Systémy pro sběr klinických dat
HelpDesk: tel.: +420 549 498 281
e-mail:
 

Legislativní aspekty: Česká republika

   Evropská unie
   Česká republika
   USA
   Kanada

Zákon č. 101/2000 Sb., o ochraně osobních údajů

Zákon č. 260/2001 Sb., kterým se mění zákon č. 20/1966 Sb., o péči o zdraví lidu
Zákon 156/2004 Sb., kterým se mění zákon č. 20/1966 Sb., o péči o zdraví lidu
Další legislativa ČR v oblasti ochrany osobních údajů

 

Zákon č. 101/2000 Sb., o ochraně osobních údajů

Jak se lze dočíst v úvodu tohoto dokumentu, zákon v souladu s právem Evropské unie, mezinárodními smlouvami, kterými je ČR vázána, a k naplnění práva každého na ochranu před neoprávněným zasahováním do soukromí, upravuje práva a povinnosti při zpracování osobních údajů a stanoví podmínky, za nichž se uskutečňuje předání osobních údajů do jiných států.

Zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, ..., jakož i fyzické a právnické osoby a vztahuje se na veškeré zpracování osobních údajů – automatizovaně i jinak. Nevztahuje se (podobně jako směrnice 95/46/ES), pokud zpracování provádí fyzická osoba výlučně pro vlastní potřebu a nahodilé shromažďování osobních údajů, pokud nejsou dále zpracovávány. Celé znění zákona lze najít např. na stránkách ÚOOÚ.

Některé definice (zjednodušeno)

  • Osobní údaj: jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže jej lze přímo či nepřímo identifikovat (zejména na základě čísla, kódu, ...).
  • Citlivý osobní údaj: osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, ..., zdravotním stavu a sexuálním životě subjektu údajů, jakýkoliv biometrický nebo genetický údaj o subjektu údajů.
  • Subjekt údajů: fyzická osoba, k níž se údaj vztahuje.
  • Zpracování osobních údajů: jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, automatizovaně nebo jinými prostředky (zejména shromažďování, ukládání na nosiči, zpřístupňování, úprava, používání, ...).
  • Správce: každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním může správce zmocnit či pověřit zpracovatele.
  • Zpracovatel: každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona.
  • Souhlas subjektu: svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů.

Úřad pro ochranu osobních údajů

Zákonem 101/2000 se zřizuje Úřad pro ochranu osobních údajů (ÚOOÚ). Jedná se o nezávislý orgán, který zejména:

  • provádí dozor nad dodržováním zákonem stanovených povinností při zpracování osobních údajů;
  • vede registr povolených zpracování osobních údajů;
  • přijímá podněty a stížnosti občanů na porušení zákona;
  • poskytuje konzultace v oblasti ochrany osobních údajů;
  • atd.

Pracovníci ÚOOÚ jsou ze zákona obdaření poměrně značnými pravomocemi při kontrole dodržování tohoto zákona. Mezi oprávnění kontrolujících patří např.:

  • vstupovat do objektů;
  • požadovat originální doklady, písemnosti, záznamy na paměťových médiích, výpisy a zdrojové kódy programů, ..., pokud to souvisí s předmětem kontroly;
  • požadovat poskytnutí pravdivých a úplných informací o zjišťovaných a zkoumaných skutečnostech;
  • pořídit kopii paměťových médií;
  • ukládat opatření k nápravě;
  • atd.

Více informací nejen o ÚOOÚ, ale také o ochraně osobních údajů obecně, platných předpisech, postupech apod. lze nalézt na jeho webových stránkách.

Povinnosti správce

Zákon stanovuje správci obdobné povinnosti jako směrnice 95/46/ES. Správce je podle tohoto zákona povinen zejména:

  • stanovit účel, k němuž mají být osobní údaje zpracovávány;
  • stanovit prostředky a způsob zpracování osobních údajů;
  • zpracovávat pouze přesné osobní údaje, ..., je-li to nezbytné osobní údaje aktualizovat;
  • zjistí-li, že osobní údaje nejsou přesné s ohledem na stanovený účel, provede bez zbytečného odkladu přiměřená opatření (blokace/výmaz/oprava/doplnění/...);
  • shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro stanovený účel;
  • uchovávat osobní údaje pouze po dobu, která je nutná pro jejich zpracování, anonymizovat údaje jakmile je to možné (déle lze osobní údaje uchovávat pouze v některých případech pro účely archivnictví, statistické nebo vědecké);
  • zpracovávat osobní údaje pouze v souladu s účelem zpracování;
  • shromažďovat osobní údaje pouze otevřeně (ohlašovací povinnost);
  • nesdružovat osobní údaje, které byly získány k rozdílným účelům.

Výše uvedené povinnosti platí i pro zpracovatele.

Zákon o ochraně osobních údajů stanoví, že správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů (existují některé výjimky, které však pro nás nejsou důležité). Subjekt údajů pak musí být při udělení souhlasu informován zejména o účelu zpracování osobních údajů, k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním musí být správce schopen prokázat po celou dobu zpracování.

Pokud zmocnění nevyplývá z právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu a musí v ní být výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá. Smlouva musí také obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů.

Zákon 101/2000 zavádí také pojem citlivých osobních údajů (jedná se např. o informace o zdravotním stavu subjektu). Citlivé osobní údaje je možné zpracovávat jen jestliže:

  • subjekt údajů dal ke zpracování výslovný souhlas (který musí opět splňovat náležitosti uvedené výše), subjekt musí být poučen o jeho právech;
  • jedná se o zpracování při zajišťování zdravotní péče (zákon o péči o zdraví lidu, ...)
  • v některých dalších případech, které však pro nás nehrají roli.

Zákon stanoví, že za porušení povinností odpovídají správce a zpracovatel společně a nerozdílně.

Práva subjektů

Při zpracování osobních údajů pak správce a zpracovatel musí dbát na to, aby subjekt údajů neutrpěl újmu na svých právech (zachování lidské důstojnosti, neoprávněné zasahovaní do soukromí, apod.).

Správce je při shromažďování osobních údajů povinen subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovávány, kdo a jakým způsobem je bude zpracovávat, komu mohou být zpřístupněny, o právu na přístup k osobním údajům, opravu osobních údajů, dobrovolnosti nebo povinnosti poskytnout osobní údaje, důsledcích... a dalších právech podle zákona.

Zákon 101/2000 definuje podobně jako jiné normy opravující oblast ochrany osobních údajů právo subjektu na přístup k údajům, které jsou o něm sbírány. Správce je povinen subjektu údajů předat na žádost bez zbytečného odkladu informace o zpracování jeho osobních údajů. Obsahem je vždy sdělení o:

  • účelu zpracování;
  • osobních údajích (jejich kategoriích), které jsou předmětem zpracování, zdroji osobních údajů;
  • povaze automatizovaného zpracování v souvislosti s jeho využitím pro rozhodování;
  • příjemcích, případně kategoriích příjemců.

Tuto povinnost může za správce plnit zpracovatel.

Každý subjekt údajů, který se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu se zákonem (např. při nepřesných údajích) může požádat správce případně zpracovatele o vysvětlení či odstranění tohoto stavu. Pokud je žádost oprávněná, správce nebo zpracovatel neprodleně odstraní závadný stav.

Bezpečnost zpracování

Zákon o ochraně osobních údajů klade stejně jako směrnice 95/46/ES velký důraz také na bezpečnost osobních údajů. Podle zákona jsou správce a zpracovatel povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení, ztrátě, ..., ani jinému zneužití. Tato povinnost platí i po ukončení zpracování. Správce (zpracovatel) je povinen zpracovat a zdokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem, případně jinými předpisy.

Pro zaměstnance správce i zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, platí mimo jiné povinnost mlčenlivosti o osobních údajích a případně nutnosti i přijatých bezpečnostních opatřeních. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací.

Oznámení

Zákon ukládá subjektu, který jako správce hodlá zpracovávat osobní údaje (nebo změnit registrované zpracování), povinnost oznámit tuto skutečnost Úřadu pro ochranu osobních údajů a to před začátkem vlastního zpracování. Toto oznámení musí obsahovat:

  • identifikační údaje správce;
  • účel případně účely zpracování;
  • kategorie subjektů a osobních údajů;
  • zdroje osobních údajů;
  • popis způsobu zpracování osobních údajů;
  • místo případně místa zpracování osobních údajů;
  • příjemce případně kategorie příjemců;
  • předpokládaná předání do jiných států;
  • popis opatření k zajištění ochrany osobních údajů.

Vzory oznámení lze najít na webových stránkách ÚOOÚ. K existující registraci Masarykovy univerzity se lze dostat také na webu ÚOOÚ. Oznámení zamýšleného zpracování osobních údajů se doporučuje provádět na formulářích vydaných Úřadem pro ochranu osobních údajů, které lze získat na finančních úřadech ve všech bývalých okresních městech a na všech finančních úřadech v Praze, Brně, Ostravě a Plzni. Pokud oznámení splňuje všechny náležitosti a jestliže nebylo Úřadem rozhodnuto o zrušení registrace, lze po uplynutí 30 dnů ode dne doručení oznámení začít se zpracováním osobních údajů.

Jestliže správce hodlá ukončit svoji činnost, je povinen Úřadu neprodleně oznámit jak naložil s osobními údaji. Správce (případně na základě jeho pokynu zpracovatel) je povinen neprodleně provést likvidaci osobních údajů, jakmile pomine účel, pro který byly zpracovány (případně na žádost subjektu).

Předávání údajů do dalších zemí

Zákon o ochraně osobních údajů stejně jako směrnice 95/46/ES stanoví, že není dovoleno omezovat volný pohyb osobních údajů, pokud dochází k předání osobních údajů do členského státu Evropské unie.

Do ostatních (tzv. třetích) zemí mohou být osobní údaje předány, pokud zákaz omezování volného pohybu osobních údajů vyplývá z mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána (např. Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat) nebo jsou osobní údaje předány na základě rozhodnutí orgánu Evropské unie.

V případech odlišných od dvou uvedených předávání osobních údajů je správce povinen požádat Úřad o vydání povolení k jejich předání. Správce je v žádosti povinen doložit některou z podmínek zákonnosti předávání osobních údajů uvedených v zákoně, současně si však musí být vědom povinnosti dodržovat ostatní podmínky zákona vztahující se na celý proces zpracování osobních údajů, jehož součástí je také předávání.

Zákon č. 260/2001 Sb., kterým se mění zákon č. 20/1966 Sb., o péči o zdraví lidu

Zákon č. 260/2001 řeší částečně problematiku zpracování a ochrany osobních údajů v souvislosti s vedením zdravotnické dokumentace a zpracováním údajů v Národním zdravotnickém informačním systému (NZIS).

Zákon zejména říká, že zdravotnická zařízení jsou povinna vést zdravotnickou dokumentaci, která obsahuje:

  • osobní údaje pacienta v rozsahu nezbytném pro identifikaci pacienta a zjištění anamnézy,
  • informace o onemocnění pacienta, o průběhu a výsledcích vyšetření, léčení a o dalších významných okolnostech souvisejících se zdravotním stavem pacienta a s postupem při poskytování zdravotní péče.

Zákon také stanovuje podmínky, které musí být dodrženy v případě vedení zdravotnické dokumentace v elektronické podobě (na paměťových médiích výpočetní techniky), přístup k zdravotnické dokumentaci, její uchovávání, apod.

Zákonem se zavádí Národní zdravotnický informační systém – jednotný celostátní informační systém určený ke sběru a zpracování informací o zdravotním stavu obyvatelstva, zdravotnických zařízeních, atd., k vedení národních zdravotních registrů, k poskytování informací v rozsahu daném jinými právními předpisy a k využití informací v rámci zdravotnického výzkumu. Plnění úkolů NZIS zajišťuje Ústav zdravotnických informací a statistiky České Republiky (ÚZIS).

Kompletní znění zákona je dostupné např. na stránkách MVČR.

Zákon 156/2004 Sb., kterým se mění zákon č. 20/1966 Sb., o péči o zdraví lidu

Zákon 156/2004 upravuje problematiku národních zdravotních registrů (registr podle tohoto zákona je součást NZIS, která je uvedená v příloze zákona). Účelem registrů je evidence a sledování pacientů s vybranými společensky závažnými nemocemi, vyhodnocování a diagnostické a léčebné péče apod.

Na registry v rámci tohoto zákona se vztahují některá speciální ustanovení ve vztahu k ochraně osobních údajů. Např. v registrech podle tohoto zákona je možné bez souhlasu subjektu zpracovávat data jako jsou identifikační údaje, údaje související se zdravotním stavem apod.

Mezi národní zdravotní registry v současné době patří: národní onkologický registr, národní registr hospitalizovaných, národní registr rodiček, národní registr novorozenců, národní registr vrozených vad, registr lékařů, zubních lékařů a farmaceutů, národní registr potratů, národní registr cévní chirurgie, národní kardiochirurgický registr, národní registr kloubních náhrad, národní registr nemocí z povolání, národní registr kardiovaskulárních intervencí a národní registr uživatelů lékařsky indikovaných substitučních látek.

Přesné znění zákona je dostupné např. na stránkách MVČR.

Další legislativa ČR v oblasti ochrany osobních údajů

Další právní normy ČR v oblasti ochrany osobních údajů uvedeme pouze výčtem:

  • Zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech (MVČR) – zejména pak část týkající se používání rodných čísel
  • Zákon č. 480/2004 Sb., o některých službách informační společnosti (MIČR)
  • Zákon č. 127/2005 Sb., o elektronických komunikacích (MIČR)
  • Zákon č. 79/1997 Sb., o léčivech a o změnách a doplnění některých souvisejících zákonů (MVČR) – netýká se přímo ochrany osobních údajů, ale lze zde nalézt důležité informace týkající se klinických studií
  • Vyhláška 552/2004 o předávání osobních a dalších údajů do Národního zdravotnického informačního systému pro potřeby vedení národních zdravotních registrů (MVČR) – stanoví informace, které jsou předávány do registrů NZIS.