GDPR ve zdravotnictví - dopad nových pravidel ochrany soukromí na zdravotnická zařízení

Transkript

1 GDPR ve zdravotnictví - dopad nových pravidel ochrany soukromí na zdravotnická zařízení ICT ve zdravotnictví Mgr. Lenka Suchánková, LL.M

2 ÚVOD Témata prezentace Aktuální stav legislativy Zpracování údajů ve zdravotnictví Proces implementace GDPR Případové studie

3 STAV LEGISLATIVY

4 ÚVOD DO GDPR Cílový stav legislativního vývoje (2018) PRÁVO EU GDPR eprivacy NIS ČESKÉ PRÁVO Implementační zákon o ochraně osobních údajů Novela ZEK a ZIS Novela zákona o kybernetické bezpečnosti Vertikální regulace Vertikální regulace Finanční instituce Telekomunikační operátoři Poskytovatelé zdr. sluţeb Veřejný sektor Energetika X Poskytovatelé cloudu X Poskytovatelé sluţeb X X Výrobní společnosti X X Maloobchodní řetězce X X

5 ÚVOD DO GDPR Související předpisy v České republice Návrh zákona o zpracování osobních údajů Metodiky Ministerstva zdravotnictví Nový zákon nahrazující zákon č. 101/2000 Sb., o ochraně osobních údajů Implementuje i směrnici (EU) 2016/680 Nevyuţívá derogace, pouze upřesňuje Souhlas mladistvého min. 15 let DPO mlčenlivost Definice subjektu veřejné správy Pro veřejné subjekty pokuta jen do Kč Vymáhání občanskoprávních nároků jako samostatný právní titul Metodika implementace GDPR Metodika implementace GDPR v ambulantní sféře

6 Metodika MZ konkrétní závěry ÚVOD DO GDPR DPIA Činnosti, v rámci kterých jsou údaje zpracovávány na základě zákona nepodléhají povinnosti provést DPIA (adaptační zákon) Časové hledisko Zdravotnická dokumentace Zdravotnické zařízení Právo na informace Přímé ohroţení ţivota X akutní/plánovaná péče Rozlišovat tituly Rozsah dle zákona o zdravotních sluţbách Doba uchování 5 let, výjimky stanoveny v příloze 3 k vyhlášce č. 98/2012 Sb. k zákonu o zdr. sluţbách Poskytovatel zdravotních sluţeb dle zákona o zdravotních sluţbách, povolení Ostatní zařízení není titul zákona (př. zubní hygiena) Výjimka v případě záchrany ţivota (ţivotně důleţité zájmy) Marketing Marketing vůči pacientům jen na základě souhlasu Veřejné subjekty Veřejnými subjekty jsou orgány ochrany veřejného zdraví (krajské hygienické stanice) a zdravotní pojišťovny DPO Poskytovatelé zdravotních sluţeb budou mít vţdy povinnost jmenovat DPO zpracovávání zvláštních kategorií údajů

7 ZPRACOVÁNÍ ÚDAJŮ VE ZDRAVOTNICTVÍ

8 ZDRAVOTNICKÉ ZAŘÍZENÍ LÉKAŘSKÁ PÉČE VĚDA & VÝZKUM SDÍLENÍ S DALŠÍMI SUBJEKTY INTERNÍ SPRÁVA (HR, FINANCE, AUDIT) PR A EXTERNÍ KOMUNIKACE, MARKETING Zákon, Záchrana ţivota Preventivní lékařství Smlouva Souhlas Vědecký výzkum (+ zákon) Souhlas Zákon Souhlas Zákon Smlouva Oprávněný zájem Souhlas Souhlas Mapování je zaloţeno především na analýze legislativy, mapují se odchylky od zák. postupů Mapování a ţivotní cyklus údajů dle skutečného stavu ZŘIZOVÁNÍ DALŠÍCH ORGANIZACÍ LÉKARNY LABORATOŘE ÚSTAVY ŠKOLÍCÍ CENTRA

9 Schéma datových toků dle Metodiky MZ

10 ÚVOD DO GDPR Ţivotní cyklus údajů Požádat Vytvořit Aktualizovat Odstranit Archivovat Bez souhlasu nebo zákonného titulu a splnění informační povinnosti technická nemoţnost postoupit k dalšímu kroku Spojit údaje se: subjektem, účelem, časovým rámcem, nastaveno dle zákona nebo testu přiměřenosti Implementace námitek vůči zpracování, zpřístupnění údaj subjektu údajů Po vypršení časového rámce Na ţádost subjektu, u údajů získaných na základě souhlasu, pokud není oprávněný zájem si ponechat Ponechat si nezbytné údaje k doloţení souladu s GDPR?

11 IMPLEMENTACE GDPR

12 IMPLEMENTACE GDPR Fáze implementace GDPR Rozdílová analýza (2 4 měsíce) Implementace poţadavků, včetně dodatečného mapování (4 měsíce aţ 1 rok) Reziduální rizika? Turnover based sanctions under GDPR Analýza rizik, DPIA, zajištění udrţitelnosti v čase, certifikace (1 měsíc)

13 IMPLEMENTACE GDPR Stav implementace GDPR na českém trhu Většina velkých a nadnárodních společností ukončila nebo ukončuje fázi mapování a zahajuje implementaci SMEs a veřejná správa a samospráva (včetně škol a nemocnic) zahajují mapování

14 Doporučený postup efektivní implementace GDPR IMPLEMENTACE GDPR Implementace zjevných poţadavků (3měsíce) Mapování nutné pro implementaci zjevných poţadavků (3 měsíce, paralelně) Rozdílová analýza (6 aţ 8 měsíců, podle disponibility interních zdrojů) Turnover based sanctions under GDPR Zajištění udrţitelnost v čase

15 IMPLEMENTACE GDPR Oblasti implementace GDPR Změny v IT systémech Dokumentace Změny v procesech Nastavení dob zpracování a správa údajů Zabezpečení Interní (záznamy zpracování, dokumentace interních procesů) Externí: (informační povinnost, práva subjektů údajů, dokumentace vztahů s dodavateli, marketing se souhlasem) Začlenění DPO do interních procesů Zavedení nových procesů (vyřizování ţádostí subjektů, hlášení incidentů) Omezení rozsahu zpracování nebo typů operací Změny vztahů s dodavateli a partnery

16 Implementace zjevných poţadavků IMPLEMENTACE GDPR DPO Vyřizování ţádostí subjektů údajů Pacienti Zaměstnanci Záznamy zpracování Zabezpečení Dodavatelé Projektový plán dalšího mapování Ustanovení DPO a jeho ukotvení do interních procesů Stanovení kontaktního místa a kompetencí Definice procesu, včetně nutných IT nástrojů Příprava vzorových dokumentů Zásady zpracování osobních údajů pacientů, Zásady zpracování osobních údajů návštěvníků areálu Revize a zrušení souhlasů Zásady zpracování osobních údajů zaměstnanců Souhlasy a zásady zpracování pro náborový proces Školící program pro vedoucí i řadové zaměstnance Příprava efektivního nástroje pro katalog údajů a záznamy zpracování, včetně právních základů, účelů a dob zpracování Revize přístupových práv Revize zranitelnosti koncových zařízení a aplikací instalovaných bez souhlasu nemocnice Úprava smluvních vztahů s klíčovými dodavateli Zaměřeno zejména na minimalizaci zpracování, zpřesnění záznamů zpracování a stanovení dob zpracování Automatizace vyřizování práv subjektů údajů

17 IMPLEMENTACE GDPR Gap analýza vs. Okamţitá implementace Gap analýza Okamţitá implementace, omez. mapování Okamžitá implementace = zajištění 80 % souladu s GDPR

18 DESATERO IMPLEMENTACE GDPR Desatero ve zdravotnictví Vytvořte záznamy zpracování osobních údajů včetně mechanismu jejich aktualizace přehled jaké údaje zpracováváte (rozsah), na základě jakého právního titulu, pro jaký účel a po jak dlouhou dobu. Nastavte vhodný vnitřní proces monitorování zabezpečení osobních údajů a stanovte postup hlášení úniku dat. Zaveďte agendu přístupu k osobním údajům vymezte okruh osob, které mají k osobním údajům přístup

19 DESATERO IMPLEMENTACE GDPR Desatero ve zdravotnictví Proškolte osoby pracující s osobními údaji a uchovejte doklad o tomto proškolení. Proveďte posouzení vlivu zpracování na ochranu osobních údajů inventuru jednotlivých procesů, jejich bezpečnost a potenciální dopad na subjekty údajů. Analyzujte a vyhodnoťte rizika spojené se zpracováním zjištěné rizika se pokuste pomocí přijatých technických a organizačních opatření minimalizovat nebo eliminovat

20 DESATERO IMPLEMENTACE GDPR Desatero ve zdravotnictví Zajistěte, aby subjekty (např. pacienti nebo jejich zákonní zástupci) údajů mohly uplatnit právo na přístup a další práva. Vyţádejte si od IT dodavatelů prohlášení o souladu jejich systémů s GDPR a uzavřete s nimi zpracovatelskou smlouvu. Připravte transparentní zásady ochrany osobních údajů pro zaměstnance a pacienty a zajistěte, ţe s nimi budou seznámeni. Připravte informovaný souhlas se zpracováním osobních údajů pro účely zpracování kdy není k dispozici jiný právní titul

21 PŘÍPADOVÉ STUDIE

22 PŘÍPADOVÉ STUDIE V zájmu zajištění poskytování navazujících zdravotních služeb jsou poskytovateli ZS předány osobní údaje pacienta (jiným poskytovatelem ZS). Má nový poskytovatel ZS informační povinnosti vůči pacientovi ve smyslu čl. 14 GDPR?

23 PŘÍPADOVÉ STUDIE Hospitalizovaný pacient je v ohrožení života a vyžaduje poskytnutí neodkladní zdravotní péče. Jak se tato skutečnost promítne do informační povinnosti poskytovatele?

24 PŘÍPADOVÉ STUDIE Poskytovatel zdravotních služeb využívá k rozboru biologických vzorků služby externí laboratoře, které zpřístupňuje osobní údaje pacientů. Jaké má v této souvislosti povinnosti vůči pacientům, případně vůči laboratoři?

25 PŘÍPADOVÉ STUDIE Poskytovatel ZS má podezření, že jeho dodavatel IT služeb (včetně případného poskytovatele cloudu) porušuje uzavřenou zpracovatelskou smlouvu. Jak může postupovat? Jaké má porušení zpracovatelské smlouvy důsledky?

26 PŘÍPADOVÉ STUDIE Pacient poskytovateli ZS oznámí, že si nepřeje aby dále zpracovával jeho osobní údaj a požaduje jejich výmaz. Jak má poskytovatel postupovat?

27 PŘÍPADOVÉ STUDIE Pacient dobrovolně souhlasil se svou účastí na klinickém výzkumu. Co musí poskytovatel ZS udělat, pokud chce pro účely tohoto výzkumu zpracovávat pacientovy osobní údaje?

28 Spolu s kancelářemi v Londýně, Bruselu a Moskvě jeden z největších specializovaných právních týmů zaměřených na právo technologií, médií a komunikací Hlavní oblasti praxe: Ochrana osobních údajů IT smlouvy, včetně smluv na cloudové produkty IoT M&A transakce v technologickém sektoru Podpora start-upů při vstupu na zahraniční trhy Pracovní právo (včetně technologických aspektů smluv zaměstnanců, BYOD) IP právo Média Telekomunikační právo Více informací: Partneři odpovědní za GDPR projekty : Jana Pattynová jana.pattynova@pierstone.com let nejvyšší nezávislá hodnocení pro oblast technologie Lenka Suchánková lenka.suchankova@pierstone.com