Pokuta za porušenie ochrany osobných údajov pre nemocnicu



Nemocnica Tábor dostala pokutu zo strany českého Úřadu pro ochranu osobních údajů vo výške 80.000 CZK, neskôr zníženú na 40.000 CZK, nakoľko podľa názoru úradu nesplnila svoje povinnosti v oblasti bezpečnosti spracúvania osobných údajov. Toto rozhodnutie bolo potvrdené i prvostupňovým súdom.

Nemocnica evidovala logy (záznamy činnosti alebo súbory so záznamami činností vytvárané počítačovým programom) do software NIS, ktorý uchovával elektronickú zdravotnú dokumentáciu všetkých pacientov, z ktorých sa dalo zistiť, kto a v akom čase pristupoval k osobným údajom pacienta. Úrad však takéto opatrenie vyhodnotil ako nedostatočné, keďže z logov nebolo možné zistiť konkrétny dôvod prístupu k elektronickej zdravotnej dokumentácii pacienta (t.j. nebolo možné zistiť, či v konkrétnom prípade ide o „prekliknutie“ zamestnanca alebo o neoprávnený prístup k osobným údajom pacienta).

Keďže sa uvedené nedostatky vzťahovali na obdobie pred účinnosťou GDPR, predmetom skúmania bola aj otázka, podľa akej právnej úpravy sa má takéto pochybenie nemocnice ako prevádzkovateľa posudzovať. Vzhľadom na to, že ide o prípad tzv. správneho trestania, bolo potrebné porovnať právnu úpravu účinnú v čase spáchania deliktu ako aj všetky neskoršie, nájsť najvýhodnejšiu právnu úpravu pre páchateľa a tú v konkrétnom prípade aplikovať.

V čase porušenia povinnosti bol v Česku účinný zákon č. 101/2000 Sb. o ochraně osobních údajů (ďalej len „zákon“), ktorý v § 13 ods. 4 výslovne stanovoval povinnosť prevádzkovateľa v oblasti automatizovaného spracúvania osobných údajov zabezpečiť elektronické záznamy, ktoré umožňujú určiť a overiť, kedy, kým a z akého dôvodu boli osobné údaje zaznamenané alebo inak spracované (vrátane zobrazenia).

GDPR obdobnú explicitnú úpravu neobsahuje, a tak úrad i súd museli posúdiť, či takáto povinnosť vyplýva prevádzkovateľom aj podľa GDPR - ak by nevyplývala, nemocnica by v zmysle zásad administratívneho trestania nemohla by pokutovaná. V tejto súvislosti Mestský súd v Prahe uviedol: „úprava obsažená v obecném nařízení o ochraně osobních údajů výslovně nestanoví povinnost, která by odpovídala ustanovení § 13 odst. 4 písm. c) zákona o ochraně osobních údajů. Uvedenou povinnost však lze dovodit z čl. 32 citovaného nařízení. Toto ustanovení upravuje povinnost správců a zpracovatelů zabezpečit osobní údaje pomocí vhodných technických a organizačních opatření, přičemž demonstrativně uvádí několik příkladů takových opatření a výčet, které aspekty je zejména nutné zhodnotit při posuzování úrovně rizik. A mezi tato opatření by bylo možno bezesporu zařadit též povinnost zabezpečit náležitou ochranu osobních údajů tak, aby k nim nebyl umožněn přístup bez udání důvodu, respektive aby bylo možno tento důvod přístupu bez dalšího zjistit a ověřit. Tuto povinnost ostatně lze dovodit již ze samotného účelu daného nařízení a principů, na nichž stojí.“.

Vzhľadom na to, že úrad i súd vyvodili totožnú povinnosť prevádzkovateľa aj z GDPR, pri rozhodovaní uprednostnili aplikáciu zákona, nakoľko ten umožňoval uložiť nižšie sankcie.

Podľa medializovaných informácií nemocnica Tábor rozsudok napadla kasačnou sťažnosťou, a tak posledné slovo bude mať český Najvyšší správny súd. Prípad budeme sledovať.

Vzhľadom na faktický vplyv zahraničnej rozhodovacej činnosti úradov na ochranu osobných údajov na právne názory slovenského úradu je vhodné, aby závery z tohto rozhodnutia vo svojej praxi reflektovali aj slovenskí prevádzkovatelia, a to najmä tí, ktorí automatizovane spracúvajú osobitné kategórie osobných údajov.


Viac informácii je dostupných tu:

https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=5374&n=kontrola%2Dzabezpeceni%2Dosobnich%2Dudaju%2Dpacientu%2Dnemocnice%2Dtabor%2Da%2Ds

a tu:

http://www.nssoud.cz/files/EVIDENCNI_LIST/2019/14A_26_2019_12_20200615151134_prevedeno.pdf

©2020 by Bukovinský & Chlipala. Proudly created with Wix.com