Agencija za zaštitu osobnih podataka izrekla je bolnici, u rješenju anonimiziranoj kao Bolnica X, upravnu novčanu kaznu od 3.000 eura zbog niza propusta u zaštiti osobnih podataka pacijenata, među kojima su izostanak transparentnog informiranja ispitanika, neadekvatne organizacijske mjere zaštite, neprijavljivanje povrede podataka AZOP-u u zakonskom roku te neobavještavanje osobe čiji su podaci kompromitirani. Riječ je o slučaju koji dodatno otvara pitanje koliko su zdravstvene ustanove u Hrvatskoj doista usklađene s pravilima Opće uredbe o zaštiti podataka, posebno kada obrađuju najosjetljiviju kategoriju informacija – podatke o zdravlju.
Prema rješenju AZOP-a, povod za nadzor bila je povreda osobnih podataka do koje je došlo nakon što je medicinska dokumentacija iz bolničkog informacijskog sustava završila u medijima. U obrazloženju se navodi da je nepoznati zaposlenik fotografirao zaslon računala na kojem je bio prikazan medicinski nalaz s podacima pacijenata. Agencija je potom, uz postupanje po zahtjevu ispitanika, pokrenula i postupak po službenoj dužnosti kako bi utvrdila šire nepravilnosti u postupanju bolnice kao voditelja obrade.
Nadzor je pokazao da bolnica godinama nije na odgovarajući način informirala pacijente o obradi njihovih osobnih podataka. Na internetskim stranicama postojali su tek osnovni kontakti službenika za zaštitu podataka i obrazac za ostvarivanje prava, ali ne i cjelovite informacije o svrhama obrade, pravnim osnovama, rokovima čuvanja podataka, pravima ispitanika i drugim elementima koje GDPR izrijekom traži. Takav propust, prema AZOP-u, trajao je od svibnja 2018. do rujna 2024., dakle više od šest godina od početka pune primjene europskih pravila o zaštiti podataka.
Posebno je ozbiljno to što je Agencija utvrdila da bolnica nije na odgovarajući način provodila ni testirala organizacijske mjere zaštite zdravstvenih podataka. Interni akti, kako se navodi u rješenju, bili su neažurni, nedovoljno razrađeni i nisu jasno definirali postupanje zaposlenika u slučaju povrede podataka. AZOP pritom zaključuje da bolnica nije dovoljno razumjela razliku između kaznenog djela i povrede osobnih podataka u smislu GDPR-a, pa događaj nije prepoznala kao incident koji zahtijeva aktiviranje mehanizama zaštite osobnih podataka, uključivanje službenika za zaštitu podataka i procjenu rizika za prava i slobode pojedinca.
Dodatni problem bio je način reakcije nakon što je incident postao poznat. Bolnica, prema nalazu AZOP-a, nije prijavila povredu osobnih podataka nadzornom tijelu u roku od 72 sata, iako je za događaj znala još 16. studenoga 2023. godine. Istodobno, nije obavijestila ni pacijenta čiji su zdravstveni podaci neovlašteno otkriveni, nego su informacije pružene tek nakon obraćanja njegovog punomoćnika. Agencija naglašava kako upravo u zdravstvenom sustavu ovakvi propusti imaju posebnu težinu jer se radi o izrazito osjetljivim podacima, a povjerenje pacijenata u liječnike i ustanove izravno ovisi o sigurnosti i povjerljivosti njihove dokumentacije.
Iako izrečena kazna od 3.000 eura na prvi pogled ne djeluje visoko, poruka rješenja je znatno šira od samog novčanog iznosa. AZOP u obrazloženju jasno poručuje da bolnice, kao voditelji visoko rizične obrade, moraju imati detaljno razrađene interne procedure, redovito testirati organizacijske i tehničke mjere, educirati zaposlenike i bez odgode prijavljivati svaku povredu koja može ugroziti prava pacijenata. Ovaj slučaj zato nije samo upozorenje jednoj ustanovi, nego i signal cijelom zdravstvenom sustavu da formalno pozivanje na GDPR više nije dovoljno. U praksi se traže jasna pravila, brza reakcija i stvarna odgovornost za zaštitu podataka pacijenata.
