Veliki interes za GDPR zdravstvenog sektora

19. studenoga 2020.

Foto: Pixabay

Opća uredba o zaštiti podataka, odnosno GDPR, pravni je akt koji utječe gotovo na svaku tvrtku ili tijelo koje raspolaže osobnim podacima. S obzirom na prirodu podataka, odnosno posebno osjetljive kategorije osobnih podataka s kojima raspolaže, zdravstveni sektor ima neke specifičnosti u odnosu na ostale subjekte na koje se odnosi GDPR.

Koje su to specifičnosti, kako najlakše uskladiti poslovanje s GDPR-om i koje su sve obveze za prikupljanja i obrade osobnih podataka, mogli su saznati polaznici besplatne online interaktivne radionice u organizaciji Agencije za zaštitu osobnih podataka, u suradnji s Hrvatskom gospodarskom komorom, namijenjene zdravstvenom sektoru.

Savjetnik predsjednika HGK i voditelj Službe za obrazovanje i informacijsku sigurnost Petar Mišević istaknuo je važnost ovih radionica za mikro, male i srednje tvrtke te HGK zajednice kako bi osvijestile i informirale se o tome zašto je zaštita osobnih podatka bitna te koliko je važno poznavati odredbe GDPR-a i znati ih implementirati u svojoj organizaciji.

Petar Mišević Petar Mišević / Foto:HGK

"Otkad je Uredba prije dvije i pol godine stupila na snagu, susrećemo se s mnogim poteškoćama, odnosno i dalje imamo neke dvojbe, što ne čudi s obzirom na to da naš sektor obrađuje zaista veliku količinu osobnih podataka", poručio je predsjednik Zajednice privatnoga zdravstvenog sektora HGK Krešimir Rotim dodavši kako je zaštita od krađe i gubitaka podataka posebno važna kad je riječ o zaštiti privatnosti pacijenata. 

Zdravstveni osobni podaci posebno su osjetljive prirode i ubrajaju se u posebnu kategoriju osobnih podataka jer u sklopu njihove obrade može doći do značajnih rizika za temeljna prava i slobode pacijenata.

Krešimir Rotim Krešimir Rotim / Foto: HGK

Osnovni pojmovi u vezi s GDPR-om

U sklopu radionice predstavljeni su osnovni pojmovi u vezi s GDPR-om (voditelj obrade, izvršitelj obrade, osobni podaci, ispitanik) i navedeni primjeri iz prakse kako bi sudionici mogli vidjeti na koje se sve načine određuje svrha prikupljanja osobnih podataka s obzirom na specifičnosti nečijega poslovanja.

Tako se za zdravstvene ustanove propisuje obveza ugovornog reguliranja odnosa i odgovornosti u vezi sa zaštitom osobnih podataka između organizacija koje su voditelji obrade i njihovih vanjskih pružatelja usluga koji su u tom slučaju izvršitelji obrade podataka. Primjerice, između privatne klinike koja je voditelj obrade i knjigovodstvenog servisa ili IT tvrtke koja za kliniku obavlja uslugu. U tom slučaju Uredba o GDPR-u daje mogućnost voditelju obrade (klinici) da povjeri izvršitelju obrade (knjigovodstvenom servisu ili IT tvrtki) obavljanje samo nekih, točno ugovorenih poslova uime i za račun voditelja obrade. Dakle, poliklinika i dalje zadržava kontrolu nad svrhom radi koje se podaci obrađuju i nad sadržajem podataka, međutim IT tvrtka ili knjigovodstveni servis (kao izvršitelj obrade) uime i za račun privatne poliklinike obavlja poslove koje joj je ugovorom povjerila privatna poliklinika.

Na edukaciji su istaknuti i primjeri zajedničkih voditelja obrade jer u zdravstvenom sektoru postoji realna potreba za njima. Pojam zajedničkih voditelja obrade odnosi se na dva ili više voditelja koja su neophodna u definiranju svrhe i načina obrade osobnih podataka. Svrhe zajedničkih voditelja ne moraju uvijek biti identične, ali ako su međusobno povezane i komplementarne, tada jesu zajednički voditelji ako imaju utjecaja na donošenje odluka.

Primjerice, privatna stomatološka ordinacija i Centar za dentalnu radiologiju zajednički su voditelji obrade u slučaju kada ordinacija s centrom ima ugovoren popust za sve svoje pacijente koji kod njih snime ortopan. Nakon što napravi snimku, centar je daje pacijentu na CD-u ili je dostavi ordinaciji te pacijent odlazi nazad svome stomatologu. U konkretnom slučaju svaka strana obavlja svoju aktivnost i svaka je samostalni voditelj obrade. No s ciljem pružanja popusta pacijentu zajedno određuju skupove osobnih podataka, način na koji ć ih odrađivati, dogovaraju tko će ih moći vidjeti i međusobno dijele informacije (snimku). U tom su slučaju zajednički voditelji obrade.

Istaknuto je i kako su zdravstvene ustanove dužne imenovati službenika za zaštitu podataka (osim liječnika pojedinca), a uz to, svoju usklađenost s GDPR-om dokazuju i evidencijom aktivnosti obrade, ugovorima s izvršiteljima obrade i obavijestima ispitanicima o obradi osobnih podataka.

Ova radionica održava se u sklopu ciklusa radionica Agencije za zaštitu osobnih podataka i HGK, s ciljem pružanja potpore mikro, malim i srednjim poduzetnicima prilikom usklađivanja poslovnih procesa s odredbama GDPR-a. Radionica je jedna od aktivnosti AZOP-a, u sklopu provedbe EU projekta ARC (Awareness Raising Campaign for SMEs), s istim ciljem: pružanja potpore MSP-ovima pri usklađivanju poslovnih procesa s GDPR-om.

P.hr