Opća uredba o zaštiti podataka, odnosno GDPR, pravni je akt koji utječe gotovo na svaku tvrtku ili tijelo koje raspolaže osobnim podacima. Stoga kao sektor koji se bavi i posebno osjetljivom kategorijom osobnih podataka, od njezine primjene nije izuzeto ni zdravstvo.
Što kaže Uredba?
Podsjetimo, prema Uredbi osobni podaci koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode. Takvi osobni podaci ne bi se smjeli obrađivati osim ako je obrada dopuštena u posebnim slučajevima navedenima u Uredbi. Posebne kategorije osobnih podataka sačinjavaju podaci koji se odnose na rasno ili etničko podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje ili spolni život i osobni podaci o kaznenom i prekršajnom postupku.
Posebno osjetljivi podaci
Podaci vezani za zdravlje mogu se obrađivati samo iznimno, to jest mora postojati jasna zakonska osnova za obradu takvih podataka ili takozvana „eksplicitna privola“ ispitanika, a kada se obrada podataka vrši na bazi privole, dana privola mora biti dana potpuno dobrovoljno, mora biti bazirana na potpunoj informiranosti ispitanika, kao primjerice o svrsi obrade podataka, trajanju obrade, načinima obrade, mogućim izvršiteljima obrade, mora biti dana za točno određene svrhe obrade, i mora biti nedvosmislena to jest eksplicitna.
Uredba jasno određuje individualnu odgovornost svake organizacije koja obrađuje osobne podatke što u praktičnom smislu znači da je dužnost svake organizacije, pa tako i svake pojedine zdravstvene ustanove da se samostalno pripremi za primjenu Uredbe i uskladi svoje interne procese obrade podataka zahtjevima Uredbe.
Za zdravstvene ustanove propisuje se obveza ugovornog reguliranja odnosa i odgovornosti u vezi zaštite osobnih podataka između organizacija koje su voditelji obrade i njihovih vanjskih pružatelja usluga koji su u tom slučaju izvršitelji obrade podataka (npr. između klinike i dijagnostičkog laboratorija koji za kliniku vrši uslugu).
Temelji za procesuiranje podataka
Činjenica jest da će se u velikom broju slučajeva obrada podataka u zdravstvenom sektoru i kod zdravstvenih ustanova obrazlagati postojanjem zakonske osnove za obradu, međutim ozakonjenje obrade je samo osnovni, ali ne i jedini uvjet usklađenja, jer će biti neophodno u svim organizacijama izvršiti provjeru i analizu usklađenosti s GDPR-om, te pritom obratiti pozornost na koji se način u stvarnosti obrada podataka izvršava.
Potrebno je provjeriti postoji li višak osobnih podataka, te provjeriti unutarnje procedure koje su se dosad koristile za obradu podataka, obratiti pažnju na informatičku i tehničku sigurnost. Bitna stvar koja se ne smije smetnuti s uma je i provjera postojanja internih akata i eventualna potreba donošenja novih.
Zaključak
Zdravstveni sektor ima neke specifičnosti u odnosu na ostale subjekte na koje se odnosi GDPR, poglavito s obzirom na vrstu osobnih podataka s kojima raspolaže, ali u konačnici obveze koje ima ne razlikuju se mnogo od ostalih obveznika. Uz poštovanje glavnih načela i eventualno imenovanje službenika za zaštitu podataka, većina zdravstvenih ustanova se može brzo i efikasno prilagoditi izazovima koje pred njih stavlja Uredba.