GDPR - Opća uredba o zaštiti osobnih podataka
Uvod
GDPR (general data protection regulation) je opća uredba o zaštiti podataka te u principu se nadopunjuje na zakon objavljen u Narodnim Novinama 103/2003 o zaštiti osobnih podataka o fizičkim osobama te nadzor nad prikupljanjem, obradom i korištenjem osobnih podataka u Republici Hrvatskoj. Prema novom zakonu objavljenom u Narodnim Novinama 42/2018., promjene stupaju na snagu 25 svibnja 2018 godine s osnovnim ciljevima:
1. Uskladiti zakone o zaštiti osobnih podataka u cijeloj Europi
2. Zaštita i podizanje samosvijesti kod svih građana EU o korištenju osobnih podataka
3. Podizanje samosvijesti i promjena načina pristupa i korištenja osobnih podataka u organizacijama (kako zaposlenika tako i klijenata).
Odredbama Zakonom o zaštiti osobnih podataka („Narodne novine“, broj:106/12, pročišćeni tekst) propisano je da se osobni podaci moraju obrađivati pošteno i zakonito uz valjani pravni temelj i zakonitu svrhu.
Medicinska dokumentacija sadrži podatke o zdravlju koji spadaju u posebnu kategoriju osobnih podataka koji se samo iznimno mogu prikupljati i dalje obrađivati pod uvjetima iz članka 8. navedenog Zakona, između ostalog ako je obrada podataka potrebna u svrhu izvršavanja prava i obveza koje ima voditelj zbirke osobnih podataka na temelju posebnih propisa.
GDPR donosi sljedeće promjene za tvrtke:
- Po zahtjevu vlasnika osobnih podataka, svaku radnju potrebno je odraditi u najkraćem roku (ne dužem od 30 dana), te dokazati da su tražene radnje izvršene
- U komunikaciji s vlasnicima osobnih podataka, važno je koristiti jednostavan, jednoznačan i svima razumljiv jezik
- Potrebno je dobiti jednoznačnu privolu za obradu osobnih podataka, a za maloljetnike – suglasnost njihovog zakonskog predstavnika
- Informiranje vlasnika osobnih podataka najkasnije 72 sata nakon curenja podataka
- Uskraćivanje privole za slanje poruka u direktnom marketingu
- Traženje posebne pravne suglasnosti pri transferu osobnih podataka građana EU u zemlje za koje EU nije dala odobrenje
- U dizajnu je potrebno ugraditi podršku zaštiti osobnih podataka
- Definiranje uvjeta obrade podataka s drugim tvrtkama, ukoliko se podaci prikupljaju u ime drugih
- Prema intezitetu i vrsti obrade osobnih podataka, trebalo bi imenovati Službu za zaštitu osobnih podataka
- Potrebno je provesti analizu utjecaja za obradu osobnih podataka koje predstavljaju veliki rizik (po potrebi)
- Smanjene količine podataka što dovodi do lakšeg i jeftinijeg kontroliranja i održavanja
Pojašnjenja definicija GDPR odredbi:
Osobni podaci su svi podaci fizičke osobe na temelju koje se ona može identificirati i ako se još ti podaci na bilo koji način organiziraju, upotrebljavaju, pohranjuju prema posebnim kriterijima, dolazi do obrade osobnih podataka.
Voditelj obrade je fizička ili pravna osoba koja obavlja neku gospodarsku djelatnost i koja u svom poslovanju identificira određene fizičke osobe putem njenih osobnih podataka i te osobne podatke organizira, upotrebljava, pohrnjuje u svrhu obračuna plaće (zakonska obveza), izvršenja ugovora s poslovnim partnerom, prodaje svojih usluga klijentima i slično.
Voditelji obrade koji su dio grupe poduzetnika ili institucija povezanih sa središnjim tijelom mogu imati legitimni interes za prijenos osobnih podataka unutar grupe poduzetnika za unutarnje administrativne potrebe, među ostalima, za obradu osobnih podataka klijenata ili zaposlenika (npr. prijenos podataka između trgovačkih društva i njegovih podružnica, između ispostave porezne uprave i Ministarstva financija i slično)
Prava ispitanika su:
- pravo na transparentnost
- pravo na pristup podacima
- pravo na ispravak
- pravo na zaborav (brisanje osobnih podataka)
- pravo na ograničenje obrade
- pravo na prenosivost podataka
- pravo na prigovor
- pravo protivljenja odluci na temelju profila
NAPOMENA: pravo na brisanje ograničeno je u slučajevima za koje se utvrđuje da je obrada nužna radi ostvarivanja propisanih obveza ili javnog interesa (npr. poslodovac neće moći postupiti prema zahtjevu ispitanika - zaposlenika za brisanje njegovih osobnih podataka koji su nužni za obračun i isplatu plaće radniku, jer je obračun i isplata plaće zaposleniku zakonska obveza poslodavca.
Obveze voditelja obrade u odnosu na prava ispitanika su:
- informirati ispitanika u pisanom obliku ili drugim sredstvimaodnosno elektroničkim putem jasnim i jednostavnim jezikom
- omogućiti ispitaniku podnošenje zahtjeva (izdavanje preslike njegovih podataka, ispravljanje netočnih podataka, brisanje osobnih podataka, ograničenje obrade...)
- prenjeti drugom voditelju obrade osobne podatke ispitanika
- upozoriti i omogućiti podnošenje prigovora
- odrediti osobu nadležnu za zaprimanje zahtjevaispitanika i upravljanje procesom rješavanja
- osigurati način na koji će se ispitanik moći protiviti odluc
Dokazivanje ispunjenja navedenih obveza voditelja obrade ovise o njegovom poslovnom procesu i činjenici ima li on internetsku stranicu ili ne (npr. ako ima, tada će dokazati usklađenje i omogućiti ispitaniku ispunjenje njegovih prava informirajući ispitanika na svojoj internetskoj stranici i propisivanjem može bitnih obrazaca navedenih zahtjeva i načina podnošenja zahtjeva i prigovora, a ako nema internetsku stranicu, tada će ispitanika informirati o njegovim pravima putem brošura i materijala u svojim poslovnim prostorijama.)
Ogledni primjerk općenitog autonomnog internog akta voditelja obrade nije novina jer je ista evidencija već propisana u Narodnim novinama 105/2004 - Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka
Hrvatska ljekarnička komora - Smjernice za Opću uredbu o zaštiti osobnih podataka (GDPR)
U potpunosti Vam prenosimo obavijest sa stranica HLJK:
Hrvatska ljekarnička komora je održala sastanak u Agenciji za zaštitu osobnih podataka pri čemu je utvrđeno da je jedino AZOP ovlašten davati upute za provođenje ove Uredbe i stoga su ovo samo smjernice kojima Vam nastojimo olakšati ovo početno razdoblje prilagodbe dok AZOP ne provede ispitivanje provođenja Uredbe u praksi.
Molimo Vas da svaki Vaš upit koji proiziđe iz prakse nakon početka primjene GDPR-a proslijedite nama kako bismo odgovor na isti mogli autorizirati od strane AZOP-a te Vam ga dostaviti u najkraćem roku.
Svaka naknadna ideja i upit, a koja može olakšati usklađivanje prakse sa GDPR Uredbom je dobrodošla te će od strane Hrvatske ljekarničke komore biti poslana AZOP-u na autorizaciju odgovora.
Zajedno sa primjenom Uredbe počinje i primjena Zakona o provedbi navedene uredbe koji će detaljnije propisivati potrebna postupanja.
Stupanjem na snagu Zakona o provedbi Uredbe prestaje sa primjenom Zakon o zaštiti osobnih podataka (»Narodne novine«, br. 103/03., 118/06., 41/08., 130/11. i 106/12. – pročišćeni tekst), Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka (»Narodne novine«, br. 105/04.) i Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka (»Narodne novine«, br. 139/04.). Upute su napravljene u dogovoru sa proizvođačima ljekarničkih softvera.
GDPR je Opća uredba o zaštiti osobnih podataka koja se počinje primjenjivati od 25. svibnja 2018. godine .
Ova Uredba je donesena radi osiguranja dosljedne razine zaštite pojedinaca širom Europske unije te radi pružanja pravne sigurnosti, transparentnosti i iste razine pravne odgovornosti za voditelje obrade i izvršitelje obrade kako bi se osiguralo postojano praćenje obrade osobnih podataka i jednake sankcije u svim državama članicama te djelotvorna suradnja između nadzornih tijela država članica.
Potrebno je obratiti pozornost na zaštitu osobnih podataka na način da ne postanu dostupni trećim osobama, odnosno da ne dođe do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
Na razini Vaše ljekarne nužno je napraviti slijedeće:
- Donijeti poslovnu odluku o imenovanju službenika za zaštitu osobnih podataka koji je zadužen za provođenje zadaća iz članka 39. Uredbe.
Voditelj obrade, odnosno Ljekarna je obavezna sukladno članku 24. Uredbe provoditi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Navedene mjere se mogu prema potrebi preispitivati i ažurirati.
- Donijeti politiku zaštite osobnih podataka.
Svaki voditelj obrade bi trebao napraviti politiku zaštite osobnih podataka (pravila postupanja)
- Utvrditi potreban sigurnosni profil za arhiviranje podataka.
- Ljekarna je dužna voditi evidenciju aktivnosti obrade (članak 30. stavak 5.) za određene baze podataka.
Hrvatska ljekarnička komora je pripremila smjernice za sljedeće baze podataka koje je nužno unijeti u evidenciju obrade
- Knjiga privatnih recepata
Regulirano Pravilima dobre ljekarničke prakse u članku 21. naznačeno je da se dokumentacija čuva u skladu s pozitivnim propisima, a rokovi čuvanja su navedeni u prilogu 3: za Knjigu evidencije o primanju i izdavanju opojnih droga 10 godina te za Knjigu kopija recepata 5 godina.
Nakon isteka roka čuvanja recepte za tu godinu je potrebno adekvatno uništiti rezačem papira. Ukoliko se ova dokumentacija čuva u ugovornim arhivima, arhiv je odgovoran za adekvatno zbrinjavanje recepata nakon isteka roka čuvanja. Strogo je zabranjeno bacanje neuništene dokumentacije u kontejnere s komunalnim otpadom jer su tom slučaju osobni podaci pacijenata dostupni trećim osobama. Svaku odgovornost u tom slučaju snosi voditelj obrade osobnih podataka sukladno Uredbi.
- Knjiga narkotika
Identifikacija pacijenta i arhiviranje osobnih podataka prilikom izdavanja lijekova na recept i opojnih droga određeno je:
- Pravilnikom o mjerilima za razvrstavanje lijekova te načinu propisivanja i izdavanja lijekova na recept (članak 30.,31.,38. i 40.)
- Pravilnikom o uvjetima i načinu postupanja s narkoticima i psihotropnim tvarima (članak 20.)
- Pravilima dobre ljekarničke prakse (članak 13. i 15, članak 21. i prilog 3)
- Zakonom o suzbijanju zloupotrebe opojnih droga
- Nefakturirani papirnati recepti
Do fakturiranja HZZO-u držati u zaključanoj ladici bez mogućnosti pristupa trećim osobama koje nisu djelatnici ljekarne.
- Fakturirani papirnati recepti
Nakon fakturiranja recepti postaju dio računovodstvene dokumentacije koju je potrebno čuvati 11 godina. Rok je propisan Zakonom o računovodstvu, članak 10. koji definira čuvanje knjigovodstvenih isprava ili zbog mogućnosti nastanka sudskog spora. Potrebno ih je držati pod ključem budući da se na njima nalaze osobni podaci pacijenta i dozvoliti pristup samo ovlaštenim osobama.
Ugovorni partneri Zavoda obvezuju se osobne podatke učiniti dostupnim samo onim osobama koje su neposredno zadužene i ovlaštene za sudjelovanje u provođenju ugovornih obveza sa Zavodom.
- Doznake
Regulirano Pravilnikom o ortopedskim i drugim pomagalima članak 13. stavak 3. te ih je potrebno čuvati 11 godina.
Do fakturiranja HZZO-o držati u zaključanoj ladici/sefu u blizini recepture.
- Europska kartica EU osiguranika
Potrebno je pričekati praksu provođenja nakon početka primjene Uredbe.
HZZO-u je upućen upit od strane Hrvatske ljekarničke komore nastavno na Europsku karticu zdravstvenog osiguranja (EKZO) obzirom da imamo informacije da navedeni portal ne radi. Nastavno na navedeno stigao je sljedeći odgovor:
„E-usluga kojom se osiguranicima (građanima RH) daje mogućnost podnošenja zahtjeva za izdavanje EKZO je u produkciji od 1.srpnja 2013. i od tada radi bez prekida.“
- ·Računi izdani na ime
Ovdje se radi o elektronskom čuvanju računa. Kopija se nalazi u e-obliku tako da nema potrebe čuvati račune fizički pod ključem.
- Kartice vjernosti
Ispunjene privole sa svim osobnim podacima moraju se čuvati u zatvorenim omotnicama u najkraćem roku do prosljeđivanja izvršitelju obrade.
Ukoliko kupac na Kartici ne označi privolu i ne potpiše je, ne smije ga se unositi u bazu podataka.
Za postupanje s Karticama vjernosti tražiti upute od izdavatelja.
- Popis liječnika
Postupanje ostaje isto jer je sukladno članku 6. Uredbe - obrada nužna za potrebe legitimnih interesa voditelja obrade te je opravdana zbog zdravstvenih svrha, kao što su javno zdravlje i upravljanje službama za zdravstvenu skrb.
- Popis pacijenata
Postupanje ostaje isto jer je sukladno članku 6. Uredbe - obrada nužna za potrebe legitimnih interesa voditelja obrade te je opravdana zbog zdravstvenih svrha, kao što su javno zdravlje i upravljanje službama za zdravstvenu skrb.
- Kartica pacijenta
Postupanje ostaje isto jer je sukladno članku 6. Uredbe - obrada nužna za potrebe legitimnih interesa voditelja obrade te je opravdana zbog zdravstvenih svrha, kao što su javno zdravlje i upravljanje službama za zdravstvenu skrb.
Potrebno je arhiviranje radi pružanja adekvatne ljekarničke skrbi (podiže li pacijent svoju terapiju na vrijeme, uvid u promjenu terapije pacijenta- doza i oblik, informacije o veličini i vrsti ortopedskog pomagala koje je prethodno podignuto).
- Evidencija posudbi
Postupanje ostaje isto jer je sukladno članku 6. Uredbe - obrada nužna za potrebe legitimnih interesa voditelja obrade te je opravdana zbog zdravstvenih svrha, kao što su javno zdravlje i upravljanje službama za zdravstvenu skrb.
- Podsjetnik za ispis recepata
Predlaže se nastavak ispisa, ali bez osobnih podataka na dokumentu.
- Informatička zaštita lozinke, sigurnosni profil i transfer
Transfer podataka prema HZZO-u je riješen VPN-om.
Hrvatska ljekarnička komora će svojim članovima poslati linkove na web stranice G8 gdje se mogu naći upute o postupanju kod čuvanja podataka obzirom da postoji jasna zakonska obveza o postupanju sa istim, a nužna je zbog velikih troškova i poteškoća pri njihovom gubitku i krađi.
- Video nadzor
Sukladno članku 27. Zakona o provedbi Opće uredbe o zaštiti podataka, voditelj obrade ili izvršitelj obrade dužan je označiti da je objekt, odnosno pojedina prostorija u njemu te vanjska površina objekta pod video nadzorom, a oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja.
Nastavno na navedeno potrebno je:
- Podesiti sustav pohrane tako da se podaci čuvaju najdulje 6 mjeseci za sve jedinice.
- Uspostaviti automatizirani sustav zapisa za evidentiranje pristupa snimkama video nadzora koji će sadržavati vrijeme i mjesto pristupa, kao i oznaku osoba koje su izvršile pristup podacima prikupljenim putem video nadzora.
- IZRADITI NOVE NALJEPNICE koje sukladno članku 13. Uredbe moraju sadržavati sljedeće informacije:
- da je prostor pod video nadzorom
- podatke o voditelju obrade
- podatke za kontakt putem kojih ispitanik može ostvariti svoja prava.
Sukladno članku 28. Zakona o provedbi Opće uredbe o zaštiti podataka, pravo pristupa osobnim podacima prikupljenim putem video nadzora ima odgovorna osoba voditelja obrade odnosno izvršitelja obrade i/ili osoba koju on ovlasti. Navedene osobe ne smiju koristiti snimke iz sustava video nadzora suprotno svrsi utvrđenoj u članku 26. stavku 1. ovoga Zakona.
Sustav video nadzora mora biti zaštićen od pristupa neovlaštenih osoba.
Ed Borel d.o.o. CMP Savica Šanci 131, 10000 ZAGREB
tel: (+385 1) 24 09 070, tel: (+385 1) 24 06 083, fax: (+385 1) 24 06 082
Ed Borel d.o.o. CMP Savica Šanci 131, 10000 ZAGREB
tel: (+385 1) 24 09 070, tel: (+385 1) 24 06 083, fax: (+385 1) 24 06 082