OSNOVNI ZAHTJEVI KOJE ZDRAVSTVENIM ORGANIZACIJAMA KAO VODITELJIMA OBRADE PODATAKA POSTAVLJA OPĆA UREDBA O ZAŠTITI PODATAKA

1. Odgovornost organizacije za ustanovljavanje efikasnog programa usklađenosti

Ovaj zahtjev podrazumijeva da svaka zdravstvena organizacija mora ustanoviti djelotvoran sustav interne kontrole usklađenosti s Općom uredbom, kojim će odrediti:
-tko su odgovorne osobe organizacije za razvijanje i implementaciju programa usklađenosti;
– redovito izvršavanje takozvane GAP analize usklađenosti organizacije i redovito postupanje u skladu s rezultatima izvršene analize;
– vremenski plan implementacije programa usklađenosti;
– obvezu redovitog upoznavanja rukovoditelja i upravnih tijela organizacije sa statusom usklađenosti i svim bitnim događajima iz područja usklađenosti s Uredbom;
– obvezu redovitog upoznavanja svih zaposlenika i suradnika organizacije sa statusom usklađenosti i svim bitnim događajima iz područja usklađenosti s Uredbom.
Ovaj zahtjev se najčešće pogrešno shvaća isključivo kao obveza samo formalnog usvajanja internih pravnih akata organizacije (primjerice Pravilnika o zaštiti podataka) međutim ono što se traži nije samo formalno usvajanje pravila, već njihova implementacija u sve procese organizacije i efikasno pridržavanje usvojenih pravila, što je puno teži dio postupka, ali istovremeno i glavni dio moguće provjere kod inspekcije ovlaštenog regulatora (AZOP-a – Agencije za zaštitu podataka).

2. Odgovornost za vođenje tzv. Evidencija aktivnosti obrade podataka

Ovaj zahtjev podrazumijeva da organizacija mora voditi formalne evidencije aktivnosti obrade podataka, ali isto tako mora imati i potpuni uvid i kontrolu nad svojim internim procesima čuvanja, obrade i dijeljenja osobnih podataka.

3. Usvajanje načela tehničke zaštite podataka i integrirane zaštite podataka („Data protection by design and by default“)

U praksi ovaj zahtjev ima dva osnovna dijela:
– prvi je da svaka organizacija mora u sve svoje postojeće interne procedure i poslovne procese tamo gdje je to potrebno ugraditi mjere koje će osigurati da se kod svake obrade podataka vodi računa o primjeni potrebnih tehničkih mjera zaštite podataka (primjerice pseudonimizacija podataka, anonimizacija podataka, smanjenje količine podataka i slično) kojima se osigurava umanjenje rizika od nastupa povrede podataka (tzv. Data breach“) te umanjenje rizika od svake prekomjerne obrade podataka ili njihove zloupotrebe;
– drugi je zahtjev da se opisane mjere tehničke i integrirane zaštite podataka ugrađuju u sve novostvorene poslovne procese (to jest u one procese koji će se tek kreirati) od samog početka njihovog stvaranja.

4. Imenovanje Službenika za zaštitu podataka organizacije („Data Protection Officer“)

Uredba određuje tri osnovna kriterija obveznika imenovanja Službenika, i to na sljedeći način:

– imenovanje Službenika je obavezno za organizacije koje spadaju u javna tijela ili tijela javne vlasti, što podrazumijeva da se ta obveza odnosi i na sve zdravstvene organizacije koje su osnovane od strane tijela državne i/ili javne uprave i samouprave (gradova, županija, države);
– imenovanje Službenika je obavezno za sve organizacije koje obavljanjem svoje osnovne djelatnosti opsežno obrađuju posebne kategorije podataka (dakle u našem slučaju podatke o zdravlju);
– imenovanje Službenika je obvezno za organizacije koje obavljanjem svoje osnovne djelatnosti istovremeno moraju redovito i sustavno pratiti ispitanike u velikom opsegu.
Za zdravstvene organizacije su prije svega primjenjiva prva dva kriterija, što u praksi znači da je za sve zdravstvene organizacije, bez obzira radi li se o javnim ili potpuno privatnim ustanovama, obvezno imenovati Službenika za zaštitu podataka. Pri tome je veoma bitno naglasiti da je moguće imenovati Službenika iz svoje vlastite organizacije, ili alternativno ugovoriti pružanje usluge vanjskog Službenika s kvalificiranim vanjskim organizacijama koje imaju potrebna znanja i ovlaštenje nuđenja takvih usluga.

5. Identificiranje odgovarajuće zakonske osnove za obradu podataka

Za zdravstvene organizacije je neophodno da se prilikom GAP analize ustanovi na ispravan način zakonska osnova za obradu svake vrste podataka. U praksi to znači da se ogromna većina obrada podataka u pružanju zdravstvenih usluga zasniva na zakonu i to:
– obrada na temelju takozvanog legitimnog interesa; ili
– obrada na temelju obavljanja medicinske usluge ili skrbi.

Ipak, određene vrste obrade (primjerice dostava medicinske dokumentacije pacijentima elektronskom poštom, čuvanje životopisa kandidata za posao) ne mogu se svrstati u te kategorije, pa je zato izrada GAP analize od velikog značenja, jer se time određuje za koje vrste obrade je potreban pristanak ispitanika (u većini slučajeva ispitanik je pacijent, ali i zaposlenik ili suradnik ustanove). Za takve obrade je potrebno pravilno izraditi i prikupljati i evidentirati pristanak svakog ispitanika, te pravilno voditi evidenciju i promjene statusa pristanka za svakog pojedinog ispitanika, što je za male organizacije često izuzetno zahtjevan zadatak.

6. Povreda podataka i otkrivanje, prijavljivanje i istraživanje povreda podataka („Data breach“)

Povreda podataka je definirana kao svako „kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja, ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani“.
Svaka povreda podataka treba se prijaviti nadzornom tijelu (AZOP) i to, ako je to izvedivo, najkasnije u roku od 72 sata od saznanja o povredi podataka.
Isto tako, u slučaju vjerojatnosti da će se povredom podataka prouzročiti visoki rizik za prava i slobode pojedinaca, organizacija je dužna o povredi obavijestiti i sve ispitanike čiji su podaci povrijeđeni.
Obzirom na tako široko postavljenu definiciju povrede podataka, u praksi primjerice gubitak jednog mobilnog uređaja ili USB uređaja koji sadrži osobne podatke može predstavljati osnovu za obvezu obavješćivanja AZOP-a i/ili velikog broja ispitanika čiji su podaci povrijeđeni.

Mario Perica, odvjetnik

Leave a Reply

Your email address will not be published. Required fields are marked *