dnes je 26.2.2021

Input:

Ochrana osobních údajů pacientů registrujících se na očkování proti COVID-19

18.2.2021, , Zdroj: Verlag Dashöfer

1.178
Ochrana osobních údajů pacientů registrujících se na očkování proti COVID-19

Mgr. Mgr. Radana Burešová

Dotaz:

Rád bych na webových stránkách své ambulance zveřejnil formulář týkající se přihlašování k očkování proti nemoci COVID-19. Seznam pacientů na základě formuláře by byl viditelný pouze pro mne, jednalo by se výhradně o pacienty u mě registrované.


Je nutné v rámci ochrany osobních dat dávat na stránku nějaké poučení, jak bude s daty nakládáno (v rámci GDPR)?

Odpověď:

I v tomto případě je samozřejmě nutno řídit se nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR”). Provozovatel rezervačního systému (formuláře) totiž v popsaném případě bude správcem osobních údajů ve smyslu GDPR a vznikne mu tak řada povinností.

Zejména je třeba vzít v potaz zásady zpracování osobních údajů, uvedené v článku 5 GDPR, a z nich především zásadu minimalizace údajů. Zájemci o očkování by tedy do formuláře měli zadávat jen údaje, které jsou naprosto nutné k provedení rezervace, a žádné navíc. Dále tyto údaje nelze ukládat na dobu delší, než je nezbytné pro účely, pro které jsou zpracovávány (zásada omezení uložení), a konečně smí být zpracovávány pouze způsobem, který zajistí náležité zabezpečení osobních údajů (zásada integrity a důvěrnosti).

Rovněž je nutno zajistit, aby zpracování osobních údajů bylo zákonné, tj. aby k němu docházelo na základě relevantního právního titulu. Domnívám se, že v tomto případě je nutné, aby zájemce o očkování v rámci rezervačního formuláře udělil souhlas se zpracováním svých osobních údajů pro účely rezervace.

Povinnosti správce osobních údajů vyplývající z udělení souhlasu upravuje článek 7 GDPR. Předně musí být schopen udělení souhlasu prokázat. Žádost o udělení souhlasu musí být srozumitelná a snadno přístupná a formulovaná za použití jasných a jednoduchých jazykových prostředků. Souhlas také musí být svobodný. O svobodně udělený souhlas se nejedná v případě, pokud je rezervace vázána na poskytnutí souhlasu se zpracováním osobních údajů, které není pro daný účel nutné. Zájemce o očkování má právo svůj souhlas kdykoli odvolat, přičemž odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním; o tom musí být dotčená osoba informována před udělením souhlasu, viz též dále. Pro úplnost je třeba uvést, že odvolání souhlasu musí být stejně snadné jako jeho poskytnutí. Odvolání souhlasu tedy v zásadě musí být možné stejnou formou, jakou došlo k jeho udělení.

Zájemcům o očkování dále musí být poskytnuty informace uvedené v článku 13 (pokud si rezervaci zajišťují sami), resp. v článku 14 (pokud za ně formulář vyplňuje někdo jiný), a to stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků.

Předpokládám, že si rezervaci zájemci budou zajišťovat sami, a proto je nutno poskytnout jim informace podle článku 13 GDPR, tj. sdělit jim:

1. totožnost a kontaktní údaje správce (tj. subjektu, u kterého si zájemci rezervují čas k očkování a kterým je buď přímo daný lékař, nebo příslušná právnická osoba, zpravidla společnost s ručením omezeným, pokud je ordinace provozována touto osobou);

2. případně kontaktní údaje případného pověřence pro ochranu osobních údajů (byla-li funkce pověřence zřízena);

3. účely zpracování, pro které jsou osobní údaje určeny, a právní

Nahrávám...
Nahrávám...