Priopćenje za javnost Opće bolnica Pula kojim se ističe kako je "svaki korisnik (zaposlenik) osobno odgovoran za podatke pacijenata" nije mogao proći nezapaženo niti kojem stručnjaku za privatnost i zaštitu osobnih podataka, ali isto tako nije mogao niti ne izazvati sumnju u sigurnost obrade naših osobnih podataka od strane zdravstvenog sustava.
Priopćenje u cijelosti možete pročitati
OVDJE.I izjavi se navodi slijedeće:
„Bolnički informacijski sustav koji se koristi u Općoj bolnici Pula, kao i u većini zdravstvenih ustanova u Republici Hrvatskoj, je sustav u kojeg se unose svi podatci o pacijentima i njihovom liječenju. S obzirom da se radi o zaštićenim podatcima pristup navedenom sustavu moguć je isključivo uz jedinstveno definiranu prijavu korisnika (naziv korisnika i lozinka). Na nivou prijave definirane su i ovlasti koje pojedinom djelatniku omogućavaju pristup samo onim podatcima kojima pojedini djelatnik ima pravo pristupiti. Nivoi ovlaštenja se razlikuju između administratora odjela, medicinskih sestara/tehničara i liječnika. Sukladno navedenom ne postoji mogućnost pristupa medicinskim podatcima neovlaštenim osobama, odnosno s obzirom da su prijave u sustav jedinstveno definirane na nivou korisnika, svaki korisnik je, sukladno pozitivnim propisima o zaštiti osobnih podataka, osobno odgovoran za zaštitu podataka pacijenata i osobne prijave za ulaz u sustav.“
Neupitno je da se radi o prijavi korisnika u bolnički sustav putem naziva korisnika i njegove lozinke i da se korisniku omogućava pristup samo onim podacima za koje ima ovlaštenja. Međutim, ne stoji navod da je korisnik (zaposlenik bolnice) „sukladno pozitivnim propisima o zaštiti osobnih podataka, osobno odgovoran za zaštitu podataka pacijenata i osobne prijave za ulaz u sustav.“ a s takvom konstatacijom ne možemo se složiti.
Naime, potrebno je znati da:
- Svaki voditelj obrade (u ovom slučaju bolnica) odgovoran je za sve osobne podatke koje prikuplja i obrađuje, a također postoji odgovornost za te podatke i onda kada ih na zakonitoj osnovni prosljeđuje trećim subjektima (i izvršiteljima obrade) što Opća uredba jasno i nedvojbeno definira svojim pravilima.
Pojednostavljeno, u pitanju zaštite osobnih podataka uvijek je odgovoran voditelj obrade (bolnica), a ne zaposlenik kako se to navodi u Izjavi bolnice, i to neovisno da li je zaposlenik poštovao pravila ponašanja i rada u bolnici.
Prema Općoj Uredbi, bolnica je ta koja kao voditelj obrade mora osigurati organizacijske i tehničke mjere zaštite a što uključuje i postavljanje pravila i odgovornosti ponašanja te osigurati druge mjere kako bi takve propuste svela na minimum. Međutim, onda kada se i dogode propusti i dalje je odgovornost na bolnici, a ne na zaposleniku koji je izazvao propust.
Zaposlenik može biti i zacijelo jest odgovoran po osnovi radno-pravnih odnosa i/ili drugih pravnih normi ali ne i po pitanju odgovornosti koje proizlaze iz Opće uredbe.
Građanin (ispitanik) do čije povrede osobnih podataka eventualno dođe, neće tražiti zaštitu svojih prava i naknadu štete od radnika koji je doveo do povrede već će to isključivo tražiti od voditelja obrade tj. u ovom slučaju od bolnice.
- Sukladno normama Opće uredbe svaki voditelj obrade dužan je, uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, provoditi odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik.
To znači da ne nije dovoljno samo osigurati da se u sustav, koji sadrži sve podatke o pacijentima, ulazi temeljem korisničkog imena i lozinke, već je potrebno urediti i druge organizacijske i tehničke mjere zaštite u skladu s predviđenim rizicima i mogućnostima subjekta. Primjerice, osigurati jasna pravila pristupa i procedure, kao i odgovornost u slučaju nepoštovanja tih procedura npr. procedura za ulazak u sustav, procedura upravljanja lozinkama, primijeniti adekvatne tehničke mjere npr. adekvatne IT zaštite, automatsku blokadu ulaska nakon što se primjerice unutar tri mjeseca nije promijenila lozinka za ulaz ili je više od tri puta pogrešno upisana i drugo.
U svakom slučaju, neosporno je da je odgovornost za obradu osobnih podataka jedino i isključivo na voditelju obrade tj. bolnici, a ne na njihovim zaposlenicima te da je voditelj obrade taj koji mora poduzeti sve prikladne mjere s obzirom na rizike i mogućnosti kako bi osigurao zakonitu obradu i smanjio moguće rizike (a to svakako nije samo postavljanje kao mjere zaštite ulazak u sustav s korisničkim imenom i lozinkom).
Nepoznavanje osnovnih načela obrade osobnih podataka, posebice u kategoriji zdravstvenih podataka gdje su nužne dodatne mjere zaštite, navodi da je uprava bolnice zanemarila potrebu primjene Opće Uredbe, što predstavlja najveću razinu demonstriranja neodgovornosti i teških oblika kršenja Opće Uredbe. S obzirom da se u službenim izjavama referiraju na cijeli zdravstveni sustav u RH, postavlja se pitanje provođenja zaštite osobnih podataka, a napose posebno štićenih podataka u zdravstvu na nacionalnoj razini.
Slijedom navedenog a uzimajući u obzir da se radi o zdravstvenim podacima koji spadaju u posebno štićenu kategoriju osobnih podataka i zahtijevaju, uz navedeno i dodatne mjere zaštite, postavlja se velika sumnja u sigurnost obrade osobnih podataka od strane zdravstvenog sustava i postavlja se zahtjev za dodatnom provjerom i revizijom usklađenosti sustava s Općom uredbom.
Autori: Ines & Marko Krečak, Službenik za zaštitu podataka - Feralis
Naše kolumne:
