Pravidla pro zpracování zdravotnické dokumentace

Důvody, které vedou zákonodárce k uložení další administrativní povinnosti, jakož i případný smysl, ponechme stranou, neboť lze opakovaně konstatovat, že vedení zdravotnické dokumentace, včetně ochrany osobních údajů ve spojení s povinnou mlčenlivostí, je dlouhodobě na vysoké úrovni, což dokazuje i minimum disciplinárních podnětů, případně známých správních či soudních rozhodnutí týkajících se této problematiky. Jinými slovy, zákonodárce v této souvislosti zcela ignoruje dosavadní kvalifikované chování poskytovatelů zdravotních služeb v souvislosti se zpracováním zdravotnické dokumentace, když současně zcela opomíjí problematiku GDPR, která s ohledem na obecné nařízení o ochraně osobních údajů a zákona o zpracování osobních údajů zavedla v poměrně nedávné minulosti povinnost zpracovat pravidla pro nakládání s osobními údaji a v této souvislosti vést dokumentaci dostupnou pro případ kontroly dozorovým orgánem. V této souvislosti je potřeba uvést, že právě dokumentace poskytovatele zdravotních služeb vytvořená v rozsahu povinnosti uložené v souvislosti s implementací nařízení GDPR zcela nepochybně obsahuje informace o nakládání se zdravotnickou dokumentací obsahující osobní a zvláštní osobní údaje a dále vymezuje i specifická technická a organizační opatření, která v souvislosti s ochranou osobních údajů poskytovatel zavedl.
Předmětné znění ustanovení § 55d nestanoví konkrétní výčet pravidel či technických a organizačních opatření k ochraně osobních údajů, která by musel poskytovatel dodržovat či v dokumentaci písemně zpracovat. Pravidla a postupy si tak může nastavit podle vlastních potřeb a specifických činností a postupů konkrétního zdravotnického zařízení za současného dodržení právních předpisů týkajících se zejména ochrany osobních údajů a kybernetické bezpečnosti. Důvodová zpráva k tomuto ustanovení doslovně uvádí: „Tato regulace opět představuje zavedení přísné ochrany zvláštní kategorie osobních údajů, které zdravotnická dokumentace obsahuje.“
Vzhledem k obecnému vymezení předmětného znění, které neuvádí ani demonstrativní obsahový výčet povinných informací či postupů, lze poskytovatelům zdravotních služeb doporučit, aby provedli revizi stávajících technických a organizačních opatření písemně stanovených v rámci problematiky GDPR v souvislosti s vedením zdravotnické dokumentace a s tím související ochrany osobních a zvláštních osobních údajů. Jsou-li tyto informace aktuální, tj. jsou popsány způsoby nakládání se zdravotnickou dokumentací, archivací, zpřístupněním, evidencí, zálohováním a dalšími činnostmi spojenými s problematikou zdravotnické dokumentace, lze tuto část doplnit o písemnou informaci, že v rozsahu ust. § 55d zák. č. 372/2011 Sb., o zdravotních službách, byla provedena revize stávající GDPR dokumentace vztahující se k vedení zdravotnické dokumentace, byla zhodnocena technická a organizační opatření v souvislosti s nakládáním a ochranou osobních a zvláštních osobních údajů. Tato revize byla provedena ke dni účinnosti ust. § 55d zákona o zdravotních službách a v souvislosti s pravidelnou obsahovou kontrolou nakládání s osobními údaji, když poskytovatel konstatuje, že přijal dostupná organizační a technická opatření v rámci svých objektivních možností reflektujících právní úpravu platnou ke dni provedení revize, jmenovitě obecné nařízení o ochraně osobních údajů, zákon o zpracování osobních údajů, zákon o zdravotních službách a vyhlášku o zdravotnické dokumentaci (pozn. vyhl. č. 444/2024 Sb., bližší informace naleznete v časopise Tempus medicorum č. 2/2025). Na webových stránkách komory (www.lkcr.cz) lze najít doplněné vzory v rámci implementace GDPR, přičemž je potřeba důsledně zohlednit stávající činnosti a podmínky konkrétního poskytovatele, tj. nelze vzory pouze obecně převzít a vytvořit z nich dokumentaci.
Lze tedy konstatovat, že znění ust. § 55d, které je obecného charakteru bez bližšího určení, má z povahy věci spíše duplicitní charakter, a to s ohledem na již zmíněnou právní úpravu GDPR. Vzhledem ke skutečnosti, že neplnění této povinnosti je poměrně citelně sankcionováno, je potřeba v písemné podobě tuto povinnost splnit, a to například výše uvedeným doplněním, respektive revizí současné GDPR dokumentace, kdy nejen dozorovému orgánu, tj. Úřadu pro ochranu osobních údajů, ale i správním orgánům provádějícím kontrolu v rozsahu zákona a zdravotních službách bude z tohoto znění zřejmé, že poskytovatel reflektuje nejen povinnosti v oblasti GDPR, ale i v rozsahu zákona o zdravotních službách (myšleno ust. § 55d).
Pro úplnost lze doporučit poskytovatelům, kteří vedou zdravotnickou dokumentaci v elektronické formě, aby požádali dodavatele softwaru o sdělení, že aktuální verze odpovídá platnému znění zákona o zdravotních službách a rovněž i vyhl. č. 444/2024 Sb., o zdravotnické dokumentaci, a jsou současně plněny podmínky ochrany osobních údajů. Obdobně je vhodné postupovat v rámci dodavatelských IT služeb (správa PC, sítě apod.) a tato prohlášení založit do předmětné dokumentace. Taktéž je vhodné připomenout pravidelné proškolení všech osob přicházejících do styku s osobnímu údaji, respektive se zdravotnickou dokumentací. Toto školení je možno absolvovat formou každoročního pohovoru a protokol podepsaný proškolenými osobami je žádoucí rovněž založit do dokumentace. Provozuje-li poskytovatel webové stránky, neměl by opomenout zveřejnit poučení o využívání tzv. cookies, které by mělo být rovněž i součástí dokumentace (obecný vzor naleznete na webu komory).
Právní kancelář ČLK nemá v úmyslu zpochybňovat povinnosti uložené zákonem, nadto citelně sankcionované, navíc jde-li o poměrně zásadní problematiku, avšak v tomto případě se jeví výše navrhované řešení jako efektivní z hlediska duplicity administrativního procesu, ale i s ohledem na možnost tuto problematiku upravit individuálně s přihlédnutím k potřebám a specifikům konkrétního zdravotnického zařízení.