PHARMA NEWS - odborný časopis
GDPR
Pověřenec pro ochranu osobních údajů ve světle nařízení GDPR
S problematikou nařízení GDPR1 se v poslední době velmi často setkáváme v médiích, v novinách i v odborných časopisech. Věnují se mu také mnohé odborné konference, semináře i školení. Všichni chtějí vědět, jaké povinnosti s sebou účinnost nařízení GDPR přinese, koho se dotkne, na koho naopak nařízení GDPR nedopadá a jaké sankce mohou hrozit těm, kteří nebudou plnit povinnosti, které nařízení GDPR stanovuje. Detailní odpovědi na tyto otázky však v současné době není možno zcela plně zodpovědět, a proto se úzce zaměříme na jednu z povinností, kterou nařízení GDPR nově zavádí do českého právního prostředí a kterou budou muset naplnit kromě dalších subjektů i lékárny, lékaři či zdravotnická zařízení. Jedná se o povinnost jmenovat pověřence pro ochranu osobních údajů2 (dále jako „Pověřenec“).
Nařízení GDPR a Pověřenec
Obecně lze říct, že nařízení GDPR, které v České republice i v celé Evropské unii nabude účinnosti 25. května 2018, bude dopadat na všechny subjekty, které zpracovávají osobní údaje svých zaměstnanců, klientů nebo pacientů např. tím, že vedou jejich databáze. Jde zejména o podnikatelské subjekty, ale již nyní je zřejmé, že se uvedené bude vztahovat také na lékárny, lékaře nebo zdravotnická zařízení. Právě za účelem garance správného postupu při zpracování osobních údajů stanovilo nařízení GDPR povinnost jmenovat Pověřence, který má plnit funkci pomocníka či koordinátora ochrany osobních údajů a má také zabezpečovat komunikaci s dozorovými orgány, zejména Úřadem pro ochranu osobních údajů. Povinnost jmenovat Pověřence však nemají všechny subjekty, které zpracovávají osobní údaje, je tedy nezbytné správně určit, zda se na Vás tato povinnost vztahuje.
Pověřenec v oblasti zdravotnictví
Nařízení GDPR stanoví povinnost jmenovat Pověřence v případech, kdy (i) zpracování provádí orgán veřejné moci či veřejný subjekt, (ii) v rámci hlavní činnosti správce nebo zpracovatele dochází ke zpracování osobních údajů, které vyžaduje rozsáhlé pravidelné a systematické monitorování subjektu údajů, nebo (iii) v rámci hlavní činnosti správce nebo zpracovatele dochází k rozsáhlému zpracování zvláštní kategorie údajů nebo osobních údajů týkajících se rozsudku v trestních věcech a trestných činů.
V oblasti zdravotnictví bude povinnost jmenovat Pověřence zejména v případech, kdy lékárny, lékaři nebo zdravotnická zařízení budou v rámci své hlavní činnosti zpracovávat osobní údaje, což bude vyžadovat rozsáhlé pravidelné a systematické monitorování pacientů či klientů (viz bod II), nebo rozsáhle zpracovávat zvláštní kategorie údajů (viz bod III).
a. Pověřenec v nemocnici
Hlavní činností nemocnice je poskytování zdravotní péče pacientům, kterou však nemůže vykonávat bez toho, aby zpracovávala zdravotní data a záznamy o pacientovi, tj. jeho osobní údaje. V případě nemocnice se navíc jedná o rozsáhlé zpracování osobních údajů, neboť zpracovává údaje velkého počtu pacientů z určitého regionu a tyto údaje zpracovává po dlouhou dobu. Z těchto důvodů proto bude mít řada nemocnic po nabytí účinnosti nařízení GDPR povinnost jmenovat Pověřence. Na nemocnice se však budou i nadále vztahovat speciální právní předpisy ohledně obsahu a vedení zdravotnické dokumentace.
b. Pověřenec v lékárně
Stejně jako nemocnice i lékárny vedle své hlavní činnosti (poskytování léčiv a dalšího zdravotnického sortimentu klientům) zpracovávají osobní údaje klientů. K rozsáhlému pravidelnému a systematickému monitorování klientů však bude docházet zejména u velkých lékáren, které mají svou síť lékáren po celé České republice nebo alespoň v rámci některého regionu a také u lékáren, které využívají tzv. věrnostní programy a svým klientům pravidelně zasílají reklamy a akční letáky pomocí emailů. Tyto lékárny proto budou mít rovněž povinnost od 25. května 2018 jmenovat Pověřence.
c. Pověřenec u samostatného lékaře
Jak již bylo zmíněno výše, Pověřence mají povinnost jmenovat ty subjekty, u kterých dochází k rozsáhlému zpracování osobních údajů (např. pacientů či klientů). Tyto podmínky tak zřejmě nenaplní samostatný jednotlivý lékař či zdravotník, který zpracovává údaje svých pacientů, a proto zřejmě nebude povinen po účinnost nařízení GDPR jmenovat Pověřence. Tyto závěry plynou také ze stanoviska odborné pracovní skupiny, která se na evropské úrovni zabývá zpřesňováním výkladu nařízení GDPR. Jistotu však vnese do dané problematiky až praxe.
Ačkoliv nařízení GDPR nepředpokládá, že u všech subjektů bude dána povinnost jmenovat Pověřence, odborná veřejnost v řadě případů doporučuje jmenovat Pověřence vždy, a tím eliminovat v době nejistoty riziko hrozících sankcí při nedodržení některé z povinností dle nařízení GDPR. Sankce za porušení povinností jsou značné, pro mnohé mohou mít likvidační důsledky – mohou dosáhnout až 20.000.000,- Kč nebo i 4 % z celosvětového obratu podnikatele (dle toho, která sankce je vyšší).
Ať už máte dle nařízení GDPR povinnost jmenovat Pověřence nebo se pro splnění této povinnost rozhodnete dobrovolně, pamatujte také na to, že Pověřenec by měl být osobou, která má dostatek profesních kvalit a odborných znalostí práva a praxe v oblasti ochrany osobních údajů. Na trhu se již nyní objevují první školící programy pro budoucí Pověřence, případně společnosti, které nabízejí zajištění Pověřence na klíč. Osobu Pověřence proto vybírejte zodpovědně, protože jmenování kvalifikovaného Pověřence napomůže řádnému dodržování povinností stanovených nařízením GDPR a případně může snížit odpovědnost za možné nedodržení těchto povinností.
1 zkratka pro General Data Protection Regulation, Nařízení Evropského
parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES.
2 angl. Data Protection Officer
Komora právní odpovědnosti
www.komorapravniodpovednosti.cz