GDPR v IVF JUDr. Ondřej Dostál, Ph.D., LL.M. Společnost medicínského práva ČLS JEP PriceWaterhouseCoopers Legal, s.r.o.
GDPR: Základní informace (2016/679/EU) Obecné nařízení o ochraně dat (General Data Protection Directive, 2016/679/EU) Účinné od 25. 5. 2018 Nařízení není směrnice! Přímá závaznost Sankční mechanismus: reálná rizika?
Realita versus GDPR v médiích
Realita versus GDPR v médiích Ptala se mě například jedna lékařka, která má psychiatrickou ambulanci, co to pro ni bude znamenat. Má chorobopisy pacientů, u nichž jsou uvedena choulostivá data, která jí při vyšetřeních sdělují. Co když jí řeknou, že je chtějí vymazat? Pro ni je to nepředstavitelné.
Ochrana soukromí, GDPR a klientské programy
Právo Základy práce s osobními údaji Zdravotník má povinnou mlčenlivost Průlomem je souhlas pacienta: zaznamenaný právní úkon Další průlomy jsou v zákoně: vědět kdy, co, komu (soupis) Technologie Základní zabezpečení počítače a internetového připojení Předávání: základní zabezpečení e-mailu, vzdáleného připojení či jiného kanálu
Podrobně k obsahu GDPR a národní legislativy
Obsah GDPR: Definice Osobní údaj: veškeré informace o identifikované nebo identifikovatelné fyzické osobě ( subjekt údajů ); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby Anonymní údaj (již 101/2000 Sb.): takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů,
GDPR: Lidský faktor a anonymita
Správce: Obsah GDPR: Definice fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů Zpracovatel: fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce
Povinnost návazností příjem i výdej 45 (2) ZoZS Poskytovatel je povinen f) předat zprávu o poskytnutých zdravotních službách registrujícímu poskytovateli v oboru všeobecné praktické lékařství nebo v oboru praktické lékařství pro děti a dorost, je-li mu tento poskytovatel znám, a na vyžádání též poskytovateli zdravotnické záchranné služby nebo pacientovi; registrující poskytovatel v oboru zubní lékařství nebo v oboru gynekologie a porodnictví má povinnost předat zprávu jen v případě, kdy poskytnutí zdravotních služeb indikoval registrující poskytovatel v oboru všeobecné praktické lékařství nebo v oboru praktické lékařství pro děti a dorost, g) předat jiným poskytovatelům zdravotních služeb nebo poskytovatelům sociálních služeb potřebné informace o zdravotním stavu pacienta nezbytné k zajištění návaznosti dalších zdravotních a sociálních služeb poskytovaných pacientovi, Pozor na případy, kde ještě neexistuje vztah pacient-pzs
Obsah GDPR: Definice Zpracování = nejen předání jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení Kazuistiky: záměna dětí, F diagnóza, léky pro reexport
GDPR a neoprávněné zpracování ZD
Obsah GDPR: Definice Souhlas jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů Stejné pasti jako u informovaného souhlasu se zákroky Svoboda uděleného souhlasu Je zřejmé, komu, v jakém rozsahu a k jakému účelu uděluji souhlas Udělení souhlasu oddělené od jiných skutečností Odvolání souhlasu stejně snadné jako udělení Souhlas se zpracováním osobních údajů nelze vázat na nesouvisející smluvní plnění Staré souhlasy neplatí, pokud nejsou v souladu s GDPR
Základní práva subjektu údajů dle GDPR Přístup na informace co kdo proč sbírá, zejména: Totožnost a kontakt správce, případně pověřence Účel zpracování a právní základ pro něj Doba, po jakou budou uloženy Informace o zdroji osobních údajů Oprava, výmaz Oprava nepřesných či doplnění neúplných Právo být zapomenut, odvolání souhlasu; protiprávní zpracování Ebrietas alcoholica vs. obesitas magna
Technické zajištění a GDPR Odpovědnost za ochranu údajů S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, ( ), tak aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů. Správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Žádoucí pokyn pro PZS (i pro legislativu) k omezení nadbytečné administrativy novela vyhlášky o ZD Platí pro listinnou i elektronickou ZD, videopřenosy, patrně i přenosy materiálu lidského původu
Vybrané povinnosti správce dle GDPR Ohlašování porušení zabezpečení dozorujícímu úřadu Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění. Oznamování únik subjektu údajů (pacientovi) Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů. Kazuistiky: záměna pacienta či buněk, záměna ZD, odeslání nesprávnému advokátovi
GDPR: IT a hackeři
Další nástroje dle GDPR Konzultace s Úřadem Odvětvové kodexy Předávání do třetích zemí (mimoevropských) Zejména pro specifické profese a PZS pro cizince Sankce a odpovědnost Právo na stížnost (pozor, i k cizímu ÚOOÚ ) Právo na účinnou soudní ochranu vůči dozorovému orgánu, a vůči správci/zpracovateli Zastoupení neziskovým subjektem Náhrada újmy Pojištění
K diskusi v oblasti asistované reprodukce Marketing: od děkovného dopisu ke stížnosti Referrals a předávání informací tam i zpátky (včetně zahraničních) Pacientova data, právo vědět a řetězec více IVF poskytovatelů (zaměstnanec vs. kontraktor) Pacient (zejména zahraniční) a právo vědět o registrech ÚZIS k reprodukčnímu zdraví (přežije GDPR?) Anonymita údajů o dárcích, oddělení právní (silnější než GDPR, nebo průlom?), oddělení záznamu faktické (nepovolená volba vlastností dárce) GDPR-aspekt vyjití vstříc párům nesplňujícím požadavky a (ne)zdokumentování GDPR-aspekt souhlasů, nesouhlasů a vzetí zpět souhlasů s asistovanou reprodukcí, resp. management nosičů osobních údajů v buněčné podobě
Haló, ÚOOÚ? Hlásím únik dat z cloudového úložiště veterinární kliniky! JUDr Ondrej Dostal PhD LLM ondrej.dostal@pwc.com