Objavljeno: 13.01.2023.
Nastavno na Vaš upit odnosan na obradu osobnih podataka pacijenata unutar Centralnog zdravstvenog informacijskog sustava Republike Hrvatske (CEZIH), Agencija za zaštitu podataka se očituje kako slijedi:
Prvenstveno ističemo kako je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom o zaštiti podataka potrebno postojanje pravnog temelja iz članka 6. dok je za prikupljanje posebnih kategorija osobnih podataka potrebno i postojanje jedne od iznimaka naznačenih u članku 9. stavku 2. Opće uredbe o zaštiti podataka.
Člankom 6. stavkom 1. Opće uredbe o zaštiti podataka propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade.
Članak 21. stavak 2. Zakona o podacima i informacijama u zdravstvu (NN 14/19) određuje da se medicinska dokumentacija pacijenata nastala u procesima pružanja zdravstvene zaštite pohranjuje se u zdravstvenoj informacijskoj infrastrukturi Republike Hrvatske i razmjenjuje se servisima zdravstvene informacijske infrastrukture.
Slijedom navedenog, u konkretnom slučaju razvidno je da se radi se o medicinskom nalazu koji sadrži osobne podatke pacijenta.
Sukladno članku 3. stavku 1. točki 8. predmetnog zakona medicinska dokumentacija je skup medicinskih zapisa i dokumenata nastalih u procesu pružanja zdravstvene zaštite kod ovlaštenih pružatelja zdravstvene zaštite koji sadrže podatke o zdravstvenom stanju i tijeku liječenja pacijenata.
Sukladno članku 3. stavku 1. točki 15. navedenog zakona, zdravstvena informacijska infrastruktura Republike Hrvatske je sustav usklađenih procesa i usluga upravljanja zdravstvenim podacima, informacijama, registrima i drugim evidencijama u zdravstvu Republike Hrvatske, dio je državne informacijske infrastrukture i čine ju CEZIH, NAJS i drugi zdravstveni nacionalni i institucionalni informacijski sustavi.
Što se tiče Cezih-a, sukladno članku 28. stavku 1. navedenog zakona, korisnici CEZIH-a su ministarstvo nadležno za zdravstvo, HZZO, zdravstveni zavodi, svi pružatelji zdravstvene zaštite u Republici Hrvatskoj i druge ovlaštene pravne i fizičke osobe.
Sukladno stavku 4. istog članka, istog zakona u CEZIH-u se medicinska dokumentacija za fizičke osobe čuva deset godina nakon smrti fizičke osobe, a nakon isteka tog roka s dokumentacijom se postupa sukladno propisima o arhivskom gradivu i arhivima.
Što se tiče Najsa, sukladno članku 29. stavku 1. predmetnog zakona, nacionalni javnozdravstveni informacijski sustav vodi HZJZ i mogu mu pristupiti ministarstvo nadležno za zdravstvo, županijski zavodi za javno zdravstvo te druge ovlaštene pravne i fizičke osobe.
Sukladno stavku 2. istog članka istog zakona, svrha NAJS-a je upravljanje javnozdravstvenim podacima i informacijama između svih obveznika vođenja evidencija u području zdravstva te procesima obrade i arhiviranja zdravstvenih podataka i informacija koji se koriste za izradu javnozdravstvenih pokazatelja, u javnozdravstvene, upravljačke, statističke i znanstveno-istraživačke svrhe radi proučavanja i praćenja zdravlja stanovništva, pružanja zdravstvene zaštite, upravljanja zdravstvenim resursima, ranog prepoznavanja epidemija, procjene zdravstvenih intervencija i ostvarivanja programa za poboljšanjem zdravlja stanovništva, vođenja zdravstvene statistike i ispunjavanja drugih javnozdravstvenih potreba.
Sukladno stavku 4. istog članka istog zakona, podaci u registrima i evidencijama u području zdravstva u NAJS-u čuvaju se trajno.
Sukladno članku 32. predmetnog zakona, odgovorne osobe voditelja obrade i izvršitelja obrade zdravstvenih i drugih osobnih podataka te osobe koje oni ovlaste obvezni su čuvati povjerljivost podataka iz zdravstvene dokumentacije pacijenata u CEZIH-u i NAJS-u sukladno posebnim propisima koji uređuju zaštitu osobnih podataka i tajnost podataka, a isto je obveza i svih drugih osoba koje podatke iz zdravstvene dokumentacije pacijenta saznaju u obavljanju dužnosti ili poslova u CEZIH-u i NAJS-u te u zdravstvenom sustavu Republike Hrvatske.
Zaključno, ističemo kako je pravni temelj za obradu (čuvanje, pohrana) osobnih podataka pacijenta unutar sustava CEZIH moguće pronaći u okviru članka 6. stavka 1. točke c) budući da se radi obradi navedenih podataka koji su nužni radi poštovanja pravnih obveza voditelja obrade.
