Vyjádření Úřadu pro ochranu osobních údajů k článku „Národní databáze genotypů – etické a právní aspekty“
Vyšlo v časopise:
Čas. Lék. čes. 2011; 150: 376-377
Kategorie:
Komentář
Na úvod je nutné upozornit, že Úřad pro ochranu osobních údajů se k tezím vysloveným v tomto článku může vyjadřovat jen z pohledu své působnosti, tedy z pohledu dozorového orgánu v oblasti ochrany osobních údajů. K těmto právním aspektům článku lze ve stručnosti uvést následující:
Úřad v zásadě souhlasí s právním hodnocením projektu Národní databáze genotypů tak, jak je v článku provedeno. Projekt počítá s nezbytným zpracováním osobních i citlivých údajů ve smyslu Zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, a proto je na něj nezbytné aplikovat všechny povinnosti z tohoto zákona vyplývající.
Bez znalosti detailních informací o Národní databázi genotypů lze v tuto chvíli pouze uvést několik důležitých bodů či otázek, na které by mělo být před započetím jejího budování kvalifikovaně odpovězeno, přičemž tyto odpovědi nejsou z daného článku zcela patrné:
- Kdo
bude zřizovatelem databáze, kdo ji bude fyzicky spravovat,
zajišťovat a odpovídat za její provoz? Kdo tedy bude, dikcí
zákona o ochraně osobních údajů, v tomto případě
správcem?
Dlužno dodat, že povinnosti stanovené zákonem o ochraně osobních údajů dopadají v prvé řadě právě na správce osobních údajů, který určuje účel a prostředky zpracování osobních údajů, zpracování také obvykle provádí a odpovídá za něj. Pokud by se jednalo o osobu veřejného práva, např. subjekt zřízený Ministerstvem zdravotnictví ČR nebo toto ministerstvo samo, potom by zmocnění k provozování databáze muselo být výslovně uvedeno v právním předpise. - V jakém
postavení budou jednotlivá zdravotnická zařízení?
Pokud budou informace z databáze pouze přijímat a využívat, potom budou ve vztahu k tomuto zpracování v postavení příjemců osobních údajů. V tomto případě je nezbytné zdůraznit především povinnost mlčenlivosti, která je zakotvena i ve zvláštních právních předpisech, a povinnost zabezpečení zpracovávaných osobních a citlivých údajů.
Ta zdravotnická zařízení, která budou do databáze údaje i vkládat, tedy od pacientů získávat a následně předávat správci pro potřeby vedení databáze, budou v postavení zpracovatelů osobních údajů. Na zpracovatele doléhají povinnosti stanovené zákonem o ochraně osobních údajů obdobným způsobem. Dle § 6 tohoto zákona mají však zpracovatelé navíc, pokud pověření ke zpracování nevyplývá ze zvláštního zákona, povinnost uzavřít se správcem písemnou smlouvu, jejíž součástí mj. bude, v jakém rozsahu, za jakým účelem dochází ke zpracování osobních údajů a na jakou dobu se smlouva uzavírá. Smlouva musí rovněž obsahovat záruky zpracovatele, v tomto případě zdravotnického zařízení, o technickém a organizačním zabezpečení ochrany osobních údajů. - Dle článku má být právním titulem ke zpracováním osobních a citlivých údajů v databázi výslovný souhlas subjektu údajů. K tomu Úřad pro ochranu osobních údajů pouze upozorňuje na náležitosti souhlasu podle § 4 písm. n) a § 5 odst. 4 zákona o ochraně osobních údajů a obecné náležitosti právního úkonu podle občanského práva. Nezbytné je samozřejmě řádné a komplexní plnění informační povinnosti vůči subjektu údajů včetně informací o možném odvolání souhlasu a odstranění osobních a citlivých údajů z databáze.
- Dalším důležitým aspektem je omezení či minimalizace přístupu do databáze jen pro nezbytný okruh nejen zdravotnických zařízení, ale v jejich rámci i pro nezbytný okruh zaměstnanců. Má-li být databáze provozována on-line s možností neustálého přístupu, potom je nezbytné stanovení konkrétních osob, které do ní mohou mít jako jediné přístup. Nutné je rovněž kvalifikovaně posoudit, kolik těchto osob bude, a nezbytnost jejich práva na přístup do databáze rovněž relevantně zdůvodnit, stejně jako přijmout mechanismus ke zbavení oprávnění přístupu ve chvíli, kdy původně oprávněná osoba např. přestane vykonávat určitou funkci atd.
- Technické a softwarové
zabezpečení nejen databáze samé, ale i přenosových kanálů
a zařízení přijímajících zdravotnických zařízení, ve
kterých budou informace z databáze zobrazovány či dále
ukládány, je dalším klíčovým bodem.
V této souvislosti Úřad pro ochranu osobních údajů odkazuje na poměrně konkrétní ustanovení § 13 zákona o ochraně osobních údajů. Dle něj bude nutné přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k informacím z databáze, ale ani k jejich neoprávněné změně, zničení, ztrátě, neoprávněným přenosům atd. Protože se má jednat o elektronickou databázi, je nezbytné plnit i povinnosti dle § 13 odst. 4 zákona o ochraně osobních údajů, tedy mj. zajistit logování uživatelů, aby bylo možné zajistit, že k údajům budou mít přístup pouze oprávněné osoby, a dále zajistit logování přístupů samotných tak, aby bylo možné určit a ověřit, kdy, kým a z jakého důvodu byly údaje v databázi zobrazeny nebo jinak zpracovány.
Mgr.
František Nonnemann
vedoucí
kanceláře náměstkyně předsedy
Úřad
pro ochranu osobních údajů
pplk.
Sochora 27, 170 00 raha
7
e-mail:
frantisek.nonnemann@uoou.cz
Štítky
Adiktologie Alergologie a imunologie Angiologie Audiologie a foniatrie Biochemie Dermatologie Dětská gastroenterologie Dětská chirurgie Dětská kardiologie Dětská neurologie Dětská otorinolaryngologie Dětská psychiatrie Dětská revmatologie Diabetologie Farmacie Chirurgie cévní Algeziologie Dentální hygienistkaČlánek vyšel v časopise
Časopis lékařů českých
- Metamizol jako analgetikum první volby: kdy, pro koho, jak a proč?
- Distribuce a lokalizace speciálně upravených exosomů může zefektivnit léčbu svalových dystrofií
- O krok blíže k pochopení efektu placeba při léčbě bolesti
- Horní limit denní dávky vitaminu D: Jaké množství je ještě bezpečné?
Nejčtenější v tomto čísle
- Súčasné možnosti chirurgickej liečby chronickej pankreatitídy – literárny prehľad
- Prof. MUDr. Aleš Žák, DrSc. šedesátníkem (25. 5. 1951)
-
Hygiena ženy I
Péče ženy o své tělo v období pozdního středověku - Mezinárodní databáze zdravotních statistik a jejich dostupné údaje