zařízení poskytující lékárenskou péči.

§ 5 odst. 2 písm. a) a § 18 odst. 1 písm. b) stanoví, že správce může osobní údaje zpracovávat bez souhlasu jejich subjektu, pokud provádí zpracování nezbytné pro dodržování  právní povinnosti správce, a že oznamovací povinnost se nevztahuje na zpracování, které správci ukládá zvláštní zákon.

Zvláštním zákonem je zákon č. 20/1966 Sb., o péči o zdraví lidu, který v § 67a a § 67b za zpracování osobních údajů označuje zpracování při vedení zdravotnické dokumentace a další nakládání s ní a zpracování osobních údajů v Národním zdravotnickém informačním systému. Při tomto zpracování lze vést též rodné číslo pacienta.

Poskytování osobních údajů pro Národní zdravotnický informační systém lze v případě lékáren vyloučit, neboť prováděcí vyhláška Ministerstva zdravotnictví č. 552/2004 Sb. lékárny nezahrnuje mezi ta zdravotnická zařízení, která údaje do registru předávají.

Zůstává zde problematika zdravotnické dokumentace. Zákon o péči o zdraví lidu jejím obsahem činí osobní údaje pacienta v rozsahu nezbytném pro identifikaci pacienta a zjištění anamnézy a dále má zdravotnická dokumentace obsahovat informace o onemocnění pacienta. Co se rozumí zdravotnickou dokumentací u lékaře není třeba vysvětlovat. Co se jí však rozumí v případě lékárny?

Dokumentací obsahující osobní údaje pacienta jsou pouze recepty na léčivé přípravky plně hrazené pacientem a na veterinární přípravky a recepty a žádanky na léčivé přípravky obsahující návykové látky. Za dokumentaci svého druhu je pak možné považovat též recepty na částečně hrazené léčivé přípravky, a to až do okamžiku jejich předání zdravotní pojišťovně.

Pokud tedy bude lékárna nakládat s osobními údaji pacienta jen prostřednictvím receptů, nebudou se na ni vztahovat povinnost získávání souhlasu pacienta k jejich zpracování ani povinnost oznamovací.

Jakmile začne lékárna shromažďovat osobní údaje pacientů v širším rozsahu (např. tvorbou vlastního registru či databáze pacientů v elektronické či jiné podobě), výjimky na ni nedopadají a musí dbát všech povinností ze zákona o ochraně osobních údajů. Vede-li registr pacientů, aniž by měla jejich souhlas a bez oznámení své činnosti Úřadu pro ochranu osobních údajů, dopouští se porušení zákona.

Současná situace je však taková, že Úřad zatím žádné lékárně neuložil sankci a nelze vyloučit ani to, že vedení registrů pacientů bude tolerovat. Stanovisko k této problematice dosud nevydal.

            Klientskou kartou se zde rozumí zpracování osobních údajů pacienta pro jiné než zákonem stanovené účely a nejedná se tedy o povinnou zdravotnickou dokumentaci. Proto k takovému zpracování je pacientův souhlas třeba. Tento souhlas by v každém případě měl být písemný.

            Jelikož lékárna bude v této souvislosti pravděpodobně zpracovávat také tzv. citlivé údaje, t.j. údaje týkající se zdravotního stavu subjektu údajů, je povinna postupovat podle ustanovení zákona č. 101/2000 Sb. týkajících se citlivých údajů. Podle těchto ustanovení musí být pacientův souhlas výslovný, pacient musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Existenci souhlasu pacienta musí být správce, tedy provozovatel lékárny, schopen prokázat po celou dobu zpracování. Pacient musí být také předem poučen o svých právech na přístup k informacím a na takové provádění zpracování údajů, které je v souladu s ochranou jeho soukromého a osobního života a se zákonem (§ 12  a § 21 zákona č. 101/2000 Sb.). Správce je dále při shromažďování údajů povinen pacienta informovat, kdo a jakým způsobem bude osobní údaje zpracovávat , komu mohou být osobní údaje zpřístupněny a zda je poskytnutí osobních údajů povinné či dobrovolné. Pro zachování větší míry jistoty splnění všech povinností správce a zpracovatele osobních údajů lze doporučit uvedení veškerých těchto údajů do písemného souhlasu pacienta.

     Tento souhlas pak může být formulován např. takto:

Souhlasím s poskytnutím mých níže/výše uvedených osobních údajů a s jejich dalším zpracováním provozovatelem lékárny XY panem/paní .................... jako jejich správcem a jeho/jejími zaměstnanci jako zpracovateli, a to pro účely založení a vedení mé klientské karty v lékárně XY, přičemž poskytnutí těchto údajů je dobrovolné. Beru na vědomí, že klientská karta je zakládána pro klienty lékárny XY jako nadstandardní služba, na jejímž základě mi budou poskytovány .........(vyjmenovat, co vlastně obnáší zavedení karty či odkázat na obchodní podmínky, v nichž je klientská karta popsaná). Dále souhlasím s tím, aby mé osobní údaje byly využity pro .......(např.statistické obchodní potřeby lékárny apod.). Tento souhlas uděluji na dobu neurčitou s tím, že tento souhlas zaniká splněním podmínek podle § 20 zákona č. 101/2000 Sb., o ochraně osobních údajů, nebo zrušením registrace správce u Úřadu pro ochranu osobních údajů. Beru dále na vědomí, že mé osobní údaje, které správci poskytuji, bude zpracovávat on nebo jeho zaměstnanci, kterým budou tyto údaje zpřístupněny. Potvrzuji, že jsem byl předem poučen o svých právech podle §§ 12 a 21 zákona č. 101/2000 Sb., o ochraně osobních údajů,( lépe je poučení sem uvést přímo, tedy opsat citovaná ustanovení zákona).                                         podpis........................................

            Co se týče samotného zpracování osobních údajů, pak, jelikož se nejedná o povinně zpracovávané osobní údaje pro účely zdravotnické dokumentace, je nutné, aby se provozovatel lékárny zaregistroval jako správce osobních údajů u Úřadu pro ochranu osobních údajů. Postup a náležitosti registrace jsou podrobně popsány v již citovaném zákoně o ochraně osobních údajů.

Mgr. MUDr. Jaroslav Maršík, právní poradce ČLK