Opća uredba o zaštiti podataka, odnosno GDPR, pravni je akt koji utječe gotovo na svaku tvrtku ili tijelo koje raspolaže osobnim podacima. S obzirom na prirodu podataka odnosno posebno osjetljive kategorije osobnih podataka s kojima raspolaže, zdravstveni sektor ima neke specifičnosti u odnosu na ostale subjekte na koje se odnosi GDPR.
Koje su to specifičnosti, kako najlakše uskladiti poslovanje s GDPR-om i koje su sve obveze oko prikupljanja i obrade osobnih podataka, mogli su saznati polaznici današnje besplatne online interaktivne radionice u organizaciji Agencije za zaštitu osobnih podataka (AZOP) u suradnji s Hrvatskom gospodarskom komorom, namijenjene zdravstvenom sektoru.
Sudionike je u ime HGK pozdravio savjetnik predsjednika HGK i voditelj Službe za obrazovanje i informacijsku sigurnost doc.dr.sc. Petar Mišević koji je istaknuo važnost ovih radionica za mikro, male i srednje tvrtke te HGK zajednice kako bi osvijestile i informirale zašto je zaštita osobnih podatka bitna i koliko je važno poznavati odredbe GDPR Uredbe i znati ih implementirati u svojoj organizaciji.
„Od kad je Uredba prije dvije i pol godine stupila na snagu susrećemo se s mnogim poteškoćama odnosno i dalje imamo neke dvojbe što ne čudi s obzirom na to da kroz naš sektor obrađuje zaista velika količina osobnih podataka“, poručio je predsjednik Zajednice privatnog zdravstvenog sektora HGK prof.dr.sc. Krešimir Rotim dodavši kako je zaštita od krađe i gubitaka podataka posebno važna vezano uz zaštitu privatnosti pacijenata. Također, prof.dr.sc. Krešimir Rotim zahvalio se i HGK na potpori za osnivanje Zajednice privatnog zdravstvenog sektora HGK kroz koju se članicama omogućuje stjecanje dodatnih znanja i vještina kao što je i današnja edukacija.
Zdravstveni osobni podaci po svojoj su naravi posebno osjetljive prirode i spadaju u posebnu kategoriju osobnih podataka jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode pacijenata.
U sklopu radionice predstavljeni su osnovni pojmovi vezani uz GDPR (voditelj obrade, izvršitelj obrade, osobni podaci, ispitanik), uz primjere iz prakse kako bi sudionici mogli vidjeti na koje se sve načine određuje svrha prikupljanja osobnih podataka s obzirom na specifičnosti nečijega poslovanja. Tako se za zdravstvene ustanove propisuje obveza ugovornog reguliranja odnosa i odgovornosti u vezi zaštite osobnih podataka između organizacija koje su voditelji obrade i njihovih vanjskih pružatelja usluga koji su u tom slučaju izvršitelji obrade podataka. Primjerice, između privatne klinike koja je voditelj obrade i knjigovodstvenog servisa ili IT tvrtke koji za kliniku vrše uslugu. U tom slučaju Uredba o GDPR-u daje mogućnost voditelju obrade (klinici) da povjeri izvršitelju obrade (knjigovodstvenom servisu ili IT tvrtki) obavljanje samo nekih točno ugovorenih poslova u ime i za račun voditelja obrade. Dakle, poliklinika i dalje zadržava kontrolu nad svrhom radi koje se podaci obrađuju i nad sadržajem podataka, međutim IT tvrtka ili knjigovodstveni servis (kao izvršitelj obrade) u ime i za račun privatne poliklinike obavlja poslove koje joj je Ugovorom povjerila privatna poliklinika.
Na edukaciji su istaknuti i primjeri zajedničkih voditelja obrade s obzirom da u zdravstvenom sektoru postoji realna potreba za tim. Pojam zajedničkih voditelja obrade odnosi se na dva ili više voditelja koja su neophodna u definiranju svrhe i načinu obrade osobnih podataka. Svrhe zajedničkih voditelja ne moraju uvijek biti identične, ali ako su međusobno povezane i komplementarne, tada jesu zajednički voditelji ako imaju utjecaja na donošenje odluka.
Primjerice, privatna stomatološka ordinacija i Centar za dentalnu radiologiju zajednički su voditelji obrade u slučaju kada ordinacija s centrom ima ugovoren popust za sve svoje pacijente koji kod njih snime ortopan. Nakon što napravi snimku, centar je daje pacijentu na CD-u ili je dostavi na neki drugi način te pacijent sa snimkom odlazi nazad u stomatološku ordinaciju radi svrhe u koju je došao. U konkretnom slučaju svaka strana radi svoje aktivnosti i obrade i svaka je samostalni voditelj obrade. No u svrhu pružanja popusta pacijentu zajedno određuju skupove osobnih podataka, kako će ih odrađivati, tko će ih moći vidjeti i međusobno dijele informacije (snimku). U tom su slučaju zajednički voditelji obrade.
Istaknuto je i kako su zdravstvene ustanove dužne imenovati službenika za zaštitu podataka (izuzev liječnika pojedinca), a osim toga, svoju usklađenost s GDPR-om dokazuju i evidencijom aktivnosti obrade, ugovorima s izvršiteljima obrade i obavijestima ispitanicima o obradi osobnih podataka. Službenik za zaštitu osobnih podataka (DPO) zapravo je temelj pouzdanosti, posrednik i konkurentska prednost, a na radionici su istaknute I preporuke vezane uz DPO-a: DPO je pozvan sudjelovati na redovitim sastancima visokog i srednjeg rukovodstva kad se donose odluke koje se mogu odraziti na zaštitu podataka, relevantne informacije moraju mu se proslijediti pravovremeno kako bi mogao pružiti odgovarajući savjet te treba zabilježiti razloge zbog kojih se nije slijedio savjet službenika za zaštitu podataka.
Polaznici su još mogli čuti o obradi osobnih podataka putem kolačića, tehničke i organizacijske mjere zaštite osobnih podataka kroz prizmu zdravstvenog sektora i COVID-19 pandemije te izvještavanje o povredi osobnih podataka s primjerima iz zdravstvenog sektora.
Ova radionica održava se u sklopu ciklusa radionica Agencije za zaštitu osobnih podataka i HGK, s ciljem pružanja potpore mikro, malim i srednjim poduzetnicima prilikom usklađivanja poslovnih procesa s odredbama GDPR-a, i jedna je od aktivnosti AZOP-a, u okviru provedbe EU projekta ARC (Awareness Raising Campaign for SMEs), s istim ciljem, pružanja potpore MSP-ovima prilikom usklađivanja poslovnih procesa s GDPR-om.