Nařízení GDPR zůstává pro mnohé i několik let po nabytí účinnosti nezrozumitelným pojmom alebo administratívnym strašiakom. Súčasťou príspevku je tiež predstavenie základných povinností fyzioterapeutov, ktoré GDPR zakotvuje.

Ako súvisí GDPR s fyzioterapiou?

GDPR je európske nariadenie, ktoré určuje všeobecné pravidlá pri spracovaní a evidencii osobných údajov ľudí. GDPR sa teda uplatní takmer vo všetkých situáciách, keď dochádza k spracovaniu týchto údajov. Fyzioterapeut vo svojej praxi evidovať rôzne údaje o pacientoch pochopiteľne musí, preto je i on nariadením viazaný. Na tom nič nemení ani skutočnosť, že spracovanie osobných údajov pri fyzioterapii je už do veľkej miery upravené slovenskou legislatívou, a to predovšetkým zákonom o zdravotných službách a vyhláškou o zdravotníckej dokumentácii. GDPR má totiž všeobecne prednosť pred národným právom. Slovenská úprava tak nariadenie dopĺňa a konkretizuje, ale nevylučuje jeho pôsobnosť.

Povinnosti fyzioterapeuta

Fyzioterapeut, ktorý zhromažďuje a ukladá osobné údaje o pacientoch a ich zdravotnom stave, vystupuje v role správcu a typicky tiež spracovateľa osobných údajov. Podľa GDPR má preto množstvo povinností, ktoré sú formulované veľmi všeobecne. Najdôležitejšie zásady spočívajú v zákonnosti a transparentnosti spracovania osobných údajov. Prakticky to znamená, že fyzioterapeut môže spracúvať údaje pacientov len na základe dôvodov a za účely, ktoré nariadenie menovite stanovuje. Fyzioterapeut má tiež povinnosť údaje pacientov chrániť pred neoprávneným únikom či stratou a za prípadné porušenie svojich právnych povinností nesie zodpovednosť.

Medzi konkrétne povinnosti fyzioterapeuta potom patrí predovšetkým vedenie záznamov o činnostiach spracovania, v ktorých fyzioterapeut okrem iného uvádza, aké konkrétne údaje subjektov spracováva a za akým účelom. Základné informácie o spracúvaní osobných údajov musí fyzioterapeut sprístupniť pacientom, typicky prostredníctvom webových stránok či vyvesením v ordinácii.

GDPR a udeľovanie súhlasu so spracovaním osobných údajov

Pri fyzioterapii dochádza k spracovaniu dát o zdravotnom stave pacientov a taktiež k zberu ich biometrických údajov. Tieto dáta patria do zvláštnej kategórie citlivých osobných údajov, ktoré obecne nemožno spracovávať bez udeleného súhlasu. Poskytovanie zdravotných služieb, vrátane fyzioterapeutickej starostlivosti má však v tomto ohľade výnimku, podľa ktorej k spracovaniu týchto údajov nedochádza na základe súhlasu pacienta, ale na základe zákonného dôvodu, ktorým je povinnosť vyplývajúca zo zákona o zdravotných službách.

V súlade s GDPR preto fyzioterapeut môže spracovávať osobné údaje o pacientovi a jeho zdravotnom stave bez jeho súhlasu...

...ak je spracovanie nevyhnutné pre poskytovanie zdravotných služieb. V tomto smere preto nie je potrebné, aby pacient udeľoval výslovný súhlas.

Rozsah spracovávaných údajov pritom vyplýva predovšetkým z vyhlášky o zdravotníckej dokumentácii, ktorá uvádza, aké údaje sú súčasťou zdravotníckej dokumentácie a poskytovateľ je potrebuje na poskytovanie zdravotných služieb.

Ďalšou z výnimiek pre zdravotníctvo, vrátane fyzioterapeutickej starostlivosti je obmedzenie práva pacienta na výmaz osobných údajov zo zdravotníckej dokumentácie. Tu sa uplatňuje slovenská právna úprava, podľa ktorej pacient nemôže žiadať výmaz údajov zo zdravotníckej dokumentácie, ktoré súvisia s poskytovaním zdravotných služieb, hoci v inom kontexte by toto právo mal.

Podľa zákona o zdravotných službách platí, že poskytovatelia zdravotných služieb sú vždy povinní viesť a uchovávať zdravotnícku dokumentáciu. Doba uchovávania osobných údajov v zdravotníckej dokumentácii sa riadi vyhláškou o zdravotníckej dokumentácii, konkrétne prílohou č. 3 k vyhláške, ktorá pre jednotlivé druhy a formy zdravotných služieb stanovuje konkrétne časové obdobie, počas ktorého musí byť zdravotnícka dokumentácia uchovávaná/archivovaná. Vo vzťahu k ambulantnej starostlivosti, vrátane ambulantných fyzioterapeutov platí, že doba uchovania je 5 rokov po poslednom poskytnutí zdravotných služieb pacientovi.

Inou situáciou, keď by naopak fyzioterapeut súhlas so spracovaním osobných údajov vyžadovať mal, budú situácie, keď údaje využíva na iné účely než poskytovanie zdravotných služieb, napríklad zasielanie newsletterov alebo iného typu marketingových oznámení.

Ale o tom zase niekedy nabudúce.