Jak správně chránit soukromí pacientů: 8 kroků pro zdravotnická zařízení
Jména, diagnózy, výsledky vyšetření i poznámky z rozhovoru s pacientem. To všechno jsou citlivé údaje, se kterými musí zdravotnická zařízení zacházet obzvlášť opatrně. Na co si dát pozor, aby zpracování takových údajů probíhalo správně a v souladu se zákonem?
Jaké údaje pacientů je třeba chránit?
Pokud poskytujete zdravotní služby – třeba v nemocnici nebo ambulanci – jednou z vašich povinností je respektovat soukromí pacientů. To znamená pečlivě zacházet s jejich údaji tak, jak vyžadují platné zákony: zejména zákon o zdravotních službách, GDPR a zákon o zpracování osobních údajů.
Jak na ochranu údajů pacienta
Při nastavení ochrany údajů pacientů v souladu s předpisy můžete postupovat podle těchto kroků:
1. Zjistěte, jaké údaje o pacientech zpracováváte
Pravděpodobně půjde o jméno, rodné číslo, adresu, informace o zdravotní pojišťovně, diagnózu nebo průběh léčby. A taky třeba cokoli dalšího, co vám pacient řekne.
Důležité je si dobře zaznamenat, z jakého zdroje jste údaje pacienta získali (z rozhovoru, výsledků laboratorních testů apod.), v jakých systémech a archivech je ukládáte a jaké osoby (pracovníci, dodavatelé) k nim mají přístup.
2. Určete, na jakém právním základě údaje zpracováváte
Většinou to bude pro splnění smlouvy s pacientem a povinností stanovených v zákoně o zdravotních službách.
Ale jsou i jiné situace, kdy můžete údaje zpracovávat. Například pokud chráníte své oprávněné zájmy ve sporech s pacienty, nebo jste pacienta s jeho souhlasem zařadili do výzkumné studie, případně se má pacient zapojit do soutěže o ceny.
3. Minimalizujte množství údajů i přístupy k nim
Sbírejte jen ty údaje, které opravdu potřebujete k léčbě pacienta. Stejně tak je důležité, aby k nim měli přístup jen ti pracovníci, kteří je skutečně potřebují. Nemělo by se stát, že recepční uvidí třeba podrobnosti o pooperační kontrole.
Dejte si také pozor, kde tisknete nebo kopírujete lékařské zprávy či jiné dokumenty s citlivými údaji. Mohou zůstat uložené v tiskárně, v počítači nebo ve frontě na tisk, a pokud je někdo neoprávněný vytiskne, může to znamenat problém.
4. Zabezpečte systémy a fyzické prostředí
Bezpečnost vašich informačních systémů je klíčová. Počítače, servery a další zařízení, kde uchováváte údaje o pacientech, jsou často terčem útoků hackerů. Základní výbava by měla být firewall, antivirová ochrana, správná nastavení přístupů, šifrování dat, silná hesla a pravidelné zálohování. Pokud provozujete větší zařízení, musíte navíc dodržovat i zákonná pravidla kybernetické bezpečnosti.
Nezapomeňte ale i na papírovou dokumentaci – lékařské zprávy by měly být uložené v uzamčených skříňkách nebo místnostech, kam mají přístup pouze povolané osoby. A při práci na počítači myslete na to, aby pacienti nebo jiní lidé (např. pracovníci úklidu) nesledovali obrazovku s citlivými údaji.
Hlídejte si taky, jak můžete informace o pacientech sdílet na dálku (e-mailem nebo telefonicky). Vhodným řešením může být zavedení kódů pro komunikaci, ke kterým bude mít přístup pouze pacient, případně jím zvolené osoby.
5. Pohlídejte si své dodavatele
K osobním údajům pacientů často přistupují i vaši dodavatelé – například provozovatelé zdravotnických informačních systémů. Nezapomeňte s nimi vždy uzavřít smlouvu o zpracování osobních údajů. Je to vaše povinnost vyplývající z GDPR a zákona o zpracování osobních údajů, za jejíž porušení vám hrozí pokuta. Zároveň tímto krokem budete mít své dodavatele a práci s údaji více pod kontrolou a zvýšíte tím bezpečnost těchto údajů.
6. Školte personál a nastavte jasná pravidla
Mnoho problémů s únikem nebo zneužitím dat vzniká z lidské chyby. Proto je dobré své zaměstnance pravidelně vzdělávat i v ochraně osobních údajů.
Pořádejte školení, dejte jim k dispozici jednoduché a srozumitelné interní návody a pravidla, jak mají s údaji o pacientech zacházet.
Sepište si také jasná pravidla pro práci se zdravotnickou dokumentací a opatření, která máte zavedená na ochranu těchto údajů. Je to vaše zákonná povinnost podle zákona o zdravotních službách.
Vaši zaměstnanci by měli také přesně vědět, kdo a za jakých podmínek může získat přístup k údajům, jak informovat pacienty o zpracování jejich dat a samozřejmě, jak dodržovat zákonnou povinnost mlčenlivosti.
7. Srozumitelně informujte pacienty
Pacienti mají právo vědět, jak s jejich údaji nakládáte. Připravte proto jednoduché a jasné informace o tom, jak osobní údaje zpracováváte a jaká práva pacienti mají.
Nejlepší je mít tyto informace dostupné na vašem webu. A pokud chcete jít ještě dál, mějte je i vytištěné na recepci nebo u sestry, aby je pacienti mohli snadno najít a přečíst si je.
8. Připravte si plán pro řešení bezpečnostních incidentů
Co uděláte, pokud omylem ztratíte údaje pacienta, pošlete je špatné osobě, nebo se stanete obětí krádeže dat?
Nečekejte, až se něco stane. Raději si předem stanovte jasný postup. Kdo má takový incident řešit, jak ho hlásit a kdy a jak informovat pacienta, Úřad pro ochranu osobních údajů nebo Národní úřad pro kybernetickou a informační bezpečnost.
Dobrý plán vám pomůže rychle a správně reagovat, což může zabránit větším škodám a zbytečným problémům.
Ověřte si, zda soukromí pacientů dostatečné chráníte
Možná si říkáte, že postupy na ochranu soukromí pacientů jste nastavovali pár let zpátky, a tak není co řešit. Jste si ale jistí, že postupy stále fungují? Situace se může rychle měnit. Přicházejí noví zaměstnanci, mění se technologie, objevují se nové kybernetické hrozby i nové zákonné požadavky, například jako nyní v oblasti kybernetické bezpečnosti.
Proto doporučujeme si pravidelně, ideálně alespoň jednou ročně, prověřit, zda jsou vaše postupy stále aktuální a dostatečné. To vám pomůže odhalit případné slabiny dřív, než se z nich stanou větší problémy.
Nebojte se proto čas od času udělat krok zpět a zkontrolovat, že je ochrana soukromí pacientů u vás stále na vysoké úrovni.
Pokud si chcete ověřit, jestli postupujete správně v některých pro vás běžných situacích, přečtěte si druhý díl naší série o ochraně soukromí pacientů, která vyjde na našem blogu v lednu.
Kde hledat více informací
- zákon č. 372/2011 Sb., o zdravotních službách
- zákon č. 110/2019 Sb., o zpracování osobních údajů
- nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
- zákon č. 264/2025 Sb., o kybernetické bezpečnosti
Další články
Právní průšvihy při nasazování AI nástrojů – praktické zkušenosti, kdy se to nepovedlo (1. část)
Implementace nástrojů umělé inteligence už pro právníky není hudbou budoucnosti, ale každodenní realitou. Zapomeňte však na tradiční přístup „odškrtávání checklistů“. V éře AI totiž regulace přímo diktuje samotný technický design produktů. Jak se úspěšně zorientovat v džungli desítek evropských předpisů, na co si dát pozor při mapování datových toků a proč musí právníci při vývoji aplikací sedět u jednoho stolu s programátory a produktovými manažery?
Kdy musí zahraniční firma odvádět daně v tuzemsku? Někdy stačí i jediný zaměstnanec na home office
Práce na dálku z jiné země je čím dál častější. Přestože se podmínky prezence na pracovišti rozvolnily, žádná benevolence už neplatí v tom, kde a jak firmy, potažmo zaměstnanci musí odvádět daně. Systém přitom není nejpřehlednější, a tak svádí k chybám.
Prediktivní analytika při správě daní
Daňová kontrola byla dlouho vnímána především jako nástroj zpětného ověření. Správce daně posuzoval, zda daňový subjekt v minulosti správně přiznal daň, zda doložil rozhodné skutečnosti a zda jeho tvrzení odpovídá realitě. Tento model má své pevné místo i v budoucnu. U části daňových rizik však naráží na praktický limit: pokud správce daně reaguje až ve chvíli, kdy je škoda způsobena, může být její náprava obtížná, ne-li fakticky nemožná.
Rozhovor: Adam Felix - Advokacie nesmí podléhat státnímu finančnímu dozoru
Ministerstvo financí předložilo návrh zákona o ekonomické ochraně státu a související novely zákona o Finančním analytickém úřadu a zákona o advokacii, které mají ambici posílit nástroje státu v boji proti praní peněz a financování terorismu. Vedle deklarovaného cíle návrh vyvolává zásadní debatu o tom, kde končí legitimní regulace a začíná zásah do samotné podstaty nezávislé advokacie a pilířů právního státu.
Nadační fond pro soukromý účel – vývoj, judikatura a praxe
Dodnes napříč širší veřejností přetrvává dojem, že nadační fondy jsou nástroj primárně určený pro dobročinné účely. V praxi se však nadační fondy běžně využívají rovněž ke správě rodinného majetku, jeho mezigeneračnímu předání i jako mateřská entita v holdingových strukturách.
