Pierstone
epravo.cz
z právní praxe
Cloud ve zdravotnictví Počet podniků využívajících cloudové služby pro své podnikatelské účely v České republice se každým rokem zvyšuje.[1] Využívání cloudových služeb neroste jen v neregulovaných odvětvích, ale také v odvětvích jako jsou finanční trhy či zdravotnictví,[2] na které dopadá speciální sektorová legislativa. Nasazení cloudového řešení v kontextu zdravotnictví proto podléhá regulaci na vícero frontách, mezi něž patří např. ochrana osobních údajů, sektorová regulace týkající se zdravotnické dokumentace či elektronických předpisů. Tento článek se zabývá vybranými právními aspekty používání cloudu ve zdravotnictví a jejich řešením.[3] Ochrana osobních údajů Obecné předpisy upravující ochranu osobních údajů se sice na poskytovatele zdravotních služeb vztahují ve stejném rozsahu jako na kterékoli jiné služby, povaha zdravotních služeb a zejména povaha údajů zpracovávaných v kontextu zdravotní péče však vyžaduje přístup s určitými specifiky. V prvé řadě dochází při poskytování zdravotních služeb k zpracovávání osobních údajů týkajících se zdravotního stavu, popř. také údajů genetických, které se řadí mezi tzv. citlivé údaje. České právo neklade žádná zvláštní omezení na zpracovávání citlivých údajů v cloudu. Zákon rovněž nebrání předávání takových údajů do zahraničí (k čemuž v kontextu cloudových služeb pravidelně dochází, zejména potom u těch poskytovaných nadnárodními společnostmi jako jsou Microsoft či Amazon), pokud je takové předání v souladu s obecnou úpravou ochrany osobních údajů a zejména s pravidly pro předání osobních údajů do zahraničí, která jsou obecně aplikovatelná také na citlivé údaje. Tudíž ukládání zdravotnických informací v cloudu, tj. předá-
ní takových údajů poskytovatelům cloudových služeb, kteří (a) mají sídlo ve členském státě EU/EHS nebo jiném státě, do kterého předání osobních údajů není omezeno; (b) mají sídlo v USA a dodržují zásady stanovené ve Štítu soukromí mezi EU a USA[4] nebo mají sídlo v zemi, která dle rozhodnutí Evropské komise zajišťuje odpovídající úroveň ochrany (např. Kanada, Argentina, Izrael), nebo (c) mají sídlo mimo EU/EHS a uzavřeli se správcem osobních údajů (tj. zákazníkem ze zdravotnického sektoru) smlouvu o zpracování údajů, která obsahuje tzv. standardní smluvní doložky EU pro předávání údajů do třetích zemích, je obecně přípustné a v souladu s pravidly na ochranu osobních údajů. Pokud smluvní podmínky cloudové služby budou zajišťovat úpravu předání osobních údajů do třetích zemí na základě standardních smluvních doložek, bude taková služba dostatečně splňovat právní požadavky na předání osobních údajů do třetích zemí, včetně předání zdravotnických informací. Stejně tak ale bude postačovat soulad se Štítem soukromí mezi EU a USA při předání údajů do USA.
144 I EPRAVO.CZ Magazine I 1/2017 I www.epravo.cz
Poskytovatelé zdravotních služeb v řadě případů zpracovávají osobní údaje na základě zákona, aniž by k takovémuto zpracování potřebovali souhlas pacientů (subjektů údajů). Tato skutečnost sama o sobě nijak nebrání využívání cloudových služeb za předpokladu, že poskytovatel zdravotních služeb řádně splní svou informační povinnost vůči pacientům a obeznámí je se skutečností, že dochází k takovému zpracovávání jejich osobních údajů, jakožto i s jejich právy na informace a na přístup k údajům, jejich kontrolu, opravu atd. Nejpozději od května roku 2018, kdy vstoupí v účinnost Všeobecné nařízení o ochraně údajů[5] (General Data Protection Regulation, GDPR), bude nezbytné zohlednit při zpracování osobních údajů soulad s tímto nařízením. GDPR si může vyžádat určité změny současného nastavení mnohých cloudových služeb a smluvních podmínek, za kterých jsou poskytovány. Většina poskytovatelů cloudových služeb již nyní své služby přizpůsobuje přísným požadavkům GDPR, např. v souvislosti s nově zavedenou povinností hlásit případy porušení zabezpečení osobních údajů (tzv. data breaches), pseudonymizací a za-