PREDLOG ZAKONA O DOPUNAMA ZAKONA O ZDRAVSTVENOJ DOKUMENTACIJI I EVIDENCIJAMA U OBLASTI ZDRAVSTVA: Poverenik upozorava da se Predlogom zakona ne rešava problem obrade podataka o ličnosti u IZIS-u, odnosno nije rešeno pitanje pravnog osnova za njegovo uspostavljanje

Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti povodom Predloga zakona o dopunama Zakona o zdravstvenoj dokumentaciji i evidencijama u oblasti zdravstva, koji je Vlada dostavila Narodnoj skupštini Republike Srbije, još u toku pripreme Nacrta zakona u nekoliko navrata davao mišljenje Ministarstvu zdravlja koje ga je pripremalo.

Vlada Republike Srbije, utvrđujući Predlog zakona, oglušila se o glavnu i suštinsku primedbu Poverenika.

Naime, Predlogom zakona se i dalje ne rešava suštinski problem obrade podataka o ličnosti u IZIS-u (Integrisani zdravstveni informacioni sistem), odnosno nije rešeno pitanje pravnog osnova za uspostavljanje IZIS-a. A IZIS je i pored više upozorenja Poverenika faktički uspostavljen, iako važeći Zakon o zdravstvenoj dokumentaciji i evidencijama u oblasti zdravstva ("Sl. glasnik RS", br. 123/2014 i 106/2015 - dalje: Zakon) nijednom svojom odredbom ne ovlašćuje rukovaoca podataka da ga uspostavi na način da u okviru njega vrši obradu podataka o ličnosti.

Naprotiv, odredbom člana 44. stav 2. Zakona, propisano je da IZIS čine zdravstveno-statistički sistem, informacioni sistem organizacija zdravstvenog osiguranja i informacioni sistemi zdravstvenih ustanova, privatne prakse i drugih pravnih lica. Zakon ni na jednom mestu ne predviđa uspostavljanje jedne jedinstvene i centralizovane zbirke podataka o ličnosti koja bi bila pod kontrolom jednog rukovaoca.

Osim što još jednom skreće pažnju na nepostojanje valjanog pravnog osnova, Poverenik ukazuje i na pitanja bezbednosti koja traže odgovore.

S aspekta opšteprihvaćenih evropskih standarda u oblasti zaštite podataka o ličnosti, ukrupnjavanje velikog broja manjih baza podataka u jednu ogromnu, centralizovanu bazu podataka predstavlja ozbiljan rizik po prava lica u vezi sa obradom podataka o ličnosti i takvu obradu uvek treba izbegavati, osim kad je neophodno i izuzetno opravdano.

U konkretnom slučaju čini se očiglednim da tako nešto nije neophodno. A u svakom slučaju, ukoliko se svrha obrade ne bi mogla postići drugačije tj. bez stvaranja ogromne centralizovane baze podataka, onda kao minimum zakonom treba urediti koji podaci će se unositi i obrađivati u IZIS-u, koje zdravstvene ustanove će to činiti, pod kojim uslovima, način korišćenja podataka i sl. S aspekta minimuma bezbednosti, takođe je neophodno zakonom propisati tehničke i organizacione mere koje se moraju preduzeti u IZIS-u, uzimajući u obzir vrstu podataka, obim i svrhu obrade, tehnološki nivo, verovatnoću pojavljivanja i ozbiljnost opasnosti po prava lica, kao i ko i kako može imati pristup podacima o ličnosti i odgovornost za obradu tih podataka.