dnes je 21.11.2024

Input:

K některým specifickým problémům aplikace GDPR v sociálních službách

14.5.2018, , Zdroj: Verlag Dashöfer

2.73
K některým specifickým problémům aplikace GDPR v sociálních službách

JUDr. Karel Zuska, AK Holec, Zuska a partneři

Problematice zajištění souladu s nařízením GDPR u poskytovatelů sociálních služeb jsme se věnovali v článku GDPR a rizika ochrany osobních údajů v sociálních službách. V tomto článku se zaměříme na některé specifické otázky, které jsou s aplikací GDPR spojeny a které poskytovatelé sociálních služeb v praxi řeší.

Zpracování údajů o zdravotním stavu klienta

V praxi poskytovatelů sociálních služeb vzniká otázka, zda a na základě jakého právního titulu jsou oprávněni zpracovávat údaje o zdravotním stavu klientů. GDPR vychází obecně z požadavku zákonnosti zpracování osobních údajů. Ten je zajištěn zejména tím, že správce osobních údajů má ke zpracování konkrétního osobního údaje řádný právní titul.

Obecný přístup GDPR je takový, že vyžadovat souhlas subjektu údajů (klienta) se zpracováním jeho osobních údajů je nezbytné pouze tehdy, pokud správce (poskytovatel sociálních služeb) nemá k dispozici žádný jiný vhodný právní titul. Je-li vedení záznamu o zdravotním stavu klienta nezbytné pro poskytování dané sociální služby, je zpracování zdravotních údajů coby citlivých údajů kryto právním titulem podle čl. 9 odst. 2 písm. h) GDPR. Je však potřeba zajistit, aby citlivé údaje o zdravotním stavu klienta byly zpracovávány pouze v nezbytném rozsahu ve vztahu k účelu zpracování, tj. i s ohledem na charakter a povahu poskytované péče, tedy v rozsahu, který pečovatelé opravdu potřebují ke své práci. Tento princip minimalizace údajů (zpracování pouze v nezbytném rozsahu) pak platí obecně pro jakékoliv zpracování osobních údajů. Při využití právního titulu podle čl. 9 odst. 2 písm. h) GDPR je potřeba zajistit, aby citlivé údaje o zdravotním stavu klientů byly zpracovávány osobou vázanou povinností mlčenlivosti nebo na odpovědnost takové osoby (viz čl. 9 odst. 3 GDPR). Tuto podmínku by však nemělo být obtížné naplnit, neboť ze zákona (o sociálních službách) jsou povinností mlčenlivosti o klientech vázáni mj. zaměstnanci poskytovatelů sociálních služeb a např. i dobrovolníci.

Poskytování informací o osobních údajích získaných od třetích osob

Sociální služby jsou svojí povahou velmi citlivé a dotýkají se základních ústavních práv a svobod klientů, jejich rodinných příslušníků, partnerů apod. Poskytovatelé sociálních služeb proto řeší otázku, jak se postavit k informační povinnosti definované v článcích 14 a 15 GDPR, v jejímž rámci má být subjekt údajů informován mj. o zpracování jeho osobních údajů získaných od třetích osob; sdělení takových informací o subjektu údajů může mít negativní dopad na poskytovanou službu (např. nízkoprahová zařízení, azylové domy apod.).

Obecně platí, že subjektu údajů se poskytují pouze informace a osobní údaje, které se týkají výlučně jeho (nikoliv jiné osoby). Povinnost informovat subjekt údajů o zpracovávaných osobních údajích, které o něm byly získány od třetí osoby (bez žádosti subjektu údajů podle čl. 14 GDPR nebo na jeho žádost podle čl. 15 GDPR), je formulována jako povinnost poskytnout obecnou informaci o „kategorii” získaných osobních údajů, nikoliv o konkrétním osobním údaji. Navíc podle čl. 14 odst. 5 platí, že informační povinnost podle čl. 14 GDPR (povinnost informovat bez žádosti subjektu údajů) nevzniká, pokud osobní údaje musejí zůstat důvěrné s ohledem na zákonem stanovenou povinnost mlčenlivosti (tu mají např. zaměstnanci poskytovatelů sociálních služeb).

S daným tématem bezprostředně souvisí i otázka povinnosti poskytovat kopie zpracovávaných osobních údajů na žádost klienta ve smyslu čl. 15 odst. 3 GDPR. Zde platí, že kopie osobních údajů nesmí být poskytnuta, pokud by tím byly nepříznivě dotčeny práva a svobody jiných osob (čl. 15 odst. 4 GDPR).

Zveřejňování kontaktů na sociální pracovníky

Poskytovatelé sociálních služeb v zájmu maximální informovanosti o poskytované sociální službě na svých webových stránkách nebo v jiných informačních materiálech často zveřejňují kontaktní údaje o sociálních pracovnících. Je otázka, zda k tomu mají zákonný právní titul.

Obecně platí, že zveřejňování osobních údajů o zaměstnancích musí být odůvodněno legitimním účelem a podloženo některým právním titulem (čl. 6 nebo čl. 9 GDPR), musí být nezbytné a přiměřené ve vztahu k vymezenému účelu. Zveřejňování profesně zaměřených osobních údajů sociálních pracovníků v kontextu poskytování konkrétních sociálních služeb (jména, pracovní pozice, pracovní kontaktní údaje) v nezbytném a přiměřeném rozsahu lze za účelem efektivního fungování organizace, její propagace a otevřenosti založit na právním titulu „oprávněných zájmů správce” podle čl. 6 odst. 1 písm. f) GDPR. U větších organizací v řadách poskytovatelů sociálních služeb půjde zpravidla o kontakty na vedoucí pracovníky, u menších poskytovatelů se pak může jednat i o kontakty na „řadové” zaměstnance na příslušných pozicích. Poskytovatel sociálních služeb by však s ohledem na zásadu přiměřenosti měl zvážit, zde je nutno veškeré kontaktní údaje obecně zpřístupňovat na webových stránkách, nebo zda je

Nahrávám...
Nahrávám...