Až 20 milionů eur, nebo 4 % svého ročního obratu budou muset zaplatit instituce, které nevyhoví novému nařízení Evropské unie. Jde o ochranu osobních údajů, mezi které patří třeba i rentgenové snímky pacientů, nebo portrétní fotografie zaměstnanců. Nová regulace začne účinkovat 25. května roku 2018 a bude automaticky závazná pro všechny členské státy EU.

Evropská unie doposud řešila ochranu osobních údajů směrnicí 95/46/ES, kterou různé země implementovaly odlišně. Například v České republice máme zákon č. 101/2000 Sb., poměrně brzy však nastane změna. 25. května příštího roku nabude účinnosti nařízení 2016/679 (General Data Protection Regulation, zkráceně GDPR), vydané Evropským parlamentem a Radou národních ministrů, kde najdeme několik novinek a které musíme dodržovat.

„GDPR se nevyhnutelně dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje obyvatel evropských zemí,“ řekla včera na brněnské Konferenci personalistů právnička Eva Janečková. Zároveň uklidňovala: „Není to žádná revoluce. Většinu povinností byste už měli znát a splňovat podle stávající právní úpravy.“

Novinky, účinné od 25. května 2018

Nová regulace podle svých obhájců reaguje na rychlý technický vývoj a obavy občanů. Například upřesňuje definici osobních údajů, mezi které počítejme třeba taky:

  • rentgenové snímky
  • fotografie zaměstnanců označené občanskými jmény a zveřejněné na sociální síti Facebook.com (tam můžeme bezproblémově publikovat “dokumentární” nebo ilustrační snímky, kupříkladu z vánočního večírku, pokud nejsou účastníci označeni)
  • IP adresy (identifikátory síťového rozhraní v počítačové síti)
  • cookies (záznamy o vaší návštěvě na konkrétním webu) apod.

Jmenujme hlavní změny:

  • Občan, tedy pacient nebo zaměstnanec rozhoduje, zdali budou jeho údaje shromažďovány a případně v jakém rozsahu, což může kdykoli odvolat! Souhlas proto nevyžadujme tam, kde není potřeba – například když děláme nutnou personální agendu. Jinak může vzniknout prekérní situace: Zaměstnanec odvolá souhlas se zpracováním svých osobních údajů, které však potřebujeme kvůli jiným zákonům.
  • Už nyní platí řada zásad, osobní data můžeme například zpracovávat jenom za legitimním účelem. Navíc však přibude princip odpovědnosti: Správce osobních údajů (nemocnice) plně odpovídá za dodržování pravidel a svoji případnou výjimku musí být schopen doložit relevantní analýzou!
  • Nemocnice jmenuje takzvaného pověřence, který bude kontaktní osobou pro veřejnost. Může pověřit interního zaměstnance i externistu. Pověřenec však potřebuje povědomí o právním kontextu, zkušenosti s ochranou osobních údajů a ideálně taky rozumí informačním technologiím. Podle některých právních výkladů nemusí takového člověka najímat samostatně působící lékař, protože neprovádí “rozsáhlé pravidelné  a systematické monitorování subjektů údajů” (článek 37).
  • Nemocnice musí vést takzvané “záznamy o činnostech zpracování” podle článku 30 GDPR. Tam uvede například účely, za jakými osobní data shromažďuje apod.
  • GDPR zavádí nová práva pacientů a zaměstnanců: právo na přenositelnost údajů (například při změně zaměstnavatele), právo vznést námitku proti zpracování svých osobních údajů a právo “nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování”.
  • Případné bezpečnostní incidenty, které znamenají riziko pro práva a svobody pacientů nebo zaměstnanců, nemocnice do 72 hodin nahlásí Úřadu pro ochranu osobních údajů (ÚOOÚ), ve vážných případech taky dotčenému člověku. Například když je tiskárna na veřejně přístupné chodbě a mzdová účetní tam zapomeneme kopii pracovní smlouvy, která specifikuje mzdu konkrétního zaměstnance.

Pokuta 20 milionů euro, nebo 4 % ročního obratu

Za porušení obecného nařízení hrozí pokuta maximálně 20 milionů euro, nebo 4 % celkového ročního obratu (vyšší částka má přednost; poměrně vysoké limity jsou vyměřené údajně proto, aby byly odstrašující i pro globální komerční korporace). Odpovědnost nese nemocnice, ale pokud má dobře sepsanou smlouvu, může požadovat kompenzaci od svého pověřence, který by proto měl být dostatečně pojištěn.

Petr Woff

Mohlo by vás zajímat

O tématu GDPR jsme už psali:

Tuzemské pokuty nemohou být výrazně nižší než v západní Evropě Petr Woff – 21.9.2017

I na fotky dětí na školním webu bude kvůli GDPR potřeba povolení rodičů Jiří Reichl –  15.9.2017

Starostové o GDPR: Kvůli novému nařízení často najmou “sdíleného pověřence” Petr Woff – 13.9.2017

Vnitro v tichosti vydalo manuál pro obce k GDPR: Pověřence musí mít všechny obce! Jiří Reichl –  8.9.2017

GDPR změní praxi i v trestní a soudní oblasti Jiří Reichl – 25.8.2017

Vnitro posílá do „meziresortu“ české GDPR. Očekávají se stovky připomínek Jiří Reichl – 24.8.2017

GDPR – pověřenec pro ochranu osobních údajů bude nedostatkové zboží Petr Maličovský – 21.8.2017

Miliardový dopad GDPR na obce a města Jiří Reichl – 4.8.2017

Obce a města musejí shánět odborníky na IT a právo v jednom. Kvůli implementaci… Jiří Reichl – 24.7.2017

Vnitro připravuje manuál pro obce k GDPR, vznikající paniku mírní Jiří Reichl – 19.7.2017

Senátoři vracejí sněmovně zákon o kontrole, argumentují zájmem malých obcí Jiří Reichl – 30.8.2017

Vnitro a ÚOOÚ chtějí snížit hranici pro souhlas se sběrem dat nezletilých na 13… Jiří Reichl – 24.8.2017

Advokáti se připravují na směrnici o ochraně osobních údajů, ČAK je musí zabezpečit – 10.7.2017

Unie posílí ochranu osobních údajů. Ludvík: Bude to stát strašné peníze Petr Woff – 25.5.2017

EET má další problém. Nemohou ho využívat tisíce zrakově postižených Jiří Reichl – 29.3.2017