Praha - Šest měsíců sbírá Státní ústav pro kontrolu léčiv citlivá data pacientů. Nezákonně. Vyplývá to ze zprávy Úřadu pro ochranu osobních údajů, který měl počínání ústavu prověřit.
Inspektoři svou zprávu předali ústavu včera. "V rámci kontroly Centrálního úložiště receptů bylo zjištěno, že SÚKL koná nad rámec pravomocí ukládaných mu zákonem a v rozporu se zákonem o ochraně osobních údajů," zní verdikt, který má deník Aktuálně.cz k dispozici.
Státní ústav pro kontrolu léčiv má do konce srpna možnost podat případné námitky k výsledkům kontroly. Do doby, než to udělá, se odmítl vyjádřit.
"Z důvodu následných konzultací a s ohledem na možnost podání námitek proti protokolu prozatím nebudeme poskytovat bližší informace, které by tak mohly být zavádějící. Nebudeme se vyjadřovat až do okamžiku pravomocného ukončení kontrolního řízení," řekla mluvčí ústavu Veronika Petláková.
Ředitel Martin Beneš ale doposud jakékoliv pochybení odmítal. "Data z úložiště budeme využívat k plnění své zákonné povinnosti ve striktně anonymizované podobě," bránil se Beneš.
Místo papírového receptu esemeska
Na přelomu loňského a letošního roku zřídil Státní ústav pro kontrolu léčiv (SÚKL) takzvané "centrální úložiště dat". Tedy místo, kde se mají digitálně shromažďovat citlivé údaje všech lidí. Napojeno je na internet.
Centrální úložiště dat
Centrální úložiště dat:
- Provoz úložiště byl zahájen 31. 12. 2008
- V lednu se začaly připojovat lékárny
- Sběr dat SÚKL zahájil v květnu 2009
- Připojeno je prozatím kolem poloviny lékáren z celkových 2606
- Kolik je připojeno lékařů, SÚKL neví
- Na systému se podílí 3 soukromé firmy - Netprosys, Telefónica O2 a Aquasoft.
Které údaje se sbírají:
- Číslo pojištěnce (rodné číslo nebo datum narození a jméno), kód léku, množství léku, cena původce, úhrada od pojišťovny, šarže přípravku, identifikační číslo lékaře, který lék předepsal, identifikační číslo lékárny.
Výdaje na provoz:
- Dosavadní náklady na vznik úložiště činily 83 milionů Kč.
- Dalších 90 milionů bude stát roční provoz.
- SÚKL předpokládá miliardové úspory.
- Co říká zákon o ochraně osobních údajů:
To, že má úložiště vzniknout, stanovil SÚKLu zákonodárce. Původně ovšem z úplně jiného důvodu - kvůli elektronickým receptům. Ty měly od letošního roku sloužit pacientům, kteří užívají některé léky dlouhodobě.
V plánu bylo, že lidé nebudou muset pro každý recept do ordinace, ale že jim bude moct lékař poslat na mobil elektronickou podobu receptu - jedinečný kód. S tím by pak pacient zašel do lékárny a nadiktoval ho lékárníkovi. V elektronickém systému už by byl pro něj pod kódem nachystaný lék.
Kompletní přehled o každé pilulce
Elektronické recepty SÚKL nezprovoznil. Místo toho se ale rozhodl využít úložiště jinak - přikázal lékárnám, že do něj musí posílat veškeré údaje z receptů obyčejných.
Putují tam rodná čísla pacientů a kódy jejich léků. Nechybí údaje o lékařích a lékárnících, kteří lék předepsali a vydali.
Další data sbírá SÚKL při prodeji léků na bolest a proti chřipce. To znamená těch, které obsahují pseudoefedrin. Patří sem například Modafen, Nurofen stop grip, Panadol plus grip či Paralen plus. Tyto léky už od dubna nejsou k dostání volně, ale jen na občanku či kartičku pojištěnce.
Právník: Sběr je nezákonný
Vzniklo tak místo, kde se shromažďují veškerá data pacientů včetně těch nejcitlivějších.
Ten, kdo by údaje uviděl, by věděl o každé pilulce, kterou pacient spolkl. Znal by jeho choroby i to, kdo mu léky předepisuje. Přesně by věděl, kolik peněz pacient za léky zaplatí.
Všechno se přitom dělo bez souhlasu pacientů. A také bez požehnání Úřadu pro ochranu osobních údajů.
"Žádný podobný sběr dat SÚKL dělat nesmí. Využití centrálního úložiště pro jiné účely, než je výdej léků na elektronické recepty, je nezákonné," upozornil právník České lékárnické komory Jaroslav Maršík.
Zákon podle něj obsahuje přesnou definici centrálního registru i jeho úkol. O sběru osobních údajů pacientů v něm není ani zmínka. "Nic na tom nezmění ani ustanovení, které si SÚKL často bere při argumentaci na pomoc, tedy že pokud se k němu dostanou citlivé údaje, má je podle zákona chránit," dodává Maršík.
SÚKL smí sbírat jen data o spotřebě léků, nikoliv o pacientech.
Dopis lékárnám
To, že na sběru dat není něco v pořádku, podle něj dokazují i dopisy, které lékárny dostaly dva týdny nato, co začal centrální úložiště prověřovat Úřad na ochranu osobních údajů. Kontrolu úřad zahájil právě na podnět lékárnické komory.
"V tomto dopise SÚKL lékárny vyzývá, aby podepsaly prohlášení, že samy žádají o přístup a podepisují čestné prohlášení, že jsou si vědomy, že budou data zpracována," přiblížil obsah dopisu šéf České lékárnické komory Stanislav Havlíček.
Každý, kdo chce sbírat osobní údaje, a nemá k tomu zákonné pověření, totiž musí podle Maršíka požádat o souhlas lidí, jejichž data se sbírají. V tomto případě lékařů, lékárníků a pacientů. Musí se také ohlásit na Úřadu pro ochranu osobních údajů.
Pacient musí souhlasit
Nad sběrem dat se pozastavila i právnička Monika Bakešová. "S čím nemohu souhlasit, je předávání citlivých osobních údajů pacientů bez zákonného podkladu," říká.
Pokud chce SÚKL data sbírat, musí podle ní nejdříve získat výslovný souhlas pacienta. Totéž platí i pro prodej léků s pseudoefedrinem - lékárník smí nahlížet do listu pacienta a kontrolovat množství spotřebovaných léků s omezením jen tehdy, dá-li mu pacient souhlas.
Úřad pro ochranu osobních údajů, který má na dodržování tohoto ustanovení zákona dohlížet, souhlasí. Po několika měsících prověřování vydal zprávu. Státní ústav pro kontrolu léčiv podle ní překročil zákon.
SÚKL: Data potřebujeme
Ředitel ústavu Martin Beneš už dříve poslal deníku Aktuálně.cz toto: "SÚKL bude data z úložiště ve striktně anonymizované podobě využívat k plnění své zákonné povinnosti, vytváření analýz spotřeb léčiv v České republice jako podkladu pro optimalizaci lékové politiky."
Kromě tohoto vysvětlení, k čemu data SÚKLu slouží, bude podle Beneše moci data použít k ochraně zdraví občanů v případě, že v rámci svých aktivit zjistí závažné riziko užívání určitého přípravku.
Pomoc v konkurenčním boji
Do úložiště se každý den zapíše na dvě stě tisíc nových údajů.
Podle odborníků by se data například v případě krádeže dala zneužít: stála by o ně každá farmaceutická firma; ke konkurenčnímu boji by je dokázaly využít i zdravotní pojišťovny.
"Pokud by se data dostala některé ze zdravotních pojišťoven, mohla by provádět selektivní nábor mezi klienty. Mohla by to dokonce i prodávat dalším ekonomickým subjektům. Jako každá ukradená data se to dá zneužít a dá se to zneužít velmi," říká šéf Svazu zdravotních pojišťoven Ladislav Friedrich.
Nyní má každá pojišťovna k dispozici jen údaje svých vlastních klientů, k datům lidí z konkurenčních pojišťoven se nedostane.
Ministerstvo: Bude diskuze
Jaké kroky podnikne, už proto zvažuje i ministerstvo zdravotnictví.
"Rozhodně nebere rozhodnutí Úřadu pro ochranu osobních údajů na lehkou váhu. Víme, že rozhodnutí ještě není pravomocno a SÚKL se proti němu bude odvolávat. Ministerstvo však rozhodně nechce čekat až na výsledek odvolání, ale bude iniciovat revizi a diskusi nad celou procedurou, například výši ochrany, nebo souhlasu pacienta," řekl deníku Aktuálně.cz mluvčí ministerstva Vlastimil Sršeň.
