Podatki o zdravju pacientov se skladno s Splošno uredbo o varstvu podatkov (GDPR) uvrščajo med tako imenovane posebne vrste osebnih podatkov, ki jim je treba posvečati še posebno skrb, saj ima njihovo nepooblaščeno razkritje lahko za paciente zelo hude posledice. GDPR temeljito zaostruje pravila glede zbiranja, hrambe in obdelave osebnih podatkov in predvideva drakonske kazni za kršitve (do 20 milijonov evrov ali do štiri odstotke globalnega letnega prometa).
O urejenosti tega področja smo govorili z odvetnikom Matijo Jamnikom, ki bo 8. oktobra letos vodil seminar Varstvo osebnih podatkov pri zasebnih ponudnikih zdravstvenih storitev.
G. Jamnik, kako je po vaši oceni trenutno urejeno varstvo osebnih podatkov pri zasebnih ponudnikih zdravstvenih storitev – v primerjavi z javnimi zdravstvenimi zavodi?
»Ker je – kot na splošno v zasebnem sektorju – zavedanje odgovornosti tu večje, “poveljniška linija” pa bolj jasna kot v javnem sektorju, je stanje na splošno nekoliko boljše kot pri javnih zdravstvenih zavodih. Zasebniki tudi vedo, da težko računajo na “odpustke” in gledanje skozi prste v primeru odkritih nepravilnosti.«
Zasebniki tudi vedo, da težko računajo na “odpustke” in gledanje skozi prste v primeru odkritih nepravilnosti.
Česa v zvezi z varovanjem osebnih podatkov pa se preslabo zavedajo?
»Ob relativno dobro pokritem formalnem delu še vedno pogosto šepa izvedba. Primer: interni pravilnik opredeljuje postopek v primeru varnostnega incidenta, ki zajema osebne podatke. Odlično! Pa tudi vemo, kdo je oseba, ki odloča o tem, ali bo o incidentu obveščen Informacijski pooblaščenec ter prizadeti posamezniki? Vemo, kdo je oseba, ki bo obvestilo dejansko izvedla? Kaj če katera od teh oseb trenutno ni dosegljiva ali noče prevzeti odgovornosti? Ali vemo, kakšen je scenarij v takem primeru?«
Mnogi zasebniki težje zaposlijo pravnika ali strokovnjaka, ki bi se aktivno ukvarjal s področjem varstva osebnih podatkov. Koga lahko angažirajo kot pooblaščeno osebo za varstvo osebnih podatkov oz. komu jih smejo zaupati v obdelavo, ko je ta izjemoma dovoljena (nove obveznosti pri pogodbeni obdelavi?)?
»Gre za dve ločeni vprašanji: Pooblaščena oseba za varstvo podatkov, ki jo morajo obvezno imenovati vsi zasebni zdravstveni zavodi, mora imeti strokovno znanje o zakonodaji in praksi na področju varstva podatkov; lahko je zaposlena pri upravljavcu ali pa angažirana pogodbeno (outsourcing).
T.i. pogodbenega obdelovalca (npr. laboratorij za preiskave, ponudnik informacijskega sistema ipd.) lahko zasebni zdravstveni zavod angažira, samo če se je prej prepričal, da ponudnik izpolnjuje vse zahteve iz GDPR in je prej z njim sklenil pisno pogodbo, s katero je opredelil vse vidike pogodbene obdelave osebnih podatkov.«
Kakšne so nove obveznosti glede obveščanja o kršitvah na področju varstva osebnih podatkov?
»Razen izjemoma je potrebno o kršitvi varstva osebnih podatkov v 72-ih urah obvestiti Informacijskega pooblaščenca. Govorimo tudi o tako banalnih kršitvah, kot je denimo nenamerno razkritje vseh prejemnikov nekega e-poštnega sporočila. Kadar gre za resne kršitve, pa je treba obvestiti tudi prizadete posameznike, in sicer nemudoma. Kot že rečeno pa je eno ureditev na papirju, nekaj drugega pa resnična izvedba teh postopkov.«
Kadar gre za resne kršitve, pa je treba obvestiti tudi prizadete posameznike, in sicer nemudoma.
Kakšne pravice pa imajo pacienti – po GDPR in po zakonu o pacientovih pravicah?
»Oba predpisa priznavata pacientom (ZPacP tudi svojcem) kopico pravic. Ena bolj zanimivih, na kateri so “padle” že tudi velike družbe, kot sta Google in Facebook, je pravica do obveščenosti. Povedano po domače: obdelava osebnih podatkov je lahko sicer skladna z zakonodajo, a če pacientom na razumljiv, dostopen, jedrnat in jasen način ne razložite, kaj počnete z njihovimi osebnimi podatki, pomeni to samo po sebi kršitev GDPR.«
Obdelava osebnih podatkov je lahko sicer skladna z zakonodajo, a če pacientom na razumljiv, dostopen, jedrnat in jasen način ne razložite, kaj počnete z njihovimi osebnimi podatki, pomeni to samo po sebi kršitev GDPR.
Kaj bi še bilo potrebno poudariti in je relevantno za udeležence vašega seminarja?
»Naš nasvet: karkoli delate z osebnimi podatki (pacientov, zaposlenih itd.), vedno se je potrebno vprašati, ali obstaja pravna podlaga za obdelavo; kakšen namen zasledujem z obdelavo; ali za dosego namena res potrebujem vse podatke, ki jih obdelujem; ali jih res moram hraniti toliko časa, kot jih hranim ipd. Neprijetna, a nujna vprašanja, če se želimo izogniti glavobolom na tem področju.«
Karkoli delate z osebnimi podatki (pacientov, zaposlenih itd.), vedno se je potrebno vprašati, ali obstaja pravna podlaga za obdelavo; kakšen namen zasledujem z obdelavo; ali za dosego namena res potrebujem vse podatke, ki jih obdelujem; ali jih res moram hraniti toliko časa, kot jih hranim ipd.