387 87 11 11
Víc než nemocnice.
Rozhovor s pověřencem pro ochranu osobních údajů Ing. Ondřejem Lešetickým, Ph.D. - celý zpravodaj si můžete přečíst zde
Ochranu osobních údajů pacientů, které nemocnice získává a zpracovává, zajišťuje pověřenec pro ochranu osobních údajů. Tuto funkci pro jihočeské nemocnice řadu let vykonává Ing. Ondřej Lešetický, Ph.D. Od loňského roku ve své práci pokračuje již jako zaměstnanec nově vzniklého Jihočeského centra kybernetické bezpečnosti, s.r.o. Agendu pověřence a principy ochrany údajů přibližuje v následujícím rozhovoru.
V čem spočívá role pověřence pro ochranu osobních údajů?
Funkce pověřence pro ochranu osobních údajů (DPO – Data Protection Officer) je definována obecným nařízením o ochraně osobních údajů (GDPR). Jedná se o závazné nařízení Evropského parlamentu a Rady z roku 2016, které sjednocuje pravidla pro nakládání s osobními údaji v rámci Evropské unie.
Dle tohoto nařízení musí všechny organizace, které zpracovávají tzv. zvláštní kategorii osobních údajů, povinně ustanovit svého DPO. Vedle nemocnic sem tak spadají například orgány státní správy, banky, poskytovatelé internetových služeb a řada dalších.
Pověřenec pro ochranu osobních údajů je nezávislý odborník, který v organizaci dohlíží na dodržování pravidel GDPR. Působí jako kontaktní osoba pro zaměstnance, veřejnost i Úřad pro ochranu osobních údajů (ÚOOÚ). DPO nemá přímé výkonné pravomoci, ale identifikuje možná rizika, navrhuje postupy jejich řešení a pomáhá nastavovat procesy ochrany osobních údajů.
Jaké druhy informací spadají do kategorie osobní údaje?
Osobní údaj je jakákoli informace, podle které lze určit konkrétní fyzickou osobu. Jedná se například o jméno, příjmení, datum narození, rodné číslo, telefon nebo adresu. Osobním údajem ale může být i méně nápadná informace, pokud pomůže člověka identifikovat, například velikost oblečení.
Vedle běžných osobních údajů existuje také zvláštní kategorie – citlivé osobní údaje. Patří sem údaje o rase, náboženství a zdravotním stavu, biometrické nebo genetické údaje a řada dalších. Jejich zpracování má velmi přísná pravidla, která jsou vymezena evropským nařízením o ochraně osobních údajů (GDPR).
Osobní údaje včetně informací o zdravotním stavu jsou nezbytné pro poskytování kvalitní a bezpečné zdravotnické péče. Zdravotníci je potřebují k jasné identifikaci pacienta, k diagnostice, léčbě, vykazování péče pojišťovnám apod. Tato data navíc musí být správná a aktuální.
Jako pověřenec máte již dlouholeté zkušenosti. Popište nám, jak se vyvíjela ochrana dat v českobudějovické nemocnici.
Ochrana osobních dat není v nemocnicích novinkou, české zákony jim tuto povinnost ukládají již mnoho let. Výrazným milníkem v ochraně dat však bylo již zmíněné nařízení GDPR, které vstoupilo v platnost v květnu 2018. V tomto roce mě v souladu s novou legislativou představenstvo Jihočeských nemocnic, a.s., ustanovilo pověřencem pro ochranu osobních údajů v osmi nemocnicích v Jihočeském kraji.
Jak jsem zmínil, DPO nemá přímé výkonné pravomoci, proto je v tomto směru důležitá podpora vedení nemocnice. Jen díky ní je možné, aby se potřebná opatření skutečně propsala do praxe. V českobudějovické nemocnici se z pozice ředitele úseku interních oborů věnoval ochraně osobních údajů současný generální ředitel MUDr. Ing. Michal Šnorek, Ph.D. Výrazně se v rámci pracovní skupiny pro GDPR podílel na prvotní analýze stavu ochrany dat v nemocnici z pohledu GDPR a následně podpořil realizaci všech potřebných opatření. V rámci řízené dokumentace se aktualizovala pravidla pro nakládání s osobními údaji v elektronické i listinné podobě, a to jak uvnitř nemocnice, tak i v rámci výměny dat s ostatními poskytovateli zdravotnické péče. Krom práce se zdravotnickou dokumentací bylo nutné nastavit i pravidla pro další druhy informací, například záznamy z kamerových systémů apod.
Nemocnice potřebuje mít data chráněná, ale zároveň dostupná pro péči. Dobře nastavená ochrana osobních údajů pomáhá tomu, aby nemocnice fungovala bezpečně a důvěryhodně. Pacientům dává jistotu, že nemocnice s jejich údaji nakládá zodpovědně. Zaměstnancům pak přináší jasnější pravidla a lepší podporu v situacích, které dnešní digitální provoz přináší.
Jak reagujete v situacích, kdy dojde k úniku osobních dat?
Nemocnice má zavedený systém sledování nežádoucích událostí. Jednou ze sledovaných oblastí jsou události z oblasti ochrany osobních údajů a kybernetické bezpečnosti. Zaměstnanci jsou povinni každou takovou událost nahlásit. Poté již následuje standardní postup, provede se analýza příčin, zhodnotí se dopady incidentu a návrh příslušných opatření, případně úprava stávajících procesů zpracování osobních údajů. Za celou dobu mého působení v roli DPO došlo pouze k několika méně závažným událostem.
Zaměstnanci hrají v ochraně osobních údajů zásadní roli. Klademe proto velký důraz na jejich edukaci. Každý zaměstnanec prochází při nástupu do nemocnice školením školením, které si v pravidelných intervalech doplňuje formou e-learningu. Rádi bychom, aby zaměstnanci ochranu osobních údajů nevnímali jako formální povinnost, ale jako běžnou součást profesionální práce. V této oblasti jsem jim k dispozici pro konzultace a ocením i případné podněty.
Co patří mezi aktuální výzvy v ochraně osobních údajů?
Velkým tématem je digitalizace zdravotnictví, telemedicína a rozvoj systémů s prvky umělé inteligence. Tyto nástroje mohou pomoci zrychlit a zpřesnit diagnostiku i další procesy. Současně ale kladou vyšší nároky na ochranu dat. Ochrana osobních údajů je tak čím dál tím více propojena s kybernetickou bezpečností.
Součástí mojí práce je mimo jiné posuzovat dopad technologií, které pracují s osobními údaji. Zjišťuji, jaká data budou zpracovávat, v jakém rozsahu, kde budou uložena, po jak dlouho dobu apod. Zajímá mne tedy celý proces od získání informace až po její archivaci a výmaz.
Od září loňského roku již v jihočeských nemocnicích agendu pověřence pro ochranu osobních údajů zajišťujete jako zaměstnanec Jihočeského centra pro kybernetickou bezpečnost (JKCB). Promítla se tato změna i do vaší agendy a spolupráce s nemocnicemi?
Rozsah mé agendy se víceméně nezměnil, spíše narůstá. (úsměv). JCKB umožňuje vyšší míru synergie. Konkrétně mám na mysli užší propojení s agendou kybernetické bezpečnosti a intenzivnější spolupráci s našimi manažery a lektory kybernetické bezpečnosti. Ve hře je i personální podpora a zastupitelnost pozice DPO. V centru pracuji v tandemu s kolegyní Mgr. Andreou Gregorovou. V roce 2026 tak v jihočeských nemocnicích startuje nový model „data protection“.
Ing. Veronika Dubská
Oddělení vnitřních a vnějších vztahů