Zveřejňujeme analýzu Národního zdravotního informačního systému (NZIS)

V padesátistránkové studii jsme zmapovali NZIS. Jaké problémy jsme identifikovali?

Národní zdravotnický informační systém představuje soubor různých zdravotnických registrů, které obsahují data o našem zdraví, ale i řadu dalších osobních údajů, zpravidla velmi citlivého charakteru. Některé registry fungují desítky let, jiné jsou poměrně nové. Tomu odpovídá i poměrně nesourodá podoba jejich fungování i právní úpravy, která je reguluje.

Fungování NZIS se již dvakrát věnoval i ústavní soud, který rozhodoval o návrhu zákonodárců na zrušení částí zákonů upravujících NZIS zejména pro přílišný zásah do našeho soukromí. Ústavní soud návrhům nevyhověl, ale nikdy se nepustil do podrobnějšího a velmi pracného proniknutí do struktury NZIS a jeho jednotlivých registrů. Udělali jsem to tedy za něj a pokusili jsme se podrobně zmapovat NZIS a jeho komponenty. Využili jsme k tomu vedle dostupných dat i řadu informací získaných na základě oprávnění dle GDPR a zákona o svobodném přístupu k informacím.

Vedle popisu jednotlivých registrů a uvedení údajů, které jsou v nich shromažďovány, jsme se pak zaměřili na identifikaci problémů celého systému i načrtnutí možností litigací (tedy soudních či správních řízení), které by tyto problémy mohly do budoucna pomoci vyřešit.

První část naší analýzy, tedy zmapování NZIS a identifikaci jeho problémů, které zatím nebyly předmětem posuzování ústavním soudem, jsme se rozhodli dát k dispozici všem. Ostatně jsme to my všichni, jejichž data jsou v registrech uložena.

Jaké problémy jsme identifikovali?

Při hodnocení jsme odhlédli od samotné klíčové otázky, jestli by registry s povinným ukládáním dat v podobě osobních údajů měly být centrálně vedeny. Jde o otázku, na níž již odpověděl ústavní soud. Ačkoli s tímto rozhodnutím názorově nesouzníme, tak ho respektujeme. Soustředili jsme se tak na otázky, které ústavní soud neposuzoval, a zde jsme identifikovali tyto problémy:

  • Změny provedené v registrech od posledního ústavněprávního přezkumu, tj. Od 10. 11. 2020 (vydání nálezu) a jejich dopad na možnou změnu náhledu ústavního soudu na NZIS

Zejména se jedná o data, která začala být zpracovávána v době pandemie covid-19 jako jsou kontaktní údaje telefon nebo e-mail, případně číslo identifikačního průkazu, které jsou propojitelné s dalšími údaji v registru.

  • Nedostatečná právní regulace zpracování osobních údajů v některých registrech

Zde jsme zjistili řadu nedostatků zejména v právní regulaci registrů, které jsou součástí NZIS, ale jsou vedeny podle transplantačního zákona. U těchto registrů reálný stav neodpovídá právní regulaci, kdy existují registry, které zákon nepředpokládá, a naopak zákonem předpokládané registry neexistují.

Druhou skupinou je pak Informační systém infekčních nemocí, registr, který se rozvíjel v době pandemie Covid-19 a obsahuje velmi citlivé údaje propojené s osobou rodným číslem. Pro uchovávání některých údajů (e-mail, telefon, číslo identifikačního průkazu) zcela chybí právní základ, uchovávání jiných je pak řešeno pouze podzákonným právním předpisem, což odporuje tomu, že by měly být meze základních práv vymezeny v zákoně.

  • Nadbytečné údaje s ohledem na účel v některých registrech

Vyhodnotili jsme napříč registry údaje, které vzhledem k účelům považujeme za nadbytečné. Jedná se například o údaje o jménu či trvalém pobytu napříč registry, v dílčích registrech pak například o údaje o dosaženém vzdělání, o osobách, které způsobily úraz, o tom, jestli je pacient bezdomovcem, či o datu narození u uživatelů návykových látek.

  • Vazba na rodná čísla

Ve většině registrů jsou v současnosti využívána rodná čísla, která jsou jednoznačným identifikátorem napříč různými státními i soukromými registry. Proklamovaným důvodem je zejména nutnost propojení jednotlivých záznamů v NZIS. Tomu ale mnohem lépe odpovídá zavedení jednotného identifikátoru výhradně pro použití v rámci NZIS (tzv. NZIS-AIFO), který je v současnosti již ve třech registrech využíván. Argumentem proti užívání rodných čísel, ale i jiných pseudonymů, byť jejich užití ústavní soud označil za nezbytné, je pak zpracování dat cizinců nebo vybraných pracovníků bezpečnostních složek, kteří nefigurují v registrech pod jedinečnými identifikátory vůbec.

  • Dlouhá doba uchovávání údajů

Údaje jsou uchovávány příliš dlouhou dobu a to i u osob zemřelých mnoho let po jejich smrti, kdy již je logicky datový tok do registrů uzavřen a není tak důvod data uchovávat v podobě, která umožňuje jejich propojení na identifikovatelnou osobu.

  • Chybějící DPIA (Posouzení vlivu na ochranu osobních údajů)

Provedení DPIA není podle české legislativy nutné v případě zpracování, které vyplývá z právního předpisu. V takovém případě by nicméně měly být zhodnoceny dopady na soukromí obdobně jako je tomu v DPIA v rámci připravované legislativy, ať už ve zprávě RIA nebo v důvodové zprávě. V daném případě toto dostatečné zhodnocení chybí. To může vést k porušení GDPR, ale i k nutnosti, aby jednotliví správci vkládající data do registru sami zpracovávali DPIA, což v současnosti nečiní.

Na naši analýzu navazuje návrh možných litigačních řešení. Ten si prozatím necháváme pro sebe, ale slibujeme, že brzy přistoupíme k prvním krokům, které věříme povedou k zvýšení ochrany osobních údajů při provozu NZIS.