Feralis

Privacy Center Rijeka

en hr
Feralis
CONTACT DETAILS
feralis@feralis.hr HR +385(0)51 284-655
BUSINESS DETAILS

Registration number: 8004472

OIB: 91860714200

IBAN: HR67 2402 0061 1009 46882 (Erste bank)

SWIFT/BIC: ESBCHR22

  • Početna
  • Usluge
  • Blog
  • O nama
  • Kontakt

Sigurnost obrade osobnih podataka u zdravstvenim ustanovama

Sigurnost obrade osobnih podataka u zdravstvenim ustanovama

Sigurnost obrade osobnih podataka u zdravstvenim ustanovama

10.02.2021. 08:00:00

GDPR u praksi

Priopćenje za javnost Opće bolnica Pula kojim se ističe kako je "svaki korisnik (zaposlenik) osobno odgovoran za podatke pacijenata" nije mogao proći nezapaženo niti kojem stručnjaku za privatnost i zaštitu osobnih podataka, ali isto tako nije mogao niti ne izazvati sumnju u  sigurnost obrade naših osobnih podataka od strane zdravstvenog sustava.

Priopćenje u cijelosti možete pročitati OVDJE.

I izjavi se navodi slijedeće:

„Bolnički informacijski sustav koji se koristi u Općoj bolnici Pula, kao i u većini zdravstvenih ustanova u Republici Hrvatskoj, je sustav u kojeg se unose svi podatci o pacijentima i njihovom liječenju. S obzirom da se radi o zaštićenim podatcima pristup navedenom sustavu moguć je isključivo uz jedinstveno definiranu prijavu korisnika (naziv korisnika i lozinka). Na nivou prijave definirane su i ovlasti koje pojedinom djelatniku omogućavaju pristup samo onim podatcima kojima pojedini djelatnik ima pravo pristupiti. Nivoi ovlaštenja se razlikuju između administratora odjela, medicinskih sestara/tehničara i liječnika. Sukladno navedenom ne postoji mogućnost pristupa medicinskim podatcima neovlaštenim osobama, odnosno s obzirom da su prijave u sustav jedinstveno definirane na nivou korisnika, svaki korisnik je, sukladno pozitivnim propisima o zaštiti osobnih podataka, osobno odgovoran za zaštitu podataka pacijenata i osobne prijave za ulaz u sustav.“

Neupitno je da se radi o prijavi korisnika u bolnički sustav putem naziva korisnika i njegove lozinke i da se korisniku omogućava pristup samo onim podacima za koje ima ovlaštenja. Međutim, ne stoji navod da je korisnik (zaposlenik bolnice) „sukladno pozitivnim propisima o zaštiti osobnih podataka, osobno odgovoran za zaštitu podataka pacijenata i osobne prijave za ulaz u sustav.“ a s takvom konstatacijom ne možemo se složiti.

Naime, potrebno je znati da:

  • Svaki voditelj obrade (u ovom slučaju bolnica) odgovoran je za sve osobne podatke koje prikuplja i obrađuje, a također postoji odgovornost za te podatke i onda kada ih na zakonitoj osnovni prosljeđuje trećim subjektima (i izvršiteljima obrade) što Opća uredba jasno i nedvojbeno definira svojim pravilima.

    Pojednostavljeno, u pitanju zaštite osobnih podataka uvijek je odgovoran voditelj obrade (bolnica), a ne zaposlenik kako se to navodi u Izjavi bolnice, i to neovisno da li je zaposlenik poštovao pravila ponašanja i rada u bolnici.

    Prema Općoj Uredbi, bolnica je ta koja kao voditelj obrade mora osigurati organizacijske i tehničke mjere zaštite a što uključuje i postavljanje pravila i odgovornosti ponašanja te osigurati druge mjere kako bi takve propuste svela na minimum. Međutim, onda kada se i dogode propusti i dalje je odgovornost na bolnici, a ne na zaposleniku koji je izazvao propust.

    Zaposlenik može biti i zacijelo jest odgovoran po osnovi radno-pravnih odnosa i/ili drugih pravnih normi ali ne i po pitanju odgovornosti koje proizlaze iz Opće uredbe. 

    Građanin (ispitanik) do čije povrede osobnih podataka eventualno dođe, neće tražiti zaštitu svojih prava i naknadu štete  od radnika koji je doveo do povrede već će to isključivo tražiti od voditelja obrade tj. u ovom slučaju od bolnice.

  • Sukladno normama Opće uredbe svaki voditelj obrade dužan je, uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, provoditi odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik.

    To znači da ne nije dovoljno samo osigurati da se u sustav, koji sadrži sve podatke o pacijentima, ulazi temeljem korisničkog imena i lozinke, već je potrebno urediti i druge organizacijske i tehničke mjere zaštite u skladu s predviđenim rizicima i mogućnostima subjekta. Primjerice, osigurati jasna pravila pristupa i procedure, kao i odgovornost u slučaju nepoštovanja tih procedura npr. procedura za ulazak u sustav, procedura upravljanja lozinkama, primijeniti adekvatne tehničke mjere npr. adekvatne IT zaštite, automatsku blokadu ulaska nakon što se primjerice unutar tri mjeseca nije promijenila lozinka za ulaz ili je više od tri puta pogrešno upisana i drugo.

U svakom slučaju, neosporno je da je odgovornost za obradu osobnih podataka jedino i isključivo na voditelju obrade tj. bolnici, a ne na njihovim zaposlenicima te da je voditelj obrade taj koji mora poduzeti sve prikladne mjere s obzirom na rizike i mogućnosti kako bi osigurao zakonitu obradu i smanjio moguće rizike (a to svakako nije samo postavljanje kao mjere zaštite ulazak u sustav s korisničkim imenom i lozinkom).

Nepoznavanje osnovnih načela obrade osobnih podataka, posebice u kategoriji zdravstvenih podataka gdje su nužne dodatne mjere zaštite, navodi da je uprava bolnice zanemarila potrebu primjene Opće Uredbe, što predstavlja najveću razinu demonstriranja neodgovornosti i teških oblika kršenja Opće Uredbe. S obzirom da se u službenim izjavama referiraju na cijeli zdravstveni sustav u RH, postavlja se pitanje provođenja zaštite osobnih podataka, a napose posebno štićenih podataka u zdravstvu na nacionalnoj razini.

Slijedom navedenog a uzimajući u obzir da se radi o zdravstvenim podacima koji spadaju u posebno štićenu kategoriju osobnih podataka i zahtijevaju, uz navedeno i dodatne mjere zaštite, postavlja se velika sumnja u sigurnost obrade osobnih podataka od strane zdravstvenog sustava i postavlja se zahtjev za dodatnom provjerom i revizijom usklađenosti sustava s Općom uredbom.

Autori: Ines & Marko Krečak, Službenik za zaštitu podataka - Feralis

Naše kolumne:
GLAS ISTRE Novine - Slučaj iz pulske bolnice iz perspektive GDPR-a
SEEbiz - Tko je odgovoran za obradu osobnih podataka u zdravstvenim ustanovama?

Povezane teme:
Pozivanje pacijenta u ordinaciju i GDPR
Uklonjeni osobni podaci s web stranice s osnove GDPR 
Elektronički potpis i GDPR

Povezane usluge:
Savjetovanje sa službenikom za zaštitu podataka


feralis



HR DPO - UČLANI SE

Kategorije
  • Magazin
  • GDPR u praksi
Korisni linkovi
  • AZOP - Agencija za zaštitu podataka
  • EDPS - Europski nadzornik za zaštitu podataka
  • EDPB - Europski odbor za zaštitu podataka
Istaknute aktivnosti
  • DPO program na Veleučilištu u Rijeci
  • E-Građani i gdpr
  • Donirajte i ostvarite popust
  • Feralisova šapa - besplatno usklađivanje s GDPR
  • Feralis - ON AIR
  • Andrija Digitalni Asistent
  • COTRUGLI Business School
  • Adriatic City Security Conference
  • Feralis u zajednici

Copyright © 2025 Feralis

Ova stranica koristi kolačiće kako bi se osiguralo bolje korisničko iskustvo. Možete sve kolačiće prihvati, sve odbiti ili njima upravljati (prva icona desno). Prije nastavka korištenja ovog web mjesta nužno je upoznati se s pravilima privatnosti (druga icona desno).
Prihvaćam sve
Prihvaćam samo neophodno
Upravljanje kolačićima
Bitni kolačići web stranice
Google Analytics
Google Tag Manager
Facebook Pixel