Telemedicínské videokonzultace v ČR

Posted on 26. 3. 2026

Právní rámec, technické požadavky a praktické dopady na poskytovatele zdravotních služeb

Telemedicínská konzultace bývá ve veřejné, ale i odborné, debatě často redukována na jednoduchý videohovor mezi lékařem a pacientem. Takové zjednodušení je z právního i provozního hlediska nepřesné. Česká právní úprava po roce 2025 ukazuje, že poskytování zdravotních služeb na dálku je komplexním výsledkem souběhu několika vrstev regulace:

  • zdravotnického práva,
  • pravidel elektronizace zdravotnictví,
  • požadavků na ochranu osobních údajů,
  • kybernetické bezpečnosti
  • vedení zdravotnické dokumentace
  • vhodné komunikační platformy.

Více právně závazných vrstev celého systému dělá praktické zavedení telemedicíny podstatně složitějším, než se na první pohled zdá.

Základní právní východisko

Základním východiskem je § 11c zákona č. 372/2011 Sb., o zdravotních službách. Ten telemedicínské zdravotní služby vymezuje jako zdravotní služby poskytované na dálku za použití informačních a telekomunikačních technologií nebo zdravotnického prostředku. Současně stanovuje čtyři základní podmínky jejich zákonnosti:

  • musí být splněny technické požadavky na kvalitu a bezpečnost komunikace,
  • komunikační kanál musí být šifrovaný,
  • musí být zajištěno prokázání identity komunikujících stran
  • záznam komunikace může být pořizován pouze se souhlasem pacienta.

Samotný zákon tedy ukazuje, že telemedicína není volným prostorem pro libovolný způsob vzdálené komunikace, ale regulovanou formou poskytování zdravotní péče.

Na zákonný rámec bezprostředně navazuje vyhláška č. 30/2025 Sb., o telemedicínských zdravotních službách. Její význam je podstatný, ale je třeba jej chápat správně: nejde o předpis, který by samostatně a úplně vymezoval všechny technické nároky na telemedicínu. Vyhláška především stanoví, že technické požadavky na kvalitu a bezpečnost komunikace jsou pro poskytovatele závazně určovány standardy elektronického zdravotnictví podle zákona o elektronizaci zdravotnictví. Vedle toho upravuje způsob šifrování komunikačního kanálu, způsob prokazování identity pacienta a zdravotnického pracovníka a pravidla pro zjištění a zaznamenání souhlasu či nesouhlasu pacienta s nahráváním komunikace.

Proč samotná vyhláška nestačí

Z hlediska praxe je klíčové, že vyhlášku nelze číst izolovaně. Její text totiž sám odkazuje na standardy elektronického zdravotnictví, a právě ty konkretizují technické minimum, které musí být v praxi splněno. Tuto vazbu zajišťuje zákon č. 325/2021 Sb., o elektronizaci zdravotnictví, podle něhož ministerstvo standardy elektronického zdravotnictví stanovuje, vydává a zveřejňuje ve Věstníku Ministerstva zdravotnictví. Současně zákon umožňuje ministerstvu ukládat opatření k odstranění nedostatků při porušení povinnosti standardy dodržovat a výslovně stanoví, že jejich nedodržování je přestupkem poskytovatele zdravotních služeb. Standardy tedy nejsou pouhým metodickým doporučením, ale právně relevantní součástí regulatorního rámce.

Tady se ukazuje první zásadní praktický problém. Poskytovatel, který se chce pohybovat v souladu s právem, nestačí, aby posoudil jen text zákona a vyhlášky. Musí navíc pracovat s technickým standardem telemedicínských zdravotních služeb zveřejněným ve Věstníku MZ 4/2025.

Tento standard výslovně uvádí, že provozovatel, tedy poskytovatel zdravotních služeb, nese odpovědnost za to, aby použitá telemedicínská technologie byla s tímto standardem v souladu. Zároveň standard upozorňuje, že není určen pro technická řešení používaná čistě pro telefonické poskytování telemedicínských služeb ani pro některé samostatné softwarové aplikace bez datové komunikace s jinými informačními systémy. Už samotné správné určení, do jakého režimu konkrétní nástroj nebo platforma spadá, je tak samostatnou právně-technickou otázkou.

Co technický standard skutečně požaduje

Technický standard telemedicínských zdravotních služeb přesouvá regulaci z úrovně obecných principů do roviny konkrétních bezpečnostních a provozních nároků.

Požaduje, aby bezpečná interakce mezi pacientem a poskytovatelem vycházela z analýzy rizik a aby poskytovatel zavedl technická a organizační opatření odpovídající aktuálním technickým možnostem a identifikovaným rizikům. Standard zároveň vyžaduje pravidelné bezpečnostní audity a penetrační testování, a to při uvedení systému do provozu, při zavedení nových funkcí i preventivně jednou ročně. Z hlediska implementace to znamená, že telemedicínské řešení splňující regulatorní požadavky nemůže být chápáno jako jednorázově nasazená aplikace, ale jako průběžně řízený a testovaný systém.

Zásadní jsou i konkrétní kryptografické požadavky. Standard stanoví povinnost využívat end-to-end šifrování tak, aby šifrování probíhalo již na úrovni zařízení pacienta nebo pacientské brány a aby data byla po celou dobu přenosu čitelná pouze pro koncové zařízení poskytovatele zdravotních služeb. Pro lokální ukládání dat požaduje minimálně AES-256 a pro přenos dat přes internet TLS 1.3 nebo vyšší, včetně ochrany před odposlechem a útoky typu man-in-the-middle. Tato úroveň konkretizace je velmi významná: legislativní soulad již nelze stavět na obecném marketingovém tvrzení dodavatele, že platforma je bezpečná, ale musí být schopna prokázat splnění přesně vyjmenovaných parametrů.

Standard dále požaduje silnější řízení přístupu a auditovatelnost provozu. Ukládá poskytovateli, aby tam, kde je to možné, používal dvoufaktorovou autentizaci, aby přístup k citlivým datům měli pouze oprávnění uživatelé podle definovaných rolí v modelu RBAC, a aby byla zajištěna integrita dat minimálně pomocí SHA-256, digitálních podpisů a HMAC. Současně musí být vedeno centralizované logování přístupů a aktivit uživatelů, zařízení a aplikací; logy musí být chráněny, časově synchronizovány, auditovány a archivovány nejméně po dobu dvou let.

V praktickém provozu to znamená, že telemedicínská platforma musí být schopna nejen bezpečné komunikace, ale i zpětného doložení, kdo, kdy a jak s daty pracoval.

Další vrstvou jsou požadavky na API bezpečnost, správu šifrovacích klíčů a životní cyklus softwaru. Standard požaduje efektivní kontrolu přístupu k API, ochranu proti podezřelým či nadměrným požadavkům, dokumentaci pravidel typu rate limiting a firewallů a schopnost prokázat zachycené přístupy a blokace v logách. U šifrovacích klíčů požaduje bezpečné řešení jejich uložení a správy a používání bezpečnostních modulů, jako jsou Secure Enclave, TEE nebo TPM. Současně stanoví, že mají být používány pouze systémy a zařízení v podporovaném životním cyklu výrobce nebo aktivní open-source komunity a že po ukončení podpory má dojít k jejich nahrazení. Tím se telemedicínská videokonzultace dostává z roviny jednoduché komunikační služby do roviny dlouhodobě udržovaného bezpečnostního ekosystému.

Specifická náročnost videokomunikace

Zvláštní pozornost zasluhuje samotná videokomunikace. Vyhláška č. 30/2025 Sb. rozlišuje mezi telefonickým poskytováním telemedicínských služeb, kde je šifrování chápáno jako zajištěné operátorem komunikační sítě, a ostatními formami zvukového, obrazového či zvukově-obrazového přenosu, kde musí být použita služba elektronických komunikací zajišťující šifrování komunikačního kanálu aktivní po celou dobu poskytování služby. U telemonitoringu pak výslovně odkazuje na další podmínky stanovené standardem elektronického zdravotnictví. Diferenciace sama o sobě ukazuje, že mezi telefonickou konzultací, videokonzultací a plnohodnotnou telemedicínskou platformou existují významné právní rozdíly.

Technický standard jde u videa ještě dále: poskytovatel poskytující telemedicínu prostřednictvím video komunikace musí zajistit dodržování pravidel podle Bezpečnostního standardu pro videokonference NÚKIB, v aktuální verzi, a vedle toho implementovat technologie pro řízení šířky pásma, optimalizaci latence, prioritizaci provozu a monitorování výkonu sítě. Standard současně vyžaduje, aby při přenosu videa od pacienta k poskytovateli bylo využito odpovídající kódování a šifrování TLS 1.3 a aby data ukládaná během zpracování byla chráněna algoritmem AES-256. NÚKIB přitom svůj Bezpečnostní standard pro videokonference skutečně zveřejňuje v podpůrných materiálech jako aktuální verzi 1.1. V kontextu telemedicíny tak nejde o doporučující materiál, ale o dokument, na nějž technický standard Ministerstva zdravotnictví výslovně odkazuje.

Identita, nahrávání a zdravotnická dokumentace

Vedle čistě technických nároků ukládá právní úprava i procesní povinnosti. Vyhláška stanoví, že pacient prokazuje svou identitu buď předem domluveným způsobem, nebo prostřednictvím elektronické identifikace; zdravotnický pracovník analogicky předem domluveným způsobem nebo prostřednictvím informačního systému poskytovatele. Předem domluvený způsob musí být zaznamenán ve zdravotnické dokumentaci. Totéž platí pro souhlas či nesouhlas pacienta s nahráváním komunikace: poskytovatel jej musí před zahájením služby ověřit a provést o něm záznam ve zdravotnické dokumentaci. Telemedicína tedy není jen bezpečná komunikace, ale také dokumentačně správně zachycený proces.

Na tuto rovinu navazuje i technický standard, který požaduje, aby telemedicínská technologie umožňovala vytváření zpráv z telemedicínských relací, bezpečný přenos těchto zpráv a jednoznačné přiřazení dat ke konkrétnímu pacientovi a konkrétní relaci. Současně výslovně stanoví, že záznam o poskytnutí telemedicínské zdravotní služby musí být vyhotoven v souladu s vyhláškou č. 444/2024 Sb., o zdravotnické dokumentaci. Praktickým důsledkem je, že vhodná telemedicínská technologie nemá být jen komunikačním nástrojem, ale musí být schopna podpořit i správný dokumentační výstup.

Souvislost s ochranou osobních údajů a kybernetickou bezpečností

Na tuto rovinu navazuje i technický standard, který požaduje, aby telemedicínská technologie umožňovala vytváření zpráv z telemedicínských relací, bezpečný přenos těchto zpráv a jednoznačné přiřazení dat ke konkrétnímu pacientovi a konkrétní relaci. Současně výslovně stanoví, že záznam o poskytnutí telemedicínské zdravotní služby musí být vyhotoven v souladu s vyhláškou č. 444/2024 Sb., o zdravotnické dokumentaci. Praktickým důsledkem je, že vhodná telemedicínská technologie nemá být jen komunikačním nástrojem, ale musí být schopna podpořit i správný dokumentační výstup.

Souvislost s ochranou osobních údajů a kybernetickou bezpečností

Složitost regulatorního rámce ještě dále zvyšuje i to, že telemedicína je neoddělitelně spojena s ochranou osobních údajů a kybernetickou bezpečností. Technický standard výslovně požaduje používání bezvýznamové identifikace subjektů údajů tam, kde je to možné, a upozorňuje na nutnost posuzovat rizika zpracování osobních údajů v souladu s čl. 35 GDPR, včetně případného provedení DPIA při využití nových technologií. Vyhláška navíc u jiných komunikačních prostředků než telefonu, audiovizuálního přenosu a telemonitoringu výslovně vyžaduje soulad jak s pravidly ochrany osobních údajů, tak s požadavky na kybernetickou bezpečnost.

V této souvislosti je důležité připomenout, že původní odkaz vyhlášky směřoval na dřívější zákon o kybernetické bezpečnosti, avšak aktuálně je tato oblast upravena zákonem č. 264/2025 Sb., o kybernetické bezpečnosti, účinným od 1. listopadu 2025. Poskytovatelé proto musí telemedicínské služby posuzovat nejen optikou zdravotnické legislativy, ale i optikou aktuálních požadavků kybernetické bezpečnosti. To dále zvyšuje nároky na právní i technické posouzení konkrétního řešení.

Závěr

Současný český rámec telemedicíny potvrzuje, že legislativní soulad nemůžeme zúžit na otázku, jestli je použita bezpečná aplikace.

Poskytovatel musí pracovat s několika navazujícími předpisy a standardy současně: se zákonem o zdravotních službách, vyhláškou č. 30/2025 Sb., zákonem o elektronizaci zdravotnictví, technickým standardem telemedicínských zdravotních služeb, pravidly zdravotnické dokumentace a současně i s právem ochrany osobních údajů a kybernetické bezpečnosti.

V praktickém důsledku to znamená, že zavedení telemedicíny je nejen organizační a ekonomickou otázkou, ale i úkolem právního a bezpečnostního řízení. Hlavní bariérou tak dnes často není nedostatek technologií, ale obtížnost prokazatelného splnění všech povinností, které český regulatorní rámec s poskytováním zdravotních služeb na dálku spojuje.

Tereza Ettlerová – Pokud pracujete na projektu nebo v pracovní skupině, kde se telemedicína řeší z pohledu reálné klinické praxe a kde může moje expertíza přinést přidanou hodnotu, pojďme se propojit.

Email: tereza.ettlerova@gmail.com

Použité prameny

  • Zákon č. 372/2011 Sb., o zdravotních službách
  • Vyhláška č. 30/2025 Sb., o telemedicínských zdravotních službách
  • Zákon č. 325/2021 Sb., o elektronizaci zdravotnictví
  • Věstník MZ ČR 4/2025 – Technický standard telemedicínských zdravotních služeb
  • Vyhláška č. 444/2024 Sb., o zdravotnické dokumentaci
  • Podpůrné materiály NÚKIB k videokonferencím, verze 1.1
  • Zákon č. 264/2025 Sb., o kybernetické bezpečnosti
  • Zákon č. 250/2017 Sb., o elektronické identifikaci
  • Nařízení (EU) 2016/679 (GDPR); zákon č. 110/2019 Sb., o zpracování osobních údajů

VÍTEJTE
Vítejte na blog magazínu Digital Health, kde se zaměřujeme na digitální inovace v oblasti zdravotnictví. Sdílíme novinky, rozhovory, trendy a události týkající se telemedicíny, umělé inteligence ve zdravotnictví a dalších digitálních nástrojů.

O NÁS
Cílem našeho blogu je podělit se se čtenáři o informace z transformace zdravotní péče pomocí moderních technologií. Přidejte se k nám, abyste objevili, jak digitální revoluce mění budoucnost zdravotnictví a zlepšuje péči o naše zdraví.

KONTAKTY
Petr Moláček
petr.molacek(at)digitalhealth.cz

Martin Doležal
martin.dolezal(at)digitalhealth.cz

©2024 digitalhealth.cz