ZAKONI O ZAŠTITI PODATAKA O LIČNOSTI I O PRAVIMA PACIJENATA: Podaci o pacijentima mogu da budu dostupni samo izabranim lekarima i ni u kom slučaju ne smeju biti dostupni trećim licima bez saglasnosti (osim na osnovu odluke suda)

Da li ste se ikada zapitali kako zdravstvene ustanove čuvaju i prenose vaše osetljive podatke? Podaci o laboratorijskim analizama, istoriji bolesti, JMBG-u i drugim ličnim podacima neke privatne zdravstvene ustanove šalju preko javne Gmail adrese, što povlači pitanje bezbednosti ove prakse.

Zasigurno ste bar jednom otišli na privatni zdravstveni pregled, nakon kojeg ste čekali izveštaj lekara.

Taj izveštaj je i većini dostavljen putem email-a - neke zdravstvene ustanove imaju svoje (@ime ustanova.rs), a neke koriste Gmail (ime ustanova@gmail.com).

Na adresu N1 redakcije stigla je zabrinjavajuća poruka čitaoca, koji je primetio da privatne klinike koriste javne email servise, poput Gmail-a, za komunikaciju sa pacijentima.

Čitalac naglašava da je problem kod javnih email adresa to što “kompanija Google ili bilo koja druga hosting kompanija može da ih oduzme korisniku iz bilo kog razloga. Korisnik nije vlasnik iste, tako da može ostati bez adrese iz bilo kog razloga. Takođe, javne email adrese mogu lako biti hakovane, a jako ih je teško povratiti”.

Ovakva praksa otvara niz pitanja o bezbednosti i zakonitosti, naročito kada se radi o podacima koji spadaju u posebno osetljive kategorije, kao što su zdravstveni kartoni.

Đorđe Krivokapić, suosnivač SHARE fondacije, upozorava da je ovakva praksa pokazatelj niskog nivoa bezbednosne kulture.

“Ako se medicinska dokumentacija šalje preko Gmail naloga, a moguće je da to nisu poslovni već privatni nalozi, to onda predstavlja lošu praksu i pokazuje da te organizacije nemaju bezbednosnu kulturu”, ističe Krivokapić.

Kako dalje pojašnjava, bilo koja organizacija kada upravlja podacima o ličnosti ona mora da koristi druge kompanije, jer uglavnom nemaju svoje ekspertize - tako koriste email za komunikaciju sa klijentima, različite dropbox-ove i druge online alate, s obzirom da najčešće ne poseduju svoje resurse.

Oni koji pružaju usluge su obrađivači, a oni koji ih koriste su rukovaoci.

Međutim, izbor domena (internet adresa na kojoj se nalazi određen sajt) ukazuje na to da se vodi računa o bezbednosnoj kulturi, tj. da li jesu ili nisu preduzete dodatne mere kako bi se vaši lični podaci zaštitili.

Sagovornik ističe da pitanje domena samo po sebi nije relevantno za zaštitu podataka o ličnosti, ali indicira da Gmail nalozi pokazuju nizak nivo bezbednosne kulture, koje samim tim ukazuje da verovatno na svim drugim bitnijim mestima organizacija takođe nema kapacitete da zaštiti podatke o ličnosti.

“U principu rukovaoc treba da ima zaključni ugovor sa svakim obrađivačem, pogotovo ako su u pitanju osetljivi podaci, kao što su zdravstveni podaci. Bitno je da postoje protokoli i procedure vezani za upravljanje podacima o organizaciji. Takođe, email komunikacija ima svoja ograničenja, ali ona može biti usklađena sa GDPR-om i zakonima”, kaže Krivokapić.

Na pitanje šta bi bila najbolja praksa, Krivokapić odgovara da bi pacijenti trebalo da budu upućeni u proceduru pre samog slanja, kao i da imaju izbor.

“Mislim da je najbolje da pacijenti imaju izbor - i dalje mogu da kažu “da, želim komfor i želim da mi se dostave podaci na email ili SMS”, ali treba da imaju i opciju da preuzmu dokumente fizički. Ukoliko im se dostavlja, bilo bi dobro da se dostavi enkriptovana dokumentacija na mail, a da nam na SMS stigne ključ (kod) pomoću koga otključamo taj dokument”, smatra on.

Advokat i prvi Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Rodoljub Šabić kaže da zakon predviđa poseban tretman zdravstvenih podataka.

Zakon o zaštiti podataka o ličnosti ("Sl. glasnik RS", br. 87/2018 - dalje: ZZPL) i Zakon o pravima pacijenata ("Sl. glasnik RS", br. 45/2013 i 25/2019 - dr. zakon - dalje: ZPP) navode da su svi ti podaci o pacijentima dostupni samo izabranim lekarima, i uslovno rečeno i njihovom osoblju - ali ni u kom slučaju ne smeju biti dostupni trećim licima bez saglasnosti (osim na osnovu odluke suda).

On navodi da je obrada medicinskih podataka rezervisana za naše lekare, a sve drugo je pod znakom pitanja.

“Ako vas je lekar pregledao i dao dijagnozu i to upakovao u jedan mail i sa svog personalnog vam poslao, i pritom nije dao nikome drugom - mala je verovatno da bi to bila nezakonita obrada podataka”, kaže Šabić.

Međutim, ako je on to dao svojoj sekretarici ili nekom trećem licu da sa njihovog mail-a to prosledi, onda je to već drugo - jer je omogućio trećem licu, koje nema pravo na te podatke, da ih vidi, naglašava on.

“Nisam mu dao zapečaćenu kovertu i rekao mu da je odnese tako u poštu, već je treće lice moglo sve da vidi i pročita od dokumentacije”, kazao je Šabić.

Redakcija N1 poslala je i upit Povereniku povodom pitanja da li je praksa slanja medicinske dokumentacije putem Gmail naloga u skladu sa ZZPL i ZZP, ali do trenutka objavljivanja ovog teksta nije stigao odgovor.

Đorđe Krivokapić kaže da su zdravstveni podaci posebno osetljivi, pogotovo kada se obrađuju u većoj količini, a slanje email-ovima je mali deo te slike.

“Poverenik mora to kontinuirano da prati i nadzire sa posebnom pažnjom, kako se ne bi zloupotrebilo”, ističe on.

Kako dalje navodi, za svakoga pojedinačno je pitanje o zdravstvenom stanju posebno osetljivo.

“Neko ko je zaposlen u firmi i ko je pred unapređenje, saznanje da je ta osoba u drugom stanju ili da ima neki ozbiljniji zdravstveni problem će direktno uticati na odluku o unapređenju”, kaže on.

Takođe, navodi i da zdravstveno stanje starije osobe koje ima naslednike direktno utiče na odnos tih naslednika, “ako su oni koristoljubivi”.

“Ako se neko bavi poslom od javnog interesa ili je aktivista, druga strana koja poznaje njegove zdravstvene slabosti može to iskoristiti u borbi protiv njega, setite se čitanja nekih dijagnoza na televiziji”, zaključuje on.

Izvor: Vebsajt N1, 09.02.2025.
Naslov: Redakcija