Vyjádření Úřadu pro ochranu osobních údajů k článku „Národní databáze genotypů – etické a právní aspekty“

Na úvod je nutné upozornit, že Úřad pro ochranu osobních údajů se k tezím vysloveným v tomto článku může vyjadřovat jen z pohledu své působnosti, tedy z pohledu dozorového orgánu v oblasti ochrany osobních údajů. K těmto právním aspektům článku lze ve stručnosti uvést následující:

Úřad v zásadě souhlasí s právním hodnocením projektu Národní databáze genotypů tak, jak je v článku provedeno. Projekt počítá s nezbytným zpracováním osobních i citlivých údajů ve smyslu Zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, a proto je na něj nezbytné aplikovat všechny povinnosti z tohoto zákona vyplývající.

Bez znalosti detailních informací o Národní databázi genotypů lze v tuto chvíli pouze uvést několik důležitých bodů či otázek, na které by mělo být před započetím jejího budování kvalifikovaně odpovězeno, přičemž tyto odpovědi nejsou z daného článku zcela patrné:

1. Kdo bude zřizovatelem databáze, kdo ji bude fyzicky spravovat, zajišťovat a odpovídat za její provoz? Kdo tedy bude, dikcí zákona o ochraně osobních údajů, v tomto případě správcem?
   
   Dlužno dodat, že povinnosti stanovené zákonem o ochraně osobních údajů dopadají v prvé řadě právě na správce osobních údajů, který určuje účel a prostředky zpracování osobních údajů, zpracování také obvykle provádí a odpovídá za něj. Pokud by se jednalo o osobu veřejného práva, např. subjekt zřízený Ministerstvem zdravotnictví ČR nebo toto ministerstvo samo, potom by zmocnění k provozování databáze muselo být výslovně uvedeno v právním předpise.
2. V jakém postavení budou jednotlivá zdravotnická zařízení?
   
   Pokud budou informace z databáze pouze přijímat a využívat, potom budou ve vztahu k tomuto zpracování v postavení příjemců osobních údajů. V tomto případě je nezbytné zdůraznit především povinnost mlčenlivosti, která je zakotvena i ve zvláštních právních předpisech, a povinnost zabezpečení zpracovávaných osobních a citlivých údajů.
   
   Ta zdravotnická zařízení, která budou do databáze údaje i vkládat, tedy od pacientů získávat a následně předávat správci pro potřeby vedení databáze, budou v postavení zpracovatelů osobních údajů. Na zpracovatele doléhají povinnosti stanovené zákonem o ochraně osobních údajů obdobným způsobem. Dle § 6 tohoto zákona mají však zpracovatelé navíc, pokud pověření ke zpracování nevyplývá ze zvláštního zákona, povinnost uzavřít se správcem písemnou smlouvu, jejíž součástí mj. bude, v jakém rozsahu, za jakým účelem dochází ke zpracování osobních údajů a na jakou dobu se smlouva uzavírá. Smlouva musí rovněž obsahovat záruky zpracovatele, v tomto případě zdravotnického zařízení, o technickém a organizačním zabezpečení ochrany osobních údajů.
3. Dle článku má být právním titulem ke zpracováním osobních a citlivých údajů v databázi výslovný souhlas subjektu údajů. K tomu Úřad pro ochranu osobních údajů pouze upozorňuje na náležitosti souhlasu podle § 4 písm. n) a § 5 odst. 4 zákona o ochraně osobních údajů a obecné náležitosti právního úkonu podle občanského práva. Nezbytné je samozřejmě řádné a komplexní plnění informační povinnosti vůči subjektu údajů včetně informací o možném odvolání souhlasu a odstranění osobních a citlivých údajů z databáze.
4. Dalším důležitým aspektem je omezení či minimalizace přístupu do databáze jen pro nezbytný okruh nejen zdravotnických zařízení, ale v jejich rámci i pro nezbytný okruh zaměstnanců. Má-li být databáze provozována on-line s možností neustálého přístupu, potom je nezbytné stanovení konkrétních osob, které do ní mohou mít jako jediné přístup. Nutné je rovněž kvalifikovaně posoudit, kolik těchto osob bude, a nezbytnost jejich práva na přístup do databáze rovněž relevantně zdůvodnit, stejně jako přijmout mechanismus ke zbavení oprávnění přístupu ve chvíli, kdy původně oprávněná osoba např. přestane vykonávat určitou funkci atd.
5. Technické a softwarové zabezpečení nejen databáze samé, ale i přenosových kanálů a zařízení přijímajících zdravotnických zařízení, ve kterých budou informace z databáze zobrazovány či dále ukládány, je dalším klíčovým bodem.
   
   V této souvislosti Úřad pro ochranu osobních údajů odkazuje na poměrně konkrétní ustanovení § 13 zákona o ochraně osobních údajů. Dle něj bude nutné přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k informacím z databáze, ale ani k jejich neoprávněné změně, zničení, ztrátě, neoprávněným přenosům atd. Protože se má jednat o elektronickou databázi, je nezbytné plnit i povinnosti dle § 13 odst. 4 zákona o ochraně osobních údajů, tedy mj. zajistit logování uživatelů, aby bylo možné zajistit, že k údajům budou mít přístup pouze oprávněné osoby, a dále zajistit logování přístupů samotných tak, aby bylo možné určit a ověřit, kdy, kým a z jakého důvodu byly údaje v databázi zobrazeny nebo jinak zpracovány.

Mgr. František Nonnemann
vedoucí kanceláře náměstkyně předsedy
Úřad pro ochranu osobních údajů
pplk. Sochora 27, 170 00 raha 7
e-mail: frantisek.nonnemann@uoou.cz