Osobní údaje pacientů spadají bezesporu do kategorie citlivých. Jejich ochrana by proto měla vždy splňovat ta nejpřísnější kritéria. Přesto stále dochází k situacím, kdy právě ke zdravotní dokumentaci pacientů mohou přistupovat či ji dokonce pozměňovat neoprávněné osoby, což samozřejmě znamená pregnantní porušení povinností správce těchto údajů.

Nejnověji na problém se zabezpečením upozornil Úřad pro ochranu osobních údajů ve zprávě o kontrole, kterou na základě podnětu realizoval v Nemocnici Tábor. Potenciální problémy s ochranou tohoto typu osobních údajů se ovšem nemusí týkat pouze zdravotnických zařízení. S informacemi o zdraví totiž pracují i jiné instituce - například školy a školky.

Konkrétním předmětem podnětu přitom nebylo zásadní narušení bezpečnosti. Nemocnice se totiž prohřešku dopustila tím, že zpřístupnila e-mailové adresy pacientů neoprávněným osobám a bez souhlasu subjektů údajů využila tyto kontakty při rozesílání různých nabídek.

Nemocnice Tábor je poskytovatelem zdravotních služeb ve smyslu § 2 odst. 1 zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování, a na základě tohoto zákona tedy vede zdravotnickou dokumentaci pacientů. Předmětem kontroly bylo podezření z možného nahlížení do elektronické zdravotnické dokumentace pacientky a pozměňování jejího obsahu neoprávněnými osobami. Kontrolující se proto při kontrole zaměřili zejména na posouzení úrovně zabezpečení osobních údajů (fyzické zabezpečení, zabezpečení elektronické zdravotní dokumentace), technicko-organizačních opatření k zajištění ochrany osobních údajů, logování, kontrolních mechanismů a školení zaměstnanců.

Ve vztahu ke kontrole povinností dle zákona č. 480/2004 Sb. Úřad zjistil, že nemocnice svým jednáním porušila povinnosti stanovené v § 7 odst. 2 tohoto zákona, tedy využít podrobnosti elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas. Nemocnice porušila také § 7 odst. 4 písm. a) a b) zákona č. 480/2004 Sb., neboť šířená obchodní sdělení nebyla zřetelně a jasně jako obchodní sdělení označena a neobsahovala identifikaci odesílatele. Úřad dále zjistil, že kontrolovaná osoba porušila také § 7 odst. 4 písm. c) zákona č. 480/2004 Sb., neboť obchodní sdělení byla zaslána bez platné adresy, na kterou by mohl adresát přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu byly obchodní informace odesílatelem nadále zasílány.

V návaznosti na kontrolní zjištění Úřad zahájil správní řízení s fyzickou osobou, která je v pozici správce osobních údajů. Předmětem tohoto řízení je uložení nápravných opatření této fyzické osobě, spočívající v povinnosti provést výmaz osobních údajů stěžovatelů a osobních údajů, pro jejichž zpracování správci nesvědčí právní titul, uzavřít písemnou zpracovatelskou smlouvu a splnit informační povinnost vůči subjektům údajů.