Objavljeno: 13.01.2023.
Agencija za zaštitu osobnih podataka (u daljnjem tekstu: Agencija) zaprimila je Vaš općenit upit vezan uz brisanje Vaših osobnih podataka od strane privatne poliklinike. Nastavno na navedeno, s aspekta propisa o zaštiti osobnih podataka, dajemo sljedeći načelan odgovor:
Ističemo kako se od 25. svibnja 2018., u svim državama članicama Europske unije, pa tako i u Republici Hrvatskoj u području zaštite osobnih podataka fizičkih osoba, izravno primjenjuje Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119.
Navedena Opća uredba o zaštiti podataka u članku 4. stavak 1. točka 1. propisuje da su osobni podaci svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, a pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Nadalje, člankom 5. Opće uredbe o zaštiti podataka propisana su načela obrade osobnih podataka pa tako osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika (načelo zakonitosti, poštenosti i transparentnosti); prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama (načelo ograničavanje svrhe); primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju (načelo smanjenje količine podataka); točni i prema potrebi ažurni (načelo točnosti); čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju (načelo ograničenja pohrane); obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti).
Obrada osobnih podataka je zakonita ako je ispunjen jedan od uvjeta propisanih člankom 6. Opće uredbe o zaštiti podataka, odnosno u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; obrada je nužna radi poštovanja pravnih obveza voditelja obrade; obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Prema tome, člankom 6. Opće uredbe o zaštiti podataka utvrđeni su uvjeti zakonite i poštene obrade osobnih podataka te je opisano šest zakonitih osnova na koje se voditelj obrade može pozvati. Primjena jedne od tih šest osnova mora biti uspostavljena prije aktivnosti obrade u odnosu na posebnu svrhu, što znači da je privola samo jedan od pravnih osnova za zakonitu obradu te ista nije potrebna ako voditelj obrade obrađuje osobne podatke na nekoj drugoj pravnoj osnovi iz članka 6. Opće uredbe o zaštiti podataka.
Nadalje, sukladno članku 9. stavak 1. Opće uredbe o zaštiti podataka, zabranjena je obrada osobnih podataka koji se odnose na zdravlje kao posebnoj kategoriji osobnih podataka. Iznimno, sukladno stavku 2. točka h) istog članka, navedeni podaci mogu se obrađivati ukoliko je obrada nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim sustavima i uslugama na temelju prava Unije ili prava države članice ili u skladu s ugovorom sa zdravstvenim radnikom te u skladu s uvjetima i zaštitnim mjerama iz stavka 3. u predmetnom članku, odnosno kada te podatke obrađuje stručno tijelo ili se podaci obrađuju pod odgovornošću stručnog tijela koje podliježe obvezi čuvanja poslovne tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su odredila nadležna nacionalna tijela ili druga osoba koja također podliježe obvezi čuvanja tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su utvrdila nadležna nacionalna tijela.
Člankom 17. Opće uredbe o zaštiti podataka propisano je pravo na brisanje ili „pravo na zaborav” sukladno kojem ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja te voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni; ispitanik povuče privolu na kojoj se obrada temelji u skladu s člankom 6. stavkom 1. točkom (a) ili člankom 9. stavkom 2. točkom (a) i ako ne postoji druga pravna osnova za obradu te u drugim taksativno navedenim slučajevima u predmetnom članku.
Pritom ističemo kako se sukladno taksativno navedenim uvjetima u stavku 3. predmetnog članka 17. Opće uredbe o zaštiti podataka, navedeno ne primjenjuje u mjeri u kojoj je obrada nužna.
Nadalje, Zakonom o zdravstvenoj zaštiti („Narodne novine“, broj 100/18 i 125/19) propisano je da zdravstvenu djelatnost obavljaju zdravstvene ustanove, trgovačka društva i privatni zdravstveni radnici pod uvjetima i na način propisan predmetnim Zakonom, zakonima kojima se uređuju profesije u zdravstvu te zakonom kojim se uređuje obvezno zdravstveno osiguranje, zakonom kojim se uređuje obvezno zdravstveno osiguranje i zdravstvena zaštita stranaca u Republici Hrvatskoj te zakonom kojim se uređuje osnivanje i ustrojstvo ustanova i zakonom kojim se uređuju trgovačka društva. Iznimno, zdravstvenu djelatnost mogu obavljati i druge pravne i fizičke osobe u skladu s posebnim zakonom (članak 41.).
Zdravstveni radnici dužni su čuvati kao profesionalnu tajnu sve što znaju o zdravstvenom stanju pacijenta. Na čuvanje profesionalne tajne obvezni su i drugi radnici u zdravstvu koji za nju saznaju u obavljanju svojih dužnosti te studenti i učenici škola zdravstvenog usmjerenja. Na čuvanje profesionalne tajne obvezne su i sve druge osobe koje u obavljanju svojih dužnosti dođu do podataka o zdravstvenom stanju pacijenta (članak 163. Zakona o zdravstvenoj zaštiti).
Prikupljanje, preuzimanje te korištenje podataka i informacija u zdravstvu, vođenje zbirki podataka i medicinske dokumentacije uređuju se posebnim zakonom kojim se uređuje područje podataka i informacija u zdravstvu (članak 165. Zakona o zdravstvenoj zaštiti).
Također, člankom 23. Zakona o liječništvu („Narodne novine“, broj 121/03 i 117/08 propisano je vođenje i čuvanje medicinske dokumentacije sukladno kojem je liječnik obvezan voditi točnu, iscrpnu i datiranu medicinsku dokumentaciju u skladu s propisima o evidencijama na području zdravstva, koja u svakom trenutku može pružiti dostatne podatke o zdravstvenom stanju pacijenta i njegovu liječenju. Liječnik ili odgovorna osoba zdravstvene ustanove, trgovačkog društva ili druge pravne osobe koja obavlja zdravstvenu djelatnost obvezni su čuvati podatke o ambulantnom liječenju bolesnika deset godina nakon završenog liječenja, a nakon toga roka obvezni su postupiti prema propisima o čuvanju dokumentacije.
Isto tako, s aspekta zaštite pojedinca u pogledu obrade osobnih podataka navodimo da pojedinac (ispitanik) ima prava temeljem Opće uredbe o zaštiti podataka koja nisu apsolutna već za ostvarivanje moraju biti ispunjeni uvjeti navedeni u Općoj uredbi za zaštitu podataka da bi svoja prava mogao ostvariti pred određenim voditeljem obrade.
Slijedom navedenog, u konkretnom slučaju razvidno je da postoji čitav niz posebnih propisa koji propisuju ne samo pravo već i dužnost liječnika da obrađuju osobne podatke pacijenta kao i da ih čuvaju/postupaju sa njima kako im to nalažu posebni propisi. Prema tome, ukoliko poliklinika kao voditelj obrade obrađuje osobne podatke sukladno posebnim propisima odnosno ukoliko je takva obrada nužna radi poštovanja pravnih obveza sukladno članku 6. stavak 1. točka c) tada predmetni propisi predstavljaju pravnu osnovu za obradu/čuvanje osobnih podataka/medicinske dokumentacije.