Agencija za zaštitu osobnih podataka (u daljnjem tekstu: Agencija) kao samostalno i neovisno državno tijelo nadzire provedbu Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. 04. 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka (u daljnjem tekstu: Opća uredba o zaštiti podataka) i obavlja poslove u okviru djelokruga i nadležnosti utvrđenih Zakonom o provedbi Opće uredbe o zaštiti podataka („Narodne novine“, br. 42/18.) kojim se osigurava provedba Opće uredbe o zaštiti podataka. Neki od tih poslova su i davanje mišljenja drugim institucijama i tijelima te javnosti o svakom, specifično ili načelno postavljenom upitu u vezi sa zaštitom osobnih podataka.
U ovom članku autorica donosi prikaz recentnih mišljenja koje je Agencija objavila na svojim službenim mrežnim stranicama, a koja su dana kao odgovori na različite upite građana u području obrade osobnih podataka u zdravstvu.
Mišljenje Agencije koje se odnosi na objavu podataka o bolovanju radnika
Dana 13. siječnja 2023. Agencija je na svojim službenim mrežnim stranicama objavila mišljenje u kojem adresira slučaj obrade osobnih podataka radnika od strane poslodavca objavljivanjem podataka o bolovanju radnika u datoteci koja je dostupna većem broju ljudi.
Na samom početku svog mišljenja Agencija ističe kako se od 25. svibnja 2018., u svim državama članicama Europske unije, pa tako i u Republici Hrvatskoj, izravno primjenjuje Opća uredba o zaštiti podataka te ukazuje na relevantne odredbe, i to odredbe iz članka 4.1. Opće uredbe o zaštiti podataka u kojima je navedeno sljedeće:
“osobni podaci su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca“
Nadalje, Agencija ukazuje kako sukladno članku 4.2. Opće uredbe o zaštiti podataka, „obrada znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje“, te kako sukladno članku 5. „osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika (načelo zakonitosti, poštenosti i transparentnosti); prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama (načelo ograničavanja svrhe); primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju (načelo smanjenja količine podataka); točni i prema potrebi ažurni (načelo točnosti); čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju (načelo ograničenja pohrane); obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti)“.
Člankom 6., stavkom 1. Opće Uredbe o zaštiti podataka, naglašava Agencija, propisano je da je „obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: (a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; (c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; (d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; (f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete“.
Naposljetku, u svom mišljenju Agencija ističe kako je sukladno članku 9. stavku 1. Opće uredbe o zaštiti podataka, „zabranjena obrada podataka koji se odnose na zdravlje kao posebnoj kategoriji osobnih podataka. Iznimno, sukladno stavku 2. istog članka, posebne kategorije osobnih podataka mogu se obrađivati ukoliko je ispitanik dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha odnosno ako je takva obrada nužna za potrebe izvršavanja obveza i ostvarivanje posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te u drugim taksativno navedenim slučajevima u predmetnom članku.“
S tim u vezi Agencija nadalje posebno ukazuje na to da podaci o zdravlju predstavljaju posebnu kategoriju osobnih podataka koja zaslužuje veći stupanj zaštite te kako bi se predmetni podaci trebali obrađivati samo u svrhe povezane sa zdravljem radi ostvarivanja tih svrha u korist pojedinca i društva u cjelini.
Nadalje, Agencija ukazuje na relevantne odredbe Zakona o radu (“Narodne novine”, br. 93/14. i 127/17.), koji kao lex specialis propisuje prava i obveze radnika i poslodavca koja proizlaze ili su vezana uz radni odnos pa u tom smislu ukazuje na odredbe koje reguliraju zaštitu privatnosti radnika.
Naime, članak 29. Zakona o radu propisuje da se „osobni podaci radnika smiju prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo ako je to određeno ovim ili drugim zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom. Ako je osobne podatke iz stavka 1. ovoga članka potrebno prikupljati, obrađivati, koristiti ili dostavljati trećim osobama radi ostvarivanja prava i obveza iz radnoga odnosa, odnosno u vezi s radnim odnosom, poslodavac mora unaprijed pravilnikom o radu odrediti koje će podatke u tu svrhu prikupljati, obrađivati, koristiti ili dostavljati trećim osobama“.
Nadalje, Agencija u svom mišljenju ukazuje kako s aspekta pravnog okvira zaštite osobnih podataka, obrada osobnih podataka mora prije svega biti u skladu s odredbama kako Opće uredbe o zaštiti podataka, tako i osnovnim načelima zaštite osobnih podataka kao što su zakonitost, svrhovitost, povjerljivost, točnost, potpunost, ažurnost, obrada osobnih podataka na pošten način.
Shodno iznesenom, navodi Agencija, obrada osobnih podataka u konkretnom slučaju bila bi zakonita samo pod uvjetom kada bi za takvu obradu osobnih podataka postojala pravna osnova i zakonita/opravdana svrha u smislu članak 5. i 6. Opće uredbe o zaštiti podataka, odnosno ukoliko su ispunjeni uvjeti iz članka 9. Opće uredbe o zaštiti podataka.
Konačno, Agencija zaključuje, s obzirom na općenitost zaprimljenog upita (ističe se kako nije razvidno tko su osobe kojima su dostupni podaci o bolovanju te koja su njihova ovlaštenja sukladno posebnim propisima), kako u konkretnom slučaju ne nalazi pravnu osnovu i zakonitu svrhu za opisano postupanje u smislu članaka 5., 6. i 9. Opće uredbe o zašiti podataka.
Mišljenje Agencije koje se odnosi na brisanje medicinske dokumentacije
Agencija je zaprimila upit građanina vezan za brisanje osobnih podataka od strane jedne privatne poliklinike te na isti dala svoj odgovor sadržan u mišljenju objavljenom dana 13. siječnja 2023. na službenim mrežnim stranicama Agencija.
Ukazujući na relevantne odredbe iz članaka 4., 5. i 6. Opće uredbe o zaštiti podataka, Agencija u ovom mišljenju posebno apostrofira odredbu iz članka 6. koja utvrđuje uvjete zakonite i poštene obrade osobnih podataka.
Kako se u mišljenju navodi, primjena jedne od tih šest osnova 1mora biti uspostavljena prije aktivnosti obrade u odnosu na posebnu svrhu, što znači da je privola samo jedan od pravnih osnova za zakonitu obradu te ista nije potrebna ako voditelj obrade obrađuje osobne podatke na nekoj drugoj pravnoj osnovi iz članka 6. Opće uredbe o zaštiti podataka.
Nastavno na navedeno, Agencija u svom mišljenju ističe kako je sukladno članku 9. stavku 1. Opće uredbe o zaštiti podataka, „zabranjena obrada osobnih podataka koji se odnose na zdravlje kao posebnoj kategoriji osobnih podataka“.
Iznimno, sukladno stavku 2. točki h) istog članka, „predmetni podaci koji se odnose na zdravlje mogu se obrađivati ukoliko je obrada nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim sustavima i uslugama na temelju prava Europske unije ili prava države članice ili u skladu s ugovorom sa zdravstvenim radnikom te u skladu s uvjetima i zaštitnim mjerama iz stavka 3. istog članka, odnosno kada te podatke obrađuje stručno tijelo ili se podaci obrađuju pod odgovornošću stručnog tijela koje podliježe obvezi čuvanja poslovne tajne sukladno pravu Europske unije ili pravu države članice ili pravilima koja su odredila nadležna nacionalna tijela ili druga osoba koja također podliježe obvezi čuvanja tajne sukladno pravu Europske unije ili pravu države članice ili pravilima koja su utvrdila nadležna nacionalna tijela“.
Nadalje, Agencija ukazuje na odredbu iz članka 17. Opće uredbe o zaštiti podataka koja propisuje „pravo na brisanje ili „pravo na zaborav” sukladno kojem ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja, slijedom čega je voditelj obrade obvezan obrisati osobne podatke bez nepotrebnog odgađanja ukoliko osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni; ispitanik povuče privolu na kojoj se obrada temelji u skladu s člankom 6. stavkom 1. točkom (a) ili člankom 9. stavkom 2. točkom (a) i ako ne postoji druga pravna osnova za obradu te u drugim taksativno navedenim slučajevima u predmetnom članku“.
Pritom se u mišljenju ističe kako se sukladno taksativno navedenim uvjetima u stavku 3. predmetnog članka 17. Opće uredbe o zaštiti podataka, „navedeno ne primjenjuje u mjeri u kojoj je obrada nužna“2.
Nadalje, Agencija u ovom mišljenju ukazuje na Zakon o zdravstvenoj zaštiti („Narodne novine“, br. 100/18. i 125/19.) koji u konkretnom slučaju kao lex specialis propisuje kako zdravstvenu djelatnost obavljaju zdravstvene ustanove, trgovačka društva i privatni zdravstveni radnici pod uvjetima i na način propisan predmetnim Zakonom o zdravstvenoj zaštiti, zakonima kojima se uređuju profesije u zdravstvu te zakonom kojim se uređuje obvezno zdravstveno osiguranje, zakonom kojim se uređuje obvezno zdravstveno osiguranje i zdravstvena zaštita stranaca u Republici Hrvatskoj te zakonom kojim se uređuje osnivanje i ustrojstvo ustanova i zakonom kojim se uređuju trgovačka društva. Iznimno, prema članku 41. Zakona o zdravstvenoj zaštiti, zdravstvenu djelatnost mogu obavljati i druge pravne i fizičke osobe u skladu s posebnim zakonom.
Naime, a kako se u mišljenju Agencije posebno ističe, sukladno članku 163. Zakona o zdravstvenoj zaštiti, „zdravstveni radnici dužni su čuvati kao profesionalnu tajnu sve što znaju o zdravstvenom stanju pacijenta. Na čuvanje profesionalne tajne obvezni su i drugi radnici u zdravstvu koji za nju saznaju u obavljanju svojih dužnosti te studenti i učenici škola zdravstvenog usmjerenja. Na čuvanje profesionalne tajne obvezne su i sve druge osobe koje u obavljanju svojih dužnosti dođu do podataka o zdravstvenom stanju pacijenta“
Prema članku 165. Zakona o zdravstvenoj zaštiti „prikupljanje, preuzimanje te korištenje podataka i informacija u zdravstvu, vođenje zbirki podataka i medicinske dokumentacije uređuju se posebnim zakonom kojim se uređuje područje podataka i informacija u zdravstvu.“
Nadalje, Agencija ukazuje i na relevantne odredbe iz članka 23. Zakona o liječništvu („Narodne novine“, br. 121/03. i 117/08.), kojima je propisano vođenje i čuvanje medicinske dokumentacije sukladno kojem je „liječnik obvezan voditi točnu, iscrpnu i datiranu medicinsku dokumentaciju u skladu s propisima o evidencijama na području zdravstva, koja u svakom trenutku može pružiti dostatne podatke o zdravstvenom stanju pacijenta i njegovu liječenju. Liječnik ili odgovorna osoba zdravstvene ustanove, trgovačkog društva ili druge pravne osobe koja obavlja zdravstvenu djelatnost obvezni su čuvati podatke o ambulantnom liječenju bolesnika deset godina nakon završenog liječenja, a nakon toga roka obvezni su postupiti prema propisima o čuvanju dokumentacije.“
Isto tako, s aspekta zaštite pojedinca u pogledu obrade osobnih podataka iz Agencija navode da pojedinac (ispitanik) ima prava temeljem Opće uredbe o zaštiti podataka koja nisu apsolutna već za njihovo ostvarivanje moraju biti ispunjeni uvjeti navedeni u Općoj uredbi za zaštitu podataka.
Slijedom svega navedenog, zaključuje Agencija u predmetnom mišljenju, u konkretnom slučaju razvidno je da postoji čitav niz posebnih propisa koji propisuju ne samo pravo već i obvezu liječnika u pogledu obrade osobnih podataka pacijenta te da ih čuvaju/postupaju s njima sukladno propisima. Prema tome, Agencija u svom mišljenju na postavljeni upit odgovara da ukoliko predmetna poliklinika kao voditelj obrade osobnih podataka obrađuje osobne podatke pacijenata sukladno posebnim propisima odnosno ukoliko je takva obrada nužna radi poštovanja pravnih obveza sukladno članku 6. stavku 1. točki c) tada predmetni propisi predstavljaju pravnu osnovu za obradu/čuvanje osobnih podataka/medicinske dokumentacije.
Maja Bilić Paulić, mag. iur.
IZVORI:
^ 1 Prema članku 6. stavku 1. Opće uredbe o zaštiti podataka, obrada osobnih podataka je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
^ 2 Prema članku 17. stavku 3. Opće uredbe o zaštiti podataka stavci 1. i 2. članka 17. koji reguliraju pravo na brisanje ne primjenjuju se u mjeri u kojoj je obrada nužna:
(a) radi ostvarivanja prava na slobodu izražavanja i informiranja;
(b) radi poštovanja pravne obveze kojom se zahtijeva obrada u pravu Unije ili pravu države članice kojem podliježe voditelj obrade ili za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(c) zbog javnog interesa u području javnog zdravlja u skladu s člankom 9. stavkom 2. točkama (h) i (i) kao i člankom 9. stavkom 3.;
(d) u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. u mjeri u kojoj je vjerojatno da se pravom iz stavka 1. može onemogućiti ili ozbiljno ugroziti postizanje ciljeva te obrade; ili
(e) radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.
