GDPR ve fyzioterapii
Nařízení GDPR zůstává pro mnohé i několik let po nabytí účinnosti nesrozumitelným pojmem nebo administrativním strašákem. Součástí příspěvku je také představení základních povinností fyzioterapeutů, které GDPR zakotvuje.
Jak souvisí GDPR s fyzioterapií?
GDPR je evropské nařízení, které určuje obecná pravidla při zpracování a evidování osobních údajů lidí. GDPR se tedy uplatní takřka ve všech situacích, kdy dochází ke zpracování těchto údajů. Fyzioterapeut ve své praxi evidovat různé údaje o pacientech pochopitelně musí, proto je i on nařízením vázán. Na tom nic nemění ani skutečnost, že zpracování osobních údajů při fyzioterapii je již do velké míry upraveno českou legislativou, a to především zákonem o zdravotních službách a vyhláškou o zdravotnické dokumentaci. GDPR má totiž obecně přednost před národním právem. Česká úprava tak nařízení doplňuje a konkretizuje, ale nevylučuje jeho působnost.
Povinnosti fyzioterapeuta
Fyzioterapeut, který shromažďuje a ukládá osobní data o pacientech a jejich zdravotním stavu, vystupuje v roli správce a typicky také zpracovatele osobních údajů. Podle GDPR má proto řadu povinností, které jsou formulovány velmi obecně. Nejdůležitější zásady spočívají v zákonnosti a transparentnosti zpracování osobních údajů. Prakticky to znamená, že fyzioterapeut může zpracovávat údaje pacientů jen na základě důvodů a za účely, které nařízení jmenovitě stanoví. Fyzioterapeut má také povinnost údaje pacientů chránit před neoprávněným únikem či ztrátou a za případné porušení svých právních povinností nese odpovědnost.
Mezi konkrétní povinnosti fyzioterapeuta pak patří především vedení záznamů o činnostech zpracování, ve kterých fyzioterapeut mj. uvádí, jaké konkrétní údaje subjektů zpracovává a za jakým účelem. Základní informace o zpracovávání osobních údajů musí fyzioterapeut zpřístupnit pacientům, typicky prostřednictvím webových stránek či vyvěšením v ordinaci.
GDPR a udělování souhlasu se zpracováním osobních údajů
Při fyzioterapii dochází ke zpracování dat o zdravotním stavu pacientů a také ke sběru jejich biometrických údajů. Tyto data patří do zvláštní kategorie citlivých osobních údajů, které obecně nelze zpracovávat bez uděleného souhlasu. Poskytování zdravotních služeb, včetně fyzioterapeutické péče má nicméně v tomto ohledu výjimku, podle které ke zpracování těchto údajů nedochází na základě souhlasu pacienta, ale na základě zákonného důvodu, kterým je povinnost vyplývající ze zákona o zdravotních služeb.
V souladu s GDPR proto fyzioterapeut může zpracovávat osobní údaje o pacientovi a jeho zdravotním stavu bez jeho souhlasu...
...pokud je zpracování nezbytné pro poskytování zdravotních služeb. V tomto směru proto není třeba, aby pacient uděloval výslovný souhlas.
Rozsah zpracovávaných údajů přitom vyplývá především z vyhlášky o zdravotnické dokumentaci, která vyjmenovává, jaké údaje jsou součástí zdravotnické dokumentace a poskytovatel je potřebujeme pro poskytnutí zdravotních služeb.
Další z výjimek pro zdravotnictví, včetně fyzioterapeutické péče je omezení práva pacienta na výmaz osobních údajů ze zdravotnické dokumentace. Zde se uplatní česká právní úprava, dle které pacient nemůže žádat výmaz údajů ze zdravotnické dokumentace, které souvisí s poskytováním zdravotních služeb, byť v jiném kontextu by toto právo měl.
Podle zákona o zdravotních službách platí, že poskytovatelé zdravotních služeb jsou vždy povinni vést a uchovávat zdravotnickou dokumentaci. Doba uchovávání osobních údajů ve zdravotnické dokumentaci se přitom řídí vyhláškou o zdravotnické dokumentaci, konkrétně přílohou č. 3 k vyhlášce, která pro jednotlivé druhy a formy zdravotních služeb stanoví konkrétní časové období, po které musí být zdravotnická dokumentace uchována/archivována. Ve vztahu k ambulantní péči, včetně ambulantní fyzioterapeutů platí, že doba uchování je 5 let po posledním poskytnutí zdravotních služeb pacientovi.
Jinou situací, kdy by naopak fyzioterapeut souhlas se zpracováním osobních údajů vyžadovat měl, budou situace, kdy údaje využívá pro jiné účely než poskytování zdravotních služeb, například zasílání newsletterů nebo jiného typu marketingových sdělení.
Ale o tom zase někdy příště.