do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Transkript

1 Stav imoplementace GDPR do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

2 Analogie Lze na GDPR nahlížet jako na zákon o požární ochraně?

3 Nabytí účinnosti Legisvakanční hysterie Fáze rezignace Fáze hysterie Fáze rezignace Přijetí předpisu Fáze Průseru Fáze Průseru Definujte zápatí - název prezentace / pracoviště 3

4 FILOSOFIE Každý, kdo spravuje nebo zpracovává osobní údaje musí mít od počátku promyšleno k čemu tato osobní data potřebuje a jak je bude chránit Zákonnost, korektnost a transparentnost zpracování osobních údajů Důraz na zachování integrity a důvěrnosti dat Klade se velký důraz na samoregulaci uvnitř instituce Největší problém instituce musí vést záznam o tom, že tato pravidla dodržuje (protokol, data management plan etc.)

5 Základní pilíře právní úpravy Stará (současná) směrnice Nové nařízení Široká definice OU OÚ lze zpracovávat Souhlas Zákonné zmocnění Trojúhelník Subjekt údajů Správce Zpracovatel Ještě širší definice OÚ OÚ lze zpracovávat Souhlas Zákonné zmocnění Trojúhelník Subjekt údajů Správce Zpracovatel

6 Účelové omezení Nezpracovávat data k jinému účelu ÚČEL Minimalizace dat Rozsah sbíraných dat musí odpovídat účelu Časové omezení Data se musí po splnění účelu smazat nebo anonymizovat

7 Novinka Značné možnosti samosprávy Posouzení vlivu na ochranu osobních údajů Pověřenec Kodex chování Pečetě a osvědčení Předchozí konzultace

8 Nejobávanější novinky Záměrná a standardní ochrana osobních údajů (DP by design) Povinnost vést záznamy o činnostech zpracování Zabezpečení zpracování záznamy o nich Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu Posouzení vlivu na ochranu osobních údajů Pověřenec pro ochranu osobních údajů Sankce

9 Oblasti implementace GDPR 1. Interní legislativa 2. Registr zpracování OÚ 3. Metodiky 4. Posouzení dopadu 5. Úpravy systémů a procesů 6. Dokumentace 7. Vytvoření podpůrných systémů 8. Smluvní ujednání 9. Souhlasy SÚ 10. Pověřenec pro ochranu OÚ 11. Školení, informovanost Převzato Seminář Cesnet-GDPR Diskuse a příprava CRP18+ 9

10 DOPADY GDPR DO OBLASTI ZDRAVOTNÍ PÉČE Definujte zápatí - název prezentace / pracoviště 10

11 Definujte zápatí - název prezentace / pracoviště 11

12 Problém zdánlivé rozpory s tuzemským právem Zákon o zdravotních službách Vedení zdravotnické dokumentace Archivace, sdělování informací třetím osobám Zákon o veřejném zdravotním pojištění Předávání údajů pacientů pojišťovně Evidence osobních údajů zaměstnanců Definujte zápatí - název prezentace / pracoviště 12

13 Není informovaný souhlas jako informovaný souhlas GDPR Informovaný souhlas se zpracováním osobních údajů Nařízení o klinických hodnoceních Informovaný souhlas s účastí na studii Zákon o zdravotních služách Informovaný souhlas s poskytnutím ZS Občanský zákoník Informovaný souhlas se zásahem do integrity

14 Pravidla pro praxe studentů na klinikách (372/2011 Sb.) 46 odst. 2. Poskytovatel je povinen zajistit, aby osoby připravující se na výkon zdravotnického povolání prováděly při klinické a praktické výuce, praktickém vyučování a odborné praxi, jen činnosti, včetně zdravotních výkonů, které jsou součástí výuky nebo praxe, a to pod přímým vedením zdravotnického pracovníka, který má způsobilost k samostatnému výkonu zdravotnického povolání a je v pracovněprávním vztahu k tomuto poskytovateli. 65 odst. 3. Osoby získávající způsobilost k výkonu povolání zdravotnického pracovníka nebo jiného odborného pracovníka a zdravotničtí pracovníci uvedení v 46 odst. 2 mohou do zdravotnické dokumentace vedené o pacientovi nahlížet v rozsahu nezbytně nutném pro zajištění výuky; to neplatí, jestliže pacient nahlížení prokazatelně zakázal. Definujte zápatí - název prezentace / pracoviště 14

15 GDPR a klinická hodnocení? Recitál Zpracování OÚ pro vědecké účely by mělo být v souladu i s dalšími právními předpisy, Recitál Pro účely vyslovení souhlasu s účastí ve vědeckém výzkumu v klinických hodnoceních by měla platit nařízení EU č. 536/2014

16 Rozdílná pravidla pro zpracování OÚ Primární zpracování dat pacientů účastnících se KH Sekundární zpracování dat pacientů účastnících se KH Sekundární data pacientů neúčastnících se KH (epidemiologie) Zpracování anonymizovaných dat

17 Anonymizace, pseudonymizace a profilování Anonymizované OÚ Nelze dešifrovat, klíč je zničen Pseudonymizované OÚ Lze dešifrovat, třeba za cenu velkého úsilí I tato data jsou OÚ Profilování automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě

18 Kybernetická bezpečnost

19 Širší kontext Kybernetická bezpečnost není jen zákon o kybernetické bezpečnosti

20

21

22

23 Rozhodování NKIB O statusu provozovatele Základní Služby (1) Úřad rozhodnutím určí provozovatele základní služby a informační systém základní služby, pokud naplní odvětvová a dopadová kritéria. (3) Proti rozhodnutí Úřadu o určení provozovatele základní služby a informačního systému základní služby není rozklad přípustný. Nařízení opatření Úřad vydá rozhodnutí, ve kterém uloží provést reaktivní opatření k řešení kybernetického bezpečnostního incidentu anebo k zabezpečení informačních systémů Nepodaří-li se rozhodnutí adresátovi doručit do vlastních rukou do 3 dnů ode dne jeho vydání, doručí se mu tak, že se vyvěsí na úřední desce Úřadu a tímto okamžikem je vykonatelné. Rozklad podaný proti rozhodnutí podle odstavce 1 nemá odkladný účinek.

24 Povinnosti poskytovatele ZS, který je určen NKIB Detekovat kybernetické bezpečnostní události a kybernetické bezpečnostní incindenty Provádět bezpečnostní opatření (proti) Opatření Hlásit kontaktní údaje na Vládní CERT (Computer Emergency Response Team) kybernetické bezpečnostní incidenty

25 Bezpečnostní opatření Povinnost provozovatele významných informačních systémů Souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických komunikací ( 4 odst 1. ZKB) Organizační ( 5 odst. 1. ZKB) Technická ( 5 odst. 2. ZKB) Zvládání incidentů (událost a incident)

26 Bezpečnostní opatření činí provozovatel preventivně a ze zákona Organizační systém řízení bezpečnosti informací, řízení rizik, bezpečnostní politika, organizační bezpečnost, stanovení bezpečnostních požadavků pro dodavatele, řízení aktiv, bezpečnost lidských zdrojů, řízení provozu a komunikací kritické informační infrastruktury nebo významného informačního systému, řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému, akvizice, vývoj a údržba kritické informační infrastruktury a významných informačních systémů, zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů, řízení kontinuity činností a kontrola a audit kritické informační infrastruktury a významných informačních systémů. Technická opatření fyzická bezpečnost, nástroj pro ochranu integrity komunikačních sítí, nástroj pro ověřování identity uživatelů, nástroj pro řízení přístupových oprávnění, nástroj pro ochranu před škodlivým kódem, nástroj pro zaznamenávání činnosti kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů, nástroj pro detekci kybernetických bezpečnostních událostí, nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí, aplikační bezpečnost, kryptografické prostředky, nástroj pro zajišťování úrovně dostupnosti informací a bezpečnost průmyslových a řídících systémů. Podrobnosti - Vyhláška č. 316/2014 Sb. (probíhá novela)

27 DĚKUJI ZA POZORNOST