Jolana Těšinová je přední česká specialistka na právo ve zdravotnictví a přednostka Ústavu veřejného zdravotnictví a medicínského práva 1. LF. Říká, že ten, kdo používá zdravý selský rozum a respektuje pravidla osmnáct let starého zákona na ochranu osobních údajů, se v souvislosti s nástupem praxe GDPR prakticky nemá čeho obávat. Potíž je, že tento zákon se u nás nikdy moc neřešil. Sama doufá, že hlavním výsledkem nové legislativy bude především fakt, že se sami pacienti i lékaři, budou ptát: je nutné schraňovat tato data? A jak se s nimi pak dál nakládá?

Jolana Těšinová

Přednostka Ústavu veřejného zdravotnictví a medicínského práva 1. lékařské fakulty Univerzity Karlovy v Praze a zároveň ředitelkou Akademie medicínského práva o.p.s. Je absolventkou Lékařské fakulty Univerzity Palackého v Olomouci a Právnické fakulty Univerzity Karlovy v Praze. V letech 1999–2005 působila jako ředitelka právního odboru na ministerstvu. Výrazně se podílela na novém, spravedlivějším systému odškodnění poškozených pacientů.

Řekněte: je třeba bát se GDPR?

U poskytovatelů zdravotní péče hodně záleží na tom, jak moc se doposud ochranou dat pacientů zabývali. Už od roku 2000 máme zákon na ochranu osobních údajů, takzvanou „stojedničku“. Ten, kdo ji dobře implementoval do praxe a dodržuje pravidla, nebude mít moc problémů s GDPR. Jenže tento zákon je u nás tak trochu „Popelkou“. Obecně se na něj moc nedbalo.

Zkusme to ještě víc rozlišit, protože přeci jen něco jiného je nemocnice a něco jiného ambulance…

To je pravda. V ústavní péči víc vnímám, že tu právní aspekty ochrany dat fungují, protože na ně dbát prostě musíte. Nemocnice nad sebou mají nějakého zřizovatele, mají auditora, právníky… Často jim na stole také přistanou stížnosti a žaloby. Kdežto ambulantní segment je sám sobě pánem a osobní údaje a citlivé údaje jsou tu stále ještě trochu podceňované.

Konkrétně v čem?

Čelím třeba dotazům typu: „A to už nebudeme moci předávat informace mailem?!“ Míněno například v komunikaci mezi ambulancí a nemocnicí, kam pacienta odesílají. Odpověď je jednoduchá: „Ne, to totiž nemůžete už dnes, a pokud to děláte, je to špatně!“ Proto se domnívám, že pokud GDPR bude pro někoho revoluce, pak jsou to ambulance, zatímco pro nemocnice to bude znamenat zejména posuny v nastaveném chování.

Odbočím k nemocnicím, protože podle toho, co mi řekla řada expertů v IT, stačí si sednout na kopeček proti nemocnici a jen trochu zručnější hacker se velmi rychle dostane k citlivým datům pacientů. Co s tím?

To souvisí s dalším přicházejícím zákonem - o kybernetické bezpečnosti. V této oblasti ovšem nejsem odborník, nicméně s GDPR určitě souviset bude.

Zpět k ambulancím. Podle statistik VZP stále ještě 10 procent lékařů píše recepty rukou a vlastně není gramotně počítačově vybavených. Co pro ně příchod GDPR znamená?

Povinnosti poskytovatele péče jsou stejné, ať už vedou dokumentaci v papírové podobě nebo elektronicky či – jak je to dnes asi nejběžnější – kombinací obého. Ten papír je stejný nosič důležité informace jako počítač, takže ho musím mít také chráněný, stejně jako počítač heslem. Pro papírové chorobopisy to znamená mít jednoduše uzamykatelnou skříň. Nelze nechat otevřenou kartotéku v místnosti, nelze ponechat blok s objednáváním pacientů na stole jen tak. Není totiž až takový rozdíl, zda dokumentaci vede lékař v listinné podobě nebo v počítači, chránit ji musím tak jako tak. A ptát se, zda je nutné vést data, která schraňuji, právě takto.

Na co se vás na seminářích lékaři nejčastěji ptají? Přeci jen už se kolem GDPR stihla vyrojit celá řada mýtů.

Nejčastěji se asi řeší problém skartování dat. Podle nových pravidel má pacient právo na výmaz po uplynutí lhůty pro archivaci. Pravidla pro skartování máme zakotveny v zákoně o zdravotních službách a v související vyhlášce o zdravotnické dokumentaci, ale v řadě případů k jejich skartaci nedocházelo, a to i pro náročnost jejich výmazu v elektronické podobě. Druhá věc je, že se poskytovatelé zaměřovali více na skutečnost získat nový informovaný souhlas pacienta k nakládání s osobními a citlivými údaji, aniž by si uvědomili, že předně by měli hledat jiný titul pro jejich zpracování, kterým je zejména opora v zákoně pro vedení zdravotnické dokumentace. Jenže GDPR jde jinou cestou a vlastně říká, že informovaný souhlas je až to poslední nejzazší opatření.

Poskytovatel péče by se totiž měl nejdřív ptát sám sebe, proč tato a jiná data chce ukládat a archivovat. Pokud je vede ze zákona, například kvůli různým registrům, nepotřebuje souhlas pacienta. Toho musí jen informovat, co vede, jak to vede, a v takovýchto případech pacient nemá nárok na výmaz dat, protože vést tato data nařizuje zákon. A najde se velmi mnoho zákonných norem, kde je jasně řečeno, jaká data lékař ze zákona musí vést. Teprve pokud chce využít data pacienta jinak, třeba k vědeckým účelům, ve studii na lék, pro kazuistiky, potřebu vlastní disertační práce, pak to musí řešit souhlasem pacienta. Ovšem to je jen velmi malá část zpracování osobních a citlivých údajů pacienta.

Kdy tedy nesmím požádat o to, aby mě lékař vymazal z databáze, protože nechci, aby si o mne dál cokoliv vedl?

Příklad: specialista nebo praktický lékař musí ze zákona archivovat dokumentaci pacienta ještě deset let po jeho úmrtí a po tuto dobu nemá pacient právo na skartování nebo vymazání chorobopisu. Pak musí data skartovat. Tak říká zákon.

A plní jej lékaři?

No, upřímně… Neskartuje se. Dělají to jen ti, co se stěhují nebo si potřebují jinak uvolnit prostory. A to se ještě skartuje jen v papírové podobě. Data ovšem dále zůstávají v počítači lékaře, což ovšem GDPR rozhodně neumožňuje. Tady má pacient právo požadovat, aby data zmizela všude. Opět je tu trochu potíž, co dělat v případě, že data jsou spolu provázaná, třeba když jeden údaj už má uplynulou dobu archivace a musím jej skartovat, jiný, s tím společným jmenovatelem jednoho pacienta, ještě ne. Zatím se to řeší tak, že s daty po době archivace se nesmí nakládat a považují se za spící.

Chcete říct, že nemocnice, kde jsem jako šestiletá ležela, má pořád v nějakých zaprášených deskách ve sklepě údaje, co mi bylo?

Tady platí, že se skartuje deset let od úmrtí pacienta a čtyřicet let po poslední hospitalizaci…

Moment: a jak se nemocnice dozví, že jsem zemřela a má skartovat?

No, tak to je další neřešený problém – přenos informací. Teď bude platit nová vyhláška o zdravotnické dokumentaci, kde se pravidla snad lépe změní.

Ještě nějaký častý právní problém nyní lékaři řeší?

Dost se ptají, jak zasáhne GDPR do předávání informací o pacientovi. V tom totiž dnes panuje lidová tvořivost. Když pominu osobní předání chorobopisu z ruky do ruky, tak to, co známe ze seriálů, kdy si lékaři zavolají a sdělí údaje o pacientovi, nebo že si pošlou mailem jeho snímky nechráněnou „cestou“, tak to už nepadá v úvahu. Tento způsob předání by byl možný, pokud si to takto obě strany výslovně písemně odsouhlasí v případě pacienta s poskytovatelem péče, nikoliv dva lékaři mezi sebou. A to je pro mnohé doktory zvyklé konzultovat elektronicky rána. Opět to ale není nový dopad GDPR, již to platí. Jen se to nedodržuje.

A co teď tedy povede lékaře k tomu, aby se léty zažitá praxe změnila?

Hrozba těch obrovských pokut, které je mohou čekat.

Na co má právo pacient?

• na výmaz osobních dat po uplynutí zákonné lhůty k archivaci
• smí nahlížet do své zdravotnické dokumentace a pořizovat si z ní výpisy a kopie
• má právo na opravu či doplnění údajů do dokumentace
• má právo jen na nezbytné zpracování citlivých údajů, čili pouze na využívání nezbytného minima
• má právo na přenositelnost dat – pacient si svobodně smí zvolit poskytovatele péče, a ten původní musí předat veškerou dokumentaci novému poskytovateli péče

Co se změní pro pacienty?

Ve skutečnosti k razantním změnám nedochází.. Většinu toho, co nařizuje GDPR, už máme v zákonech, jen se o tom možná moc nemluvilo a nevědělo. Takže pro pacienty považuji za zásadní přínos GDPR v tom, že konečně se snad začneme ptát, co se s našimi citlivými daty děje, kam putují a proč.

Doufáte taky ve změnu myšlení u poskytovatelů?

Snad. Ještě teď, v květnu, potkávám poskytovatele zdravotní péče, kteří říkají, že celé GDPR je nesmysl, a proto ani s implementací nezačali, místo toho tvrdí: „No co, až na nás někdy vyjde kontrola, tak to potrvá…“ Jenže ono nejde o tu kontrolu. Ta změna je v tom, že jde podle mne o úplně logický základ chování se a nakládání s citlivými daty jiných lidí. Věřím, že jakmile se lidé začnou zdravotníků sami ptát, kde a jak to mé soukromí vedete, donutí to poskytovatele péče k potřebné ochraně dat.

Není celý kolotoč kolem GDPR v posledních měsících už spíš jen velký byznys? Když si vezmu, jak drahé a jak přeplněné byly všechny semináře o GDPR, nebo jak nákladná je elektronická ochrana dat a externí pomoc firem?

Proto také nejsem příznivcem extrémů. Musíte dokonale znát to své zdravotnické zařízení zevnitř a nastavit si prvky ochrany sami, protože to vám zvenčí nikdo neudělá. Chcete příklad? Překvapilo mne, že jsou lékaři, kteří sami přicházejí se změnami v oblasti nastavení jejich stávající praxe. V ambulanci, kde se vyvolávají pacientky do ordinace jménem, lékařka sama od sebe říká: „Aha, to bych asi neměla, že… To někomu nemusí být příjemné. Zařídíme raději lístečkový systém s čísly.“ Tak to mne překvapilo, a je to přesně ten správný směr uvažování. Jaký rozdíl, oproti tomu, kdy sedíte v nemocnici a sestra vyvolává na chodbě: „Tak kde je ta paní s počínající artrózou?“ Což samozřejmě vedlo k tomu, že si jí všichni všimli a ona přitom evidentně ani nevěděla, že má artrózu.

Co je tedy ta správná míra nebo kde je ta laťka, jak si GDPR pro svou ambulanci či nemocnici mám nastavit? Dá se někde najít návod?

Selský rozum. Určitě platí, že se nemusíte mírou ochrany zruinovat. Nikdo nečeká, že přijmete tu nejlepší možnou technologii. Vždycky je nutné koukat na to, jaká data a jak schraňuji. Jinak bych opatrovala data o psychiatrických pacientech či HIV pozitivitě, a jinak operaci žlučníku. Míra zabezpečení by měla vždy odpovídat citlivosti údajů a tomu, nakolik dotyčného jejich obsah může poškodit, pokud unikne. Ale konkrétně: určitě vám postačí v ordinaci mít zamčenou bezpečnou skříň s dokumentací pacientů. A mít chráněn přístup do místnosti, aby tam směli jen ti lidé, s nimiž má poskytovatel péče uzavřenou speciální smlouvu.

Lékaři se však bojí, zda nepovede přílišná ochrana dat k tomu, že nebudou moci se sesbíranými daty pracovat. Například když někdo ošetřuje celou rodinu a má anamnézu provázanou napříč generacemi.

Je pravda, že existují lékaři, kteří si stýskají, co budou dělat, protože třeba u cukrovky nebo v endokrinologii, je důležité poučit se z průběhu a léčby pro další pacienty. A u ambulantních specialistů je skartace nastavena na pět let, což asi je příliš krátká doba. To lze ale snadno ošetřit anonymizací dat. Data zůstanou, údaje, nebo klíč ke konkrétnímu pacientovi však zmizí.

Někdy se data však používají jen pseudoanonymizovaná. Třeba u klinických studií nebo v pacientských registrech, které stát spravuje. To znamená, že pořád existuje držitel klíče, který spáruje konkrétního pacienta s konkrétními chorobami. Nemám se jako pacient bát, že stát tato ne zcela anonymizovaná data, schraňuje i třicet let po mé smrti? Proč by se mí potomci potenciálně měli dozvědět, že mám za sebou třeba devět potratů?

Líbit se nám to může či nemusí, ale zákon takto jednou nastavený je, takže s tím lze těžko něco udělat. Dokud se v tomto směru něco nezmění. Víte, ono je to těžké. Zatímco nemocnicím se zdá, že archivují až příliš moc dat a dokumentů a příliš dlouho, takže tlačí na to, aby se skartační doba krátila, tak ambulantní lékaři, kteří právě mají v péči třeba celé rodiny, si potřebují data ponechávat po generace.

Jak moc je osobní údaj říct třeba sestřičce do telefonu při objednávání se na vyšetření rodné číslo? Doporučuji tuto otázku vypustit, nepřesně formulovaná

Tak to je těžká otázka. Pokud si poskytovatel péče obhájí, proč rodné číslo nutně potřebuje a jak jej ochrání, pak si myslím, že mu pokuta nehrozí. Půjde o ospravedlnitelný zájem. Osobně si ale myslím, že se toto ukáže teprve až praxí. I proto tvrdím, že GDPR je proces učení se, ne dogma, které má nastat ze dne na den.

Když se zamyslíte, je podle Vás GDPR tou správnou cestou, kudy se ubírat?

Můj osobní názor je, že bych zdravotnictví a školství ponechala stranou velkých globálních zákonů a řešila to konkrétními zákony dané země. Jak jsme si už řekly, tak my vlastně všechny zákony, které dnes shrnuje GDPR, máme už dlouho. Jen se neuplatňovaly a nevymáhaly se sankce za jejich porušení. Krajské úřady už dnes mají možnost udělit pokutu za porušení povinné mlčenlivosti až do výše jednoho milionu korun, Úřad pro ochranu osobních údajů za porušení zákona o jejich nakládání ještě podstatně vyšší. V praxi pokud již vůbec pokuta byla uložena vždy se jednalo o velmi nízké částky…

A jak by podle Vás měly naše zákony pojmout českou „upovídanost a zvědavost“? Vím o případu, že šla sestřička nemocnice na kontrolu od gynekoložky a než ve stejném areálu nemocnice došla na pracoviště svého oddělení, už se tam vědělo, že je těhotná?

Tak to je přesně to, o čem mluvím. Zdravotničtí pracovníci i ostatní zaměstnanci poskytovatele jsou vázáni povinnou mlčenlivostí ze zákona. Nikdo ji však nebere moc vážně. Ještě dnes je spousta lékařů a zdravotníků, kteří se diví, že nemohou jen tak nahlížet do zdravotní dokumentace pacientů, s nimiž nemají nic společného. Jsou překvapeni: „Proč ne? Když mě tam ten informační systém v nemocnici přece sám pustí.“ No prostě to nelze. Nemohou tam. Zákon přesně určuje kdo a kdy smí mít přístup k dokumentaci pacienta. A není to tak, že když si něco přečtu, a nikdo mne při tom nevidí, že nic neporušuji.. Bylo by dobré, kdyby si zdravotníci uvědomili, že při jakémkoliv elektronickém vstupu zdravotníka do systému nemocnice či ordinace, zanechávají „stopu“, která se musí uchovávat v podobě záznamů o jejich přihlášení (loginů). Tedy archiv toho, kdy kdo kam a na koho nahlížel. A také existuje povinnost poskytovatele péče, aby si tyto podpisy a oprávnění nahlížet na pacienty kontroloval.

Děje se tak?

Ano. Takže vím o případu nešťastné paní doktorky, která za to byla byla pracovně postižena a vysvětlovala, že se „jen“ na žádost známých podívala na jiného pacienta, aby věděli, jak se mu daří. Jenže to nelze ani se souhlasem dotyčné rodiny. To snad ani nemá co dělat se zákony, ale s naším historicky příliš benevolentním přístupem k osobním údajům. Máme pocit, že o nic nejde, jenže on to za určitých okolností může být dokonce i trestný čin. Citlivá data se prostě musí chránit.