GDPR a povinnost lékaře mazat své poznámky ze zdravotní dokumentace pacienta

    Zdravotnická zařízení mají povinnost archivovat záznamy o poskytování zdravotních služeb pacientům. Cílem právní úpravy je, aby měl každý ošetřující lékař přístup k informacím o zdravotním stavu pacienta a mohl stanovit vhodný postup zdravotní péče. Právní úprava však nechrání pouze pacienta, ale také lékaře a zdravotnické zařízení, kteří mají právní i etickou povinnost pacienta léčit de lege artis.

    Obsah zdravotní dokumentace velice podrobně stanoví zákon č. 372/2011 Sb., o zdravotnických službách („Zákon“), ve spojení s vyhláškou Ministerstva zdravotnictví č. 98/2012 Sb., o vedení zdravotní dokumentace („Vyhláška“).

    Téměř každý údaj, který se ve zdravotní dokumentaci nachází, má povahu osobního údaje, a proto se na její obsah vztahuje také GDPR. To mimo jiné stanoví, že zpracovat osobní údaje je možné pouze tehdy, je-li zaručena zákonnost zpracování, tedy např. pokud má správce právní povinnost určitý údaj uchovat. Další relevantní ustanovení GDPR se týkají práv pacienta, zejména právo na přístup (čl. 15), opravu (čl. 16) a právo na výmaz (čl. 17).

    Na první pohled se může zdát, že se na obsah zdravotní dokumentace přednostně aplikuje Zákon ve spojení s Vyhláškou. Taková úvaha je však zjednodušující a obsahuje i logickou vadu, neboť právní úprava vedení zdravotnické dokumentace může mít stejně dobře obecnou povahu k úpravě ochrany osobních údajů, jako naopak. Vztah těchto právních předpisů proto nelze odbýt argumentem lex specialis derogat legi generali. Konkrétní povinnosti při vedení dokumentace je proto třeba dovodit při zohlednění obou předpisů. Pojďme tedy rozklíčovat, co znamenají jednotlivá oprávnění subjektů údajů v kontextu poskytování zdravotních služeb.

    Vztah práva na přístup a práva na nahlížení do zdravotnické dokumentace se na první pohled podobá. V obou případech je zdravotnické zařízení povinno subjektu údajů sdělit nebo umožnit přístup k osobním údajům – zdravotní dokumentaci. Pouhým umožněním nahlédnout do zdravotnické dokumentace však zařízení neplní dalších povinnosti, které mu mohou plynout z toho, že pacient uplatnil právo na přístup. Dalšími dílčími oprávněními subjektu údajů jsou například právo na informaci o účelu a době zpracování údajů a o kategorii příjemců, což jsou údaje, které se ve zdravotnické dokumentaci pochopitelně nenachází. Zdravotnické zařízení proto musí individuálně posoudit, jaké informace přesně pacient požaduje, a podle toho mu umožnit nahlédnout do zdravotnické dokumentace, umožnit výkon práva na přístup, nebo obojí.

    V rámci práva na opravu může pacient požadovat, aby zdravotnické zařízení „bez zbytečného odkladu opravilo nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.“ V podstatě obdobnou povinnost lze jednoduše dovodit z § 53 odst. 1, § 54 odst. 2 a § 54 odst. 4 Zákona. Zdravotnické zařízení má totiž povinnost vést (§ 53) zdravotnickou dokumentaci pravdivě (§ 54 odst. 2), to znamená, že pokud nějaký osobní údaj o zdravotním stavu pacienta neodpovídá skutečnosti, je ho povinno buď samo, nebo speciálním zákonným mechanismem na podnět pacienta (§ 54 odst. 4), opravit. Provedením opravy vadného údaje dochází i k realizaci práva na opravu podle GDPR – obě práva totiž pacient v daném kontextu uplatňuje týmž jednáním.

    To platí i v případě, že pacient požaduje výmaz některého údaje ze zdravotní dokumentace – v praxi se může se jednat například o diagnózu, se kterou pacient nesouhlasí, nebo o poznámky lékaře o chování pacienta.

    Pokud pacient uplatní právo na opravu ve zdravotnické dokumentaci nebo na výmaz podle Zákona či podle GDPR, musí zdravotnické zařízení zvážit, zda sporný údaj odpovídá skutečnosti, nebo ne. Pokud obsah odpovídá skutečnosti, je zdravotnické zařízení povinno žádost odmítnout, neboť informaci uchovává zařízení z důvodu plnění právní povinnosti (čl. 17 odst. 3 písm. b) GDPR) vést pravdivou zdravotnickou dokumentaci, která podle Vyhlášky obsahuje též záznamy o průběhu poskytování zdravotních služeb včetně „jiných významných údajů“.

    Pokud informace není pravdivá, je třeba ji upravit či vymazat. Pokud to zdravotnické zařízení neučiní, může se dopustit jak přestupku na poli zdravotnického práva, tak přestupku podle GDPR za nerespektování práv subjektu údajů.

    Údaj, který není schopen nést pravdivostní hodnotu, nebo není relevantní pro posuzování zdravotního stavu pacienta (např. dojem lékaře z pacienta, pokud nemá vztah k jeho zdraví) se nesmí v dokumentaci nacházet, protože podle Zákona musí zdravotnická dokumentace obsahovat pouze údaje pravdivé, což implikuje požadavek k uchovávání pouze údajů, jejichž pravdivost je možno objektivním zkoumáním prokázat.

    Jinými významnými údaji jsou zejména úvahy lékaře o možných diagnózách, které je třeba dalším zkoumáním potvrdit či vyvrátit, nebo o pravdivých skutečnostech, které se ve zdravotním stavu pacienta později mohou či nemusí projevit a o údaje doporučující povahy, neboť ty je zdravotnické zařízení povinno uchovávat podle Vyhlášky.

    Nachází-li se ve zdravotnické dokumentaci údaj, jehož pravdivost není možno prokázat, může se subjekt domáhat jeho výmazu podle GDPR nebo v širším kontextu jeho opravy podle Zákona, a případně se domáhat zdržení zásahu do osobnostních práv podle § 82 odst. 1 občanského zákoníku, jedná-li se o údaj hanlivé povahy.

    Sektorová úprava vedení zdravotnické dokumentace, úprava ochrany osobních údajů podle GDPR a právo na ochranu osobnosti se tedy navzájem doplňují a při posuzování konkrétního případu je třeba zohlednit všechny.

    Autor: Filip Glézl