GDPR dokumentácia pre poskytovateľa zdravotníckeho zariadenia

Otázka:

Pri vypracovaní nových podkladov – tlačív pre klientov nášho centra som „narazila“ na otázku, či poskytovateľ zdravotnej starostlivosti spadá pod nariadenie GDPR? Ak sa dá, prosím o zaslanie vysvetlenia. Chceme zapracovať GDPR aj do našich VOP, v ktorých budú zahrnuté aj nadštandardné služby hradené klientom.

Odpoveď:

Každý poskytovateľ zdravotnej starostlivosti spadá pod Nariadenie GDPR.

Poskytovateľ zdravotnej starostlivosti podobne ako každá iná právnická osoba (SRO, AS, nadácia, združenie, obec a pod.) je podľa čl. 4 bod. 7 GDPR v postavení tzv. prevádzkovateľa, ktorý je definovaný ako „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov“.  

Ak sa niektoré údaje spracúvajú bez súhlasu pacienta, neznamená to, že sa neuplatní GDPR, ale že konkrétne údaje môžu byť spracúvané na inom právnom základe ako je súhlas (GDPR zakotvuje okrem súhlasu 5 ďalších právnych základov). 

Podľa GDPR a zákona č. 18/2018 Z. z. o ochrane osobných údajov nie je nevyhnutné, aby vo všeobecných obchodných podmienkach boli ustanovenia týkajúce sa ochrany osobných údajov (teda ustanovenia, ktoré sa týkajú práv a povinností v zmysle GDPR a zákona č. 18/2018 Z. z. o ochrane osobných údajov), ale štandardne sa vo VOP tieto ustanovenia uvádzajú a takýto postup by sme Vám aj odporúčali. 

Z hľadiska ochrany osobných údajov sa vo VOP vyskytujú ustanovenia, ktorými si prevádzkovateľ plní tzv. informačnú povinnosť podľa čl. 13 a 14. Túto informačnú povinnosť je možné inkorporovať aj do VOP (pacient sa teda v rámci VOP oboznámi aj s ochranou osobných údajov), ale je možné si ju plniť aj iným spôsobom, napr. tým, že Vášmu klientovi, s ktorým plánujete uzatvoriť zmluvu informačnú povinnosť (resp. informácie o spracúvaní osobných údajov) poskytnete na samostatnom dokumente, na ktorom svojím podpisom potvrdí, že s ním bol oboznámený. Vo všeobecnosti podpísanie či už samostatného dokumentu k informačnej povinnosti alebo zmluvy odkazujúcej na VOP nie je nevyhnutné na splnenie si informačnej povinnosti, ale je praktické v prípade, že by ste v budúcnosti museli splnenie povinnosti preukazovať. Do úvahy prichádza do VOP zapracovať len webový odkaz na celé znenie informačnej povinnosti, ktoré by bolo zverejnené na Vašej webovej stránke, v prípade kontroly by bolo potom potrebné preukázať, že pacient mal v čase poskytnutia služby k týmto informáciám prístup (boli zverejnené, bol na to upozornený vo VOP). 

Vo všeobecnosti teda v prípade, ak od klienta – fyzickej osoby získavate osobné údaje, mal by byť klient informovaný o spracúvaní jeho osobných údajov. Je vhodné následne vedieť aj preukázať dozornému orgánu, že ste si svoju informačnú povinnosť voči klientovi splnili. 

Z tohto pohľadu je vhodné, ak sa informačná povinnosť nachádza priamo vo VOP a tým, že klient podpíše s Vami zmluvu, ktorej súčasťou sú aj VOP zároveň svojim podpisom potvrdzuje, že sa so znením informačnej povinnosti oboznámil a informácie mu boli poskytnuté.