V poslednej časti zo série článkov na tému zodpovednej osoby prinášame praktickú prípadovú štúdiu, cieľom ktorej je aplikovať prezentované poznatky na príklad zohľadňujúci reálie v bežnej praxi. Cieľom prípadovej štúdie je posúdiť existenciu predpokladov na povinné určenie zodpovednej osoby a tiež stručne načrtnúť prvé kroky po jej určení.
Krátka prípadová štúdia
-
Prípad (zadanie)
Prestížna súkromná klinika prevádzkuje v dvojposchodovej budove niekoľko ambulancií (3 ambulancie všeobecného lekára, 2 ambulancie zubného lekára a 9 ďalších špecializovaných ambulancií), 1 veľké spoločné laboratórium pre testovanie biologických materiálov a 4 špecializované pracoviská (röntgen [RTG], ultrasonografia [USG], elektrokardiografia [EKG] a magnetická rezonancia). Priestory kliniky sú pokryté kamerovým systémom, vstup do zabezpečenej časti laboratória majú len oprávnené osoby prostredníctvom technológie odtlačku prsta a táto istá technológia sa využíva pri evidencii dochádzky zamestnancov. Zároveň oddelenie ľudských zdrojov zvažuje pridelenie pracovných mobilných telefónov každému zamestnancovi a IT správca navrhol do týchto zariadení nainštalovať softvér pre vzdialenú správu na účely ochrany dát a majetku kliniky. Klinika má jednotný informačný systém osobných údajov, čo znamená, že ak si všeobecný lekár vyžiada špecializované vyšetrenie, tak výsledok má okamžite k dispozícii v elektronickej karte pacienta. Navyše, dvaja špecializovaní lekári pôsobia na klinike ako samostatné podnikateľské subjekty. Klinika eviduje 11 339 pacientov a prijíma nových z celého Bratislavského kraja. Obsahom podnikateľskej činnosti kliniky je aj školenie v otázke prevencie pred cukrovkou a ostatnými civilizačnými chorobami, a 4-krát v roku realizuje jednodňové podujatie „Deň zdravia“, ktorého obsahom je testovanie a inštruktáž ohľadom správnej zdravotnej prevencie.
Riešenie
V prvom kroku je nevyhnutné zodpovedať otázku povinného ustanovenia zodpovednej osoby a v druhom kroku sa zamerať na odporúčania, ktoré by zodpovedná osoba mohla poskytnúť klinike v súvislosti s jej činnosťou.
a) hlavná činnosť
Keďže súkromná klinika pozostáva z viacerých interných útvarov (ambulancií a špecializovaných medicínskych pracovísk), je tak celkom nepochybné, že jej primárnou podnikateľskou činnosťou je poskytovanie zdravotnej starostlivosti. Hlavnou činnosťou preto bude spracúvanie osobných údajov, ktoré súvisí s poskytovaním zdravotnej starostlivosti.
Ostatné spracovateľské činnosti pokrývajú vedľajšie aktivity kliniky, ktoré majú podporný charakter k hlavnej činnosti. Preto spracúvanie osobných údajov prostredníctvom kamerového systému, spracúvanie biometrie (odtlačku prsta) a spracúvanie údajov pri poskytovaní doplnkových služieb (školenie a občasné podujatia) nebude hlavnou činnosťou súkromnej kliniky.
Následne treba posúdiť, či pri poskytovaní zdravotnej starostlivosti dochádza k spracovaniu osobitnej kategórie osobných údajov vo veľkom rozsahu.
b) veľký rozsah
Klinika pôsobí na území Bratislavského kraja a teda jej činnosť je regionálne vymedzená. Na tomto území podľa dostupných informácií žije takmer 660 000 obyvateľov a ďalších 100 000 sem dochádza za prácou1). Klinika eviduje doposiaľ 11 339 stálych pacientov, čo predstavuje asi 1,49 % podiel na celkovom počte regionálnej populácie. Toto číslo, pokiaľ ide o množstvo pacientov, samo o sebe nepredstavuje závratný numerický údaj a ak by posúdenie stálo len na zohľadnení tohto čísla, tak by s najväčšou pravdepodobnosťou nešlo o spracúvanie vo veľkom rozsahu.
-
Kvantitatívne hľadisko
Rozhodujúcim atribútom je kvantitatívne hľadisko, ktoré by sa nemalo vykladať reštriktívne. Pojem „kvantita“ je číselne vyjadriteľné zastúpenie množstevných jednotiek2), ktorých spoločným znakom je ich merateľnosť3). Okrem počtu dotknutých osôb a geografickej oblasti, je tiež merateľný rozsah (objem) spracúvaných osobných údajov, a dokonca aj dĺžka spracovateľských operácií vyjadrená v počte rokov.
Klinika spracúva rozsiahly rámec genetických údajov, ako aj údajov týkajúcich sa zdravia pacientov, a to cez celú sféru medicínskych špecializácií. Každá jedna špecializovaná ambulancia vedie individuálnu zdravotnú dokumentáciu v rozsahu ňou poskytnutej zdravotnej starostlivosti. Čím viac diferencovaných úkonov zdravotnej starostlivosti je klinika schopná pacientovi poskytnúť, tým priamo úmerne vzrastie aj množstvo spracúvaných osobných údajov. Inak povedané, čím je organizačná štruktúra kliniky obsiahlejšia a komplexnejšia, tým priamo úmerne vzrastá jej potenciál pre dosiahnutie súladu s pojmovým znakom spracúvania vo veľkom rozsahu. V porovnaní so samostatným lekárom preto klinika kumuluje „pod jednou strechou“ omnoho širšie spektrum osobných údajov, ktoré sú spracúvané viacerými útvarmi kliniky tak, ako boli uvedené v zadaní (3 ambulancie všeobecného lekára, 2 ambulancie zubného lekára a 9 ďalších špecializovaných ambulancií, 1 veľké spoločné laboratórium a 4 špecializované pracoviská), čím je splnená požiadavka spracúvania vo veľkom rozsahu.
Pokiaľ ide o dĺžku spracúvania, tak zdravotná dokumentácia vedená všeobecným lekárom podlieha lehote uchovania v trvaní 20 rokov po smrti osoby alebo 20 rokov od posledného poskytnutia zdravotnej starostlivosti, ak ide o ostatnú zdravotnú dokumentáciu4). Zdravotná dokumentácia obsahuje zákonom predpísané náležitosti5), medzi ktoré okrem iného patria aj zdravotné údaje potrebné na zistenie anamnézy, údaje o chorobe, o priebehu a výsledkoch vyšetrení, liečby a ďalších významných okolnostiach súvisiacich so zdravotným stavom osoby. S prihliadnutí na typológiu údajov hovoríme jednoznačne o osobitnej kategórii osobných údajov podľa článku 9 nariadenia GDPR.
c) predpoklad ustanovenia zodpovednej osoby
-
Vzhľadom na vyššie uvedené preto možno konštatovať, že popisovaná klinika spĺňa predpoklad na povinné určenie zodpovednej osoby, keďže jej hlavnou činnosťou je spracúvanie osobitnej kategórie osobných údajov vo veľkom rozsahu. Hoci počet pacientov ako dotknutých osôb predstavuje malý podiel na celkovej regionálnej populácii, no komplexnosť úkonov zdravotnej starostlivosti naznačuje zvýšený objem spracúvaných osobných údajov počas dlhého časového obdobia.
Prvé kroky zodpovednej osoby vo svojej funkcii
Súkromná klinika teda v kontexte záverov posúdenia pristúpi k povinnému určeniu zodpovednej osoby a o tejto skutočnosti informuje Úrad na ochranu osobných údajov SR, zamestnancov a v neposlednom rade tiež pacientov, aby sa na ňu mohli obracať so svojimi požiadavkami. Úlohy zodpovednej osoby však nebudú limitované len na spracovateľské operácie týkajúce sa hlavnej činnosti. Prvým krokom zodpovednej osoby v jej funkcii by malo byť uskutočnenie auditu a na základe jeho záverov prijatie odporúčaní na zlepšenie internej politiky spracúvania osobných údajov.
Na tomto mieste však nie je vyčerpávajúci výklad všetkých vstupných úloh zodpovednej osoby, len poukážeme na niektoré osobitosti obsiahnuté v texte zadania, s ktorými by sa mala zodpovedná osoba v súkromnej klinike vysporiadať:
- Súkromná klinika prevádzkuje kamerový systém. Zodpovedná osoba preto musí posúdiť, či boli splnené všetky zákonné povinnosti kliniky z pohľadu ochrany osobných údajov pri prevádzkovaní tohto systému.
- Klinika spracúva odtlačky prstov ako biometrické údaje svojich zamestnancov, pričom zodpovedná osoba by mala v súlade so zásadou proporcionality a nevyhnutnosti posúdiť, či nebolo možné prijať menej invazívne prostriedky spracúvania osobných údajov. Pri biometrickej verifikácii osoby pre vstup do laboratória to bude zrejme v poriadku, avšak pri evidencii dochádzky zamestnancov je vhodné overiť a validovať dôvody, ako aj právny základ takého spracúvania. Všetko sú to skutočnosti, ktoré bude potrebné preukázať dozornému orgánu pri vykonávaní úradnej kontroly.
- Oddelenie ľudských zdrojov navrhuje prideliť zamestnancom kliniky pracovné telefóny a IT správca požaduje inštalovanie aplikácie vzdialenej správy do týchto mobilných zariadení. Keďže o tejto novinke sa začína rozhodovať, je nevyhnutné do procesu prizvať zodpovednú osobu, ktorá bude nápomocná pri vykonaní testu proporcionality.
- Väčšina zdravotníckeho personálu sú interní zamestnanci kliniky. Lenže na klinike pôsobia aj dvaja zmluvní lekári v postavení podnikateľov. V tomto zmysle musí zodpovedná osoba posúdiť, či sú títo dvaja lekári v pozícii sprostredkovateľov a teda či bude potrebné s nimi uzatvoriť zmluvu o poverení spracúvania osobných údajov podľa článku 28 nariadenia GDPR.
- Elektronická karta pacienta je vlastne elektronická zdravotná dokumentácia. Zodpovedná osoba bude mať za cieľ preveriť, či klinika prijala primerané bezpečnostné (technické a organizačné) opatrenia zamedzujúce úniku údajov z informačného systému, a či k týmto osobným údajom nemajú prístup neoprávnené osoby.
1) Informácia dostupná na https://sk.wikipedia.org/wiki/Bratislava
2) Synonymický slovník slovenčiny z r. 2004 (dostupný na http://slovnik.juls.savba.sk/).
3) Slovník súčasného slovenského jazyka A – G, H – L, M – N z r. 2006, 2011, 2015 (dostupný na http://slovnik.juls.savba.sk/).
4) § 22 ods. 2 zákona č. 576/2004 Z. z. o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov.
5) § 19 ods. 2 zákona č. 576/2004 Z. z. o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov.
