Až 20 milionů eur, nebo 4 % svého ročního obratu budou muset zaplatit instituce, které nevyhoví novému nařízení Evropské unie. Jde o ochranu osobních údajů, mezi které patří třeba i rentgenové snímky pacientů, nebo portrétní fotografie zaměstnanců. Nová regulace začne účinkovat 25. května roku 2018 a bude automaticky závazná pro všechny členské státy EU.
Evropská unie doposud řešila ochranu osobních údajů směrnicí 95/46/ES, kterou různé země implementovaly odlišně. Například v České republice máme zákon č. 101/2000 Sb., poměrně brzy však nastane změna. 25. května příštího roku nabude účinnosti nařízení 2016/679 (General Data Protection Regulation, zkráceně GDPR), vydané Evropským parlamentem a Radou národních ministrů, kde najdeme několik novinek a které musíme dodržovat.
„GDPR se nevyhnutelně dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje obyvatel evropských zemí,“ řekla včera na brněnské Konferenci personalistů právnička Eva Janečková. Zároveň uklidňovala: „Není to žádná revoluce. Většinu povinností byste už měli znát a splňovat podle stávající právní úpravy.“
Novinky, účinné od 25. května 2018
Nová regulace podle svých obhájců reaguje na rychlý technický vývoj a obavy občanů. Například upřesňuje definici osobních údajů, mezi které počítejme třeba taky:
- rentgenové snímky
- fotografie zaměstnanců označené občanskými jmény a zveřejněné na sociální síti Facebook.com (tam můžeme bezproblémově publikovat “dokumentární” nebo ilustrační snímky, kupříkladu z vánočního večírku, pokud nejsou účastníci označeni)
- IP adresy (identifikátory síťového rozhraní v počítačové síti)
- cookies (záznamy o vaší návštěvě na konkrétním webu) apod.
Jmenujme hlavní změny:
- Občan, tedy pacient nebo zaměstnanec rozhoduje, zdali budou jeho údaje shromažďovány a případně v jakém rozsahu, což může kdykoli odvolat! Souhlas proto nevyžadujme tam, kde není potřeba – například když děláme nutnou personální agendu. Jinak může vzniknout prekérní situace: Zaměstnanec odvolá souhlas se zpracováním svých osobních údajů, které však potřebujeme kvůli jiným zákonům.
- Už nyní platí řada zásad, osobní data můžeme například zpracovávat jenom za legitimním účelem. Navíc však přibude princip odpovědnosti: Správce osobních údajů (nemocnice) plně odpovídá za dodržování pravidel a svoji případnou výjimku musí být schopen doložit relevantní analýzou!
- Nemocnice jmenuje takzvaného pověřence, který bude kontaktní osobou pro veřejnost. Může pověřit interního zaměstnance i externistu. Pověřenec však potřebuje povědomí o právním kontextu, zkušenosti s ochranou osobních údajů a ideálně taky rozumí informačním technologiím. Podle některých právních výkladů nemusí takového člověka najímat samostatně působící lékař, protože neprovádí “rozsáhlé pravidelné a systematické monitorování subjektů údajů” (článek 37).
- Nemocnice musí vést takzvané “záznamy o činnostech zpracování” podle článku 30 GDPR. Tam uvede například účely, za jakými osobní data shromažďuje apod.
- GDPR zavádí nová práva pacientů a zaměstnanců: právo na přenositelnost údajů (například při změně zaměstnavatele), právo vznést námitku proti zpracování svých osobních údajů a právo “nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování”.
- Případné bezpečnostní incidenty, které znamenají riziko pro práva a svobody pacientů nebo zaměstnanců, nemocnice do 72 hodin nahlásí Úřadu pro ochranu osobních údajů (ÚOOÚ), ve vážných případech taky dotčenému člověku. Například když je tiskárna na veřejně přístupné chodbě a mzdová účetní tam zapomeneme kopii pracovní smlouvy, která specifikuje mzdu konkrétního zaměstnance.
Pokuta 20 milionů euro, nebo 4 % ročního obratu
Za porušení obecného nařízení hrozí pokuta maximálně 20 milionů euro, nebo 4 % celkového ročního obratu (vyšší částka má přednost; poměrně vysoké limity jsou vyměřené údajně proto, aby byly odstrašující i pro globální komerční korporace). Odpovědnost nese nemocnice, ale pokud má dobře sepsanou smlouvu, může požadovat kompenzaci od svého pověřence, který by proto měl být dostatečně pojištěn.
Petr Woff
O tématu GDPR jsme už psali:
Tuzemské pokuty nemohou být výrazně nižší než v západní Evropě Petr Woff – 21.9.2017
I na fotky dětí na školním webu bude kvůli GDPR potřeba povolení rodičů Jiří Reichl – 15.9.2017
Starostové o GDPR: Kvůli novému nařízení často najmou “sdíleného pověřence” Petr Woff – 13.9.2017
Vnitro v tichosti vydalo manuál pro obce k GDPR: Pověřence musí mít všechny obce! Jiří Reichl – 8.9.2017
GDPR změní praxi i v trestní a soudní oblasti Jiří Reichl – 25.8.2017
Vnitro posílá do „meziresortu“ české GDPR. Očekávají se stovky připomínek Jiří Reichl – 24.8.2017
GDPR – pověřenec pro ochranu osobních údajů bude nedostatkové zboží Petr Maličovský – 21.8.2017
Miliardový dopad GDPR na obce a města Jiří Reichl – 4.8.2017
Obce a města musejí shánět odborníky na IT a právo v jednom. Kvůli implementaci… Jiří Reichl – 24.7.2017
Vnitro připravuje manuál pro obce k GDPR, vznikající paniku mírní Jiří Reichl – 19.7.2017
Senátoři vracejí sněmovně zákon o kontrole, argumentují zájmem malých obcí Jiří Reichl – 30.8.2017
Vnitro a ÚOOÚ chtějí snížit hranici pro souhlas se sběrem dat nezletilých na 13… Jiří Reichl – 24.8.2017
Advokáti se připravují na směrnici o ochraně osobních údajů, ČAK je musí zabezpečit – 10.7.2017
Unie posílí ochranu osobních údajů. Ludvík: Bude to stát strašné peníze Petr Woff – 25.5.2017
EET má další problém. Nemohou ho využívat tisíce zrakově postižených Jiří Reichl – 29.3.2017