Jak správně chránit soukromí pacientů: 8 kroků pro zdravotnická zařízení
Jména, diagnózy, výsledky vyšetření i poznámky z rozhovoru s pacientem. To všechno jsou citlivé údaje, se kterými musí zdravotnická zařízení zacházet obzvlášť opatrně. Na co si dát pozor, aby zpracování takových údajů probíhalo správně a v souladu se zákonem?
Jaké údaje pacientů je třeba chránit?
Pokud poskytujete zdravotní služby – třeba v nemocnici nebo ambulanci – jednou z vašich povinností je respektovat soukromí pacientů. To znamená pečlivě zacházet s jejich údaji tak, jak vyžadují platné zákony: zejména zákon o zdravotních službách, GDPR a zákon o zpracování osobních údajů.
Jak na ochranu údajů pacienta
Při nastavení ochrany údajů pacientů v souladu s předpisy můžete postupovat podle těchto kroků:
1. Zjistěte, jaké údaje o pacientech zpracováváte
Pravděpodobně půjde o jméno, rodné číslo, adresu, informace o zdravotní pojišťovně, diagnózu nebo průběh léčby. A taky třeba cokoli dalšího, co vám pacient řekne.
Důležité je si dobře zaznamenat, z jakého zdroje jste údaje pacienta získali (z rozhovoru, výsledků laboratorních testů apod.), v jakých systémech a archivech je ukládáte a jaké osoby (pracovníci, dodavatelé) k nim mají přístup.
2. Určete, na jakém právním základě údaje zpracováváte
Většinou to bude pro splnění smlouvy s pacientem a povinností stanovených v zákoně o zdravotních službách.
Ale jsou i jiné situace, kdy můžete údaje zpracovávat. Například pokud chráníte své oprávněné zájmy ve sporech s pacienty, nebo jste pacienta s jeho souhlasem zařadili do výzkumné studie, případně se má pacient zapojit do soutěže o ceny.
3. Minimalizujte množství údajů i přístupy k nim
Sbírejte jen ty údaje, které opravdu potřebujete k léčbě pacienta. Stejně tak je důležité, aby k nim měli přístup jen ti pracovníci, kteří je skutečně potřebují. Nemělo by se stát, že recepční uvidí třeba podrobnosti o pooperační kontrole.
Dejte si také pozor, kde tisknete nebo kopírujete lékařské zprávy či jiné dokumenty s citlivými údaji. Mohou zůstat uložené v tiskárně, v počítači nebo ve frontě na tisk, a pokud je někdo neoprávněný vytiskne, může to znamenat problém.
4. Zabezpečte systémy a fyzické prostředí
Bezpečnost vašich informačních systémů je klíčová. Počítače, servery a další zařízení, kde uchováváte údaje o pacientech, jsou často terčem útoků hackerů. Základní výbava by měla být firewall, antivirová ochrana, správná nastavení přístupů, šifrování dat, silná hesla a pravidelné zálohování. Pokud provozujete větší zařízení, musíte navíc dodržovat i zákonná pravidla kybernetické bezpečnosti.
Nezapomeňte ale i na papírovou dokumentaci – lékařské zprávy by měly být uložené v uzamčených skříňkách nebo místnostech, kam mají přístup pouze povolané osoby. A při práci na počítači myslete na to, aby pacienti nebo jiní lidé (např. pracovníci úklidu) nesledovali obrazovku s citlivými údaji.
Hlídejte si taky, jak můžete informace o pacientech sdílet na dálku (e-mailem nebo telefonicky). Vhodným řešením může být zavedení kódů pro komunikaci, ke kterým bude mít přístup pouze pacient, případně jím zvolené osoby.
5. Pohlídejte si své dodavatele
K osobním údajům pacientů často přistupují i vaši dodavatelé – například provozovatelé zdravotnických informačních systémů. Nezapomeňte s nimi vždy uzavřít smlouvu o zpracování osobních údajů. Je to vaše povinnost vyplývající z GDPR a zákona o zpracování osobních údajů, za jejíž porušení vám hrozí pokuta. Zároveň tímto krokem budete mít své dodavatele a práci s údaji více pod kontrolou a zvýšíte tím bezpečnost těchto údajů.
6. Školte personál a nastavte jasná pravidla
Mnoho problémů s únikem nebo zneužitím dat vzniká z lidské chyby. Proto je dobré své zaměstnance pravidelně vzdělávat i v ochraně osobních údajů.
Pořádejte školení, dejte jim k dispozici jednoduché a srozumitelné interní návody a pravidla, jak mají s údaji o pacientech zacházet.
Sepište si také jasná pravidla pro práci se zdravotnickou dokumentací a opatření, která máte zavedená na ochranu těchto údajů. Je to vaše zákonná povinnost podle zákona o zdravotních službách.
Vaši zaměstnanci by měli také přesně vědět, kdo a za jakých podmínek může získat přístup k údajům, jak informovat pacienty o zpracování jejich dat a samozřejmě, jak dodržovat zákonnou povinnost mlčenlivosti.
7. Srozumitelně informujte pacienty
Pacienti mají právo vědět, jak s jejich údaji nakládáte. Připravte proto jednoduché a jasné informace o tom, jak osobní údaje zpracováváte a jaká práva pacienti mají.
Nejlepší je mít tyto informace dostupné na vašem webu. A pokud chcete jít ještě dál, mějte je i vytištěné na recepci nebo u sestry, aby je pacienti mohli snadno najít a přečíst si je.
8. Připravte si plán pro řešení bezpečnostních incidentů
Co uděláte, pokud omylem ztratíte údaje pacienta, pošlete je špatné osobě, nebo se stanete obětí krádeže dat?
Nečekejte, až se něco stane. Raději si předem stanovte jasný postup. Kdo má takový incident řešit, jak ho hlásit a kdy a jak informovat pacienta, Úřad pro ochranu osobních údajů nebo Národní úřad pro kybernetickou a informační bezpečnost.
Dobrý plán vám pomůže rychle a správně reagovat, což může zabránit větším škodám a zbytečným problémům.
Ověřte si, zda soukromí pacientů dostatečné chráníte
Možná si říkáte, že postupy na ochranu soukromí pacientů jste nastavovali pár let zpátky, a tak není co řešit. Jste si ale jistí, že postupy stále fungují? Situace se může rychle měnit. Přicházejí noví zaměstnanci, mění se technologie, objevují se nové kybernetické hrozby i nové zákonné požadavky, například jako nyní v oblasti kybernetické bezpečnosti.
Proto doporučujeme si pravidelně, ideálně alespoň jednou ročně, prověřit, zda jsou vaše postupy stále aktuální a dostatečné. To vám pomůže odhalit případné slabiny dřív, než se z nich stanou větší problémy.
Nebojte se proto čas od času udělat krok zpět a zkontrolovat, že je ochrana soukromí pacientů u vás stále na vysoké úrovni.
Pokud si chcete ověřit, jestli postupujete správně v některých pro vás běžných situacích, přečtěte si druhý díl naší série o ochraně soukromí pacientů, která vyjde na našem blogu v lednu.
Kde hledat více informací
- zákon č. 372/2011 Sb., o zdravotních službách
- zákon č. 110/2019 Sb., o zpracování osobních údajů
- nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
- zákon č. 264/2025 Sb., o kybernetické bezpečnosti
Další články
5 otázek pro Petra Kohouta: Jak AI mění pravidla veřejných zakázek?
Mgr. Petr Kohout, LL.M. není typický úředník. Jako vedoucí právního oddělení Krajského úřadu Středočeského kraje má na starosti mimo jiné metodiku veřejných zakázek – a zároveň patří k nejhlasitějším propagátorům umělé inteligence ve veřejné správě v Česku. Dvakrát po sobě získal titul Osobnost AI v kategorii veřejná správa, stojí u zrodu Platformy pro AI ve veřejné správě a je spoluautorem e-booku Nástroje AI ve veřejné správě. Na Kongresu Právní prostor 2026, který se konal 28.-29. dubna 2026, vystoupil s příspěvkem „Umělá inteligence ve veřejných zakázkách".
Kdy musí management začít řešit úpadek společnosti?
Turbulentní ekonomické prostředí posledních let přináší otázku, kterou si dnes klade stále více podnikatelů i manažerů: Kdy už je situace firmy natolik vážná, že management musí začít řešit hrozící úpadek?
Investování pod dohledem: Jak regulace formuje crowdfunding úvěrů
Rozvoj investičních platforem přináší vedle nových příležitostí i otázky právní odpovědnosti, regulace a ochrany investorů. V tomto rozhovoru jsme se s Lukášem Hartlem, novým CEO a jednatelem platformy CreditShare, bavili o tom, jak fungují klíčové kontrolní mechanismy, kde vznikají rizika a jakou roli hraje dohled při budování důvěry v tento typ investování.
Kryptoměny a realitní úschova v roce 2026: Legislativní limity tokenizovaných transakcí a smart kontraktů
Vstup kryptoaktiv do hlavního proudu realitního trhu v roce 2026 již není pouhou technologickou kuriozitou, ale pragmatickou výzvou pro právní praxi.
Kongres Právní prostor 2026: legislativní změny, AI a justiční blok
Kongres Právní prostor se dočkal již svého 14. ročníku. V Seči u Chrudimi se sešlo přes 150 účastníků a 16 přednášejících, aby se věnovali tématům, která aktuálně hýbou světem práva – od legislativních změn přes AI až po aktuální otázky justice.
.webp)
