KORISNIČKI IZBORNIK
GDPR – opća uredba o zaštiti osobnih podataka
Sve informacije Agencije za zaštitu osobnih podataka dostupne na - Agencija za zaštitu osobnih podataka
GDPR – Opća uredba o zaštiti osobnih podataka
Opća EU Uredba o zaštiti osobnih podataka primjenjuje se od 25. svibnja 2018. godine, kada na snagu stupa i Zakon o provedbi Opće uredbe o zaštiti podataka („Narodne novine“, broj 42/18).
Stupanjem na snagu Uredbe i Zakona, prestaje važiti dosadašnji Zakon o zaštiti osobnih podataka, Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka i Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka.
U Republici Hrvatskoj nacionalno nadzorno tijelo je Agencija za zaštitu osobnih podataka – AZOP
Obrada osobnih podataka u ordinacijama dentalne medicine provodi se uz pristanak pacijenta, odnosno temeljem zakonskog odobrenja.
Ordinacije su Zakonom obvezne prikupljati i obrađivati podatke svojih pacijenata pridržavajući se pri tome svih zahtjeva zaštite osobnih podataka sukladno Uredbi.
Novom Uredbom za ordinacije dentalne medicine prestaje obveza dostavljanja evidencije o zbirkama osobnih podataka AZOP-u.
Isto je potrebno imati uredno popunjeno i pohranjeno u ordinaciji zajedno s ostalim dokumentima vezanima uz Uredbu.
Svaka ordinacija obvezna je izraditi interni akt sukladno članku 30. Uredbe, odnosno voditi evidenciju aktivnosti obrade za koje je odgovorna. Evidencija treba sadržavati slijedeće informacije:
Stupanjem na snagu Uredbe i Zakona, prestaje važiti dosadašnji Zakon o zaštiti osobnih podataka, Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka i Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka.
U Republici Hrvatskoj nacionalno nadzorno tijelo je Agencija za zaštitu osobnih podataka – AZOP
Obrada osobnih podataka u ordinacijama dentalne medicine provodi se uz pristanak pacijenta, odnosno temeljem zakonskog odobrenja.
Ordinacije su Zakonom obvezne prikupljati i obrađivati podatke svojih pacijenata pridržavajući se pri tome svih zahtjeva zaštite osobnih podataka sukladno Uredbi.
Novom Uredbom za ordinacije dentalne medicine prestaje obveza dostavljanja evidencije o zbirkama osobnih podataka AZOP-u.
Isto je potrebno imati uredno popunjeno i pohranjeno u ordinaciji zajedno s ostalim dokumentima vezanima uz Uredbu.
Svaka ordinacija obvezna je izraditi interni akt sukladno članku 30. Uredbe, odnosno voditi evidenciju aktivnosti obrade za koje je odgovorna. Evidencija treba sadržavati slijedeće informacije:
- Poslovni model organizacije – naziv i podatke za kontakt ordinacije
- Kategorije osobnih podataka koje se prikupljaju i tip ispitanika čiji se podaci pohranjuju (pacijenti, zaposlenici, poslovni partneri)
- Gdje su podaci pohranjeni (računalna baza, papirnati kartoni, registratori ugovora)
- Tko ima pristup podacima
- Koje mjere sigurnosti podataka su poduzete (sigurnosna zaštita računala, zaključana arhiva)
- Novina je obvezno prijavljivanje kompromitiranje osobnih podataka u roku od 72 sata i to svim vlasnicima osobnih podataka koji su kompromitirani te nadzornom tijelu, AZPO-u (npr: gubitak mobitela u kojem su brojevi telefona pacijenata ili njihove mail adrese te ostali podaci)
- Pravo na zaborav – kao još jedna novina koja jamči pacijentu da je na zahtjev voditelj obrade podataka dužan obrisati sve osobne podatke o pacijentu – ovdje je iznimno bitno da je čuvanje podataka propisano Zakonom o dentalnoj medicini i to u trajanju od 10 godina što predstavlja lex specialis u odnosu na Uredbu te se slijedom toga ne može udovoljiti zahtjevu podnijetom prije proteka zakonom propisanog roka!
Važno je napomenuti da je ordinacija obvezna izraditi Izjavu o povjerljivosti za sve zaposlenike koji imaju pristup osobnim podacima. S poslovnim partnerima (računovodstveni servis, informatičke kuće, dentalni laboratoriji i ostali dobavljači) predlaže se sklapanje Aneksa ugovora kojim će se regulirati povjerljivost dostupnih podataka, odnosno u koji će se ugraditi Izjava o povjerljivosti.
Nakon stupanja na snagu Uredbe i njezinog početka primjene u poslovnoj praksi, biti će poznato hoće li svaka ordinacija morati imati imenovanog službenika za zaštitu osobnih podataka ili će više ordinacija moći imenovati zajedničkog službenika, odnosno moguće je da se ta obveza uopće neće primjenjivati na ordinacije dentalne medicine. Ovog trenutka savjet je da se isti ne imenuje.
Ordinacija je obvezna svakom svom pacijentu omogućiti informaciju o tome koji se njegovi podaci koriste, prikupljaju i tko sve s njima raspolaže kao i osigurati mu da se ti podaci na odgovarajući način štite i ne distribuiraju trećim osobama bez njegove izričite privole.
Nakon stupanja na snagu Uredbe i njezinog početka primjene u poslovnoj praksi, biti će poznato hoće li svaka ordinacija morati imati imenovanog službenika za zaštitu osobnih podataka ili će više ordinacija moći imenovati zajedničkog službenika, odnosno moguće je da se ta obveza uopće neće primjenjivati na ordinacije dentalne medicine. Ovog trenutka savjet je da se isti ne imenuje.
Ordinacija je obvezna svakom svom pacijentu omogućiti informaciju o tome koji se njegovi podaci koriste, prikupljaju i tko sve s njima raspolaže kao i osigurati mu da se ti podaci na odgovarajući način štite i ne distribuiraju trećim osobama bez njegove izričite privole.
GDPR – Opća uredba o zaštiti osobnih podataka
Upute ordinacijama
Početkom primjene Opće EU Uredbe o zaštiti osobnih podataka svaka ordinacija dentalne medicine ima obvezu:
• Ustrojiti registrator u koji će odložiti sve dokumente vezane uz Uredbu
• Isprintati Izjave o povjerljivosti za sve zaposlenike ordinacije, potpisati i uložiti u registrator (PRIMJER OBRASCA)
• Napisati plan i program zaštite podataka koji se prikupljaju i obrađuju u ordinaciji – za to može poslužiti evidencija o zbirkama podataka koju možete isprintati s Internet stranice Agencije za zaštitu osobnih podataka – popuniti i arhivirati u registrator
• Temelj za većinu podataka koji se prikupljaju u ordinacije je Pravilnik o načinu vođenja osobnog zdravstvenog kartona u elektroničkom obliku („Narodne novine“, broj 82/10)
• Inače, u evidenciji Agencije je potrebno popisati SVE podatke koji se prikupljaju, odnosno koji se prikupe tijekom liječenja pacijenta, npr. gipsani modeli čeljusti, rendgenske snimke, drugi otisci ili snimke.
• Za sve podatke koje Vam pacijenti daju, a izvan su propisanih Pravilnikom ili drugim zakonima, obvezni ste zatražiti njihovu pisanu privolu – suglasnost da podatak prikupite i obrađujete, odnosno koristite. Tu bi spadali brojevi mobitela, mail adresa.. Privola se može dati i mailom prilikom kontakta s pacijentom (kad mu se obratite zatražite ga da u odgovoru na mail da svoju privolu da ga i dalje možete kontaktirati na taj mail i da Vam ga dobrovoljno daje)
• Ukoliko Vam poslovni partneri (dobavljači, informatičari ili knjigovodstveni servis) već nisu uputili Aneks ugovora s izjavom o povjerljivosti, spomenite im Vi tu potrebu ili ih zatražite potpisivanje Izjave o povjerljivosti prilikom prvog kontakta
• Izradite interni akt (sukladno članku 30. Uredbe) u kojem ćete naznačiti:
o koje sve osobe u ordinaciji imaju pristup pacijentima,
o kako su podaci zaštićeni (to se konzultirajte s informatičarima jer oni osiguravaju da su Vam računala zaštićena šiframa),
o spomenite evidenciju o zbirkama podataka koju ste prije toga izradili (natuknica 3) i navedite ostale podatke koje prikupljate (podaci o zaposlenicima, partnerima..),
o napišite kako se u postupanju s osobnim podacima pridržavate svih obveza propisanih Uredbom (naznačiti da ste upoznati s obvezom obavješćivanja nadzornog tijela AZOP i svih čiju podaci budu eventualno kompromitirani, odnosno sazna ih treća neovlaštena osoba, i to u roku od 72 sata, da dokumentaciju čuvate u rokovima koji su određeni Zakonom o dentalnoj medicini, 10 godina)
• Akt je običan word dokument s najbitnijim podacima koji uz Vaš potpis i žig također uložite u registrator
• Trenutno nije potrebno imenovanje službenika za zaštitu podataka, a sve o primjeni Uredbe u praksi biti će poznato kad se ista počne primjenjivati i kad se o istom oglasi nadzorno tijelo, odnosno AZOP
Obrada osobnih podataka putem videonadzora
Prema članku 27. Zakona o provedbi opće Uredbe o zaštiti podataka („Narodne novine“ br. 42/18), voditelj obrade ili izvršitelj obrade (ordinacija dentalne medicine, zdravstvena ustanova ili trgovačko društvo), dužni su označiti da je objekt odnosno pojedina prostorija u njemu te vanjska površina objekta pod videondzorom, a oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja.
Obavijest treba sadržavati sve relevantne informacije sukladno odredbi članka 13. Opće uredbe o zaštiti podataka, a posebno jednostavnu i laku razumljivu sliku uz tekst kojim se ispitanicima pružaju slijedeće informacije:
• da je prostor pod videonadzorom,
• podatke o voditelju obrade (naziv ordinacije, zdravstvene ustanove ili trgovačkog društva),
• podatke za kontakt putem kojih ispitanik može ostvariti svoja prava.
Slijedom navedenog, svi koji su do sada koristili naljepnicu s obaviješću da je objekt pod videonadzorom, trebaju je zamijeniti novom naljepnicom na kojoj će biti upisan i podatak o voditelju obrade te podatci o kontaktu, odnosno na postojećoj naljepnici dodati propisane nedostatne podatke.
Temeljem članka 28. Zakona o provedbi opće Uredbe o zaštiti podataka, pravo pristupa osobnim podacima prikupljenim putem videonadzora ima odgovorna osoba voditelja obrade, odnosno izvršitelja obrade i/ili osoba koju on ovlasti.
Voditelj obrade i izvršitelj obrade dužni su uspostaviti automatizirani sustav zapisa za evidentiranje pristupa snimkama vidonadzora koji će sadržavati vrijeme i mjesto pristupa, kao i oznaku osoba koje su izvršile pristup podacima prikupljenim putem videonadzora. Provjerite, no noviji sustavi videonadzora uglavnom imaju već ugrađen automatizirani sustav zapisa koji sadržava vrijeme i mjesto pristupa, pa nema potrebe za dodatnim postupanje.
Snimke dobivene putem videonadzora mogu se čuvati najviše šest mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku.
U članku 51. naprijed navedenog Zakona propisane su upravne novčane kazne u iznosu do 50.000,00 kn za voditelja i izvršitelja obrade koji ne postupi prema članku 27. i 28. Zakona.
Službenik za zaštitu podataka
Alojz Mihael Bračanov
spec.admin.publ.