U razgovorima s ordinacijama dentalne medicine nailazimo na učestali odgovor - mi smo se uskladili jer smo sve odradili temeljem uputa Hrvatske komore dentalne medicine.

Što kažu upute?

Ovdje su, javno dostupne: http://www.hkdm.hr/rubrika/217/

Nažalost, nema ni riječi o ključnim elementima istinskog usklađivanja s GDPR-om:

- kvalitetna edukacija zaposlenika i postizanje razumijevanja

- osiguranje ispravnog postupanja s dokumentacijom i osobnim podacima u skladu s normama informacijske sigurnosti

- pravovremena i puna transparentnost prema svim osobama čije osobne podatke obrađujemo, uključujući pacijente i vlastite zaposlenike, studente, posjetitelje web stranice, posjetitelje poslovnog prostora ukoliko se vrši video-nadzor i sl.

Spominju se gipsani modeli čeljusti. Da li smo svjesni da se ovdje radi o biometrijskim podacima iz članka 9. GDPR-a, koji kaže da se isti ne smije prikupljati, osim temeljem izuzetaka pobrojanih u tom članku. Nije sporno da postoji valjani propis koji uređuje to pitanje, i sve je OK do trenutka kada ordinacija odluči riješiti se svih tih gipsanih modela pa ih daje tvrtkama koje vrše oporabu tog materijala ili ih baci u kantu za smeće.

Ovo se ne smije raditi!

Odlaganje biometrijskih podataka pacijenata mora biti izvršeno uz najviše mjere predostrožnosti i kontrole. Nije jedan slučaj kada smo uočili da ordinacije na sam gipsani odljev upišu i ime i prezime ili neku oznaku pacijenta. Davanjem takvih skupova osobnih podataka trećim osobama koje će zbrinuti takav otpad, predstavlja vrlo izglednu povredu osobnih podataka s vrlo visokim rizikom za prava i slobode pojedinaca čiji su gipsani odljevci čeljusti dani bez nadzora uništenja nekoj trećoj tvrtki. Jednostavno ih vratite svojim pacijentima, odmah po izvršenju naručenog posla.

Nemojte nipošto raditi galeriju svojih uradaka u svojoj ordinaciji. Daaaa, i to se radi...

Suvremenije ordinacije čuvaju takve modele čeljusti u elektroničkom 3D formatu, i čuvaju ih trajno. To je primjer nedozvoljene prakse. Mora postojati konačan rok zadržavanja, sukladan svrsi i opravdanim potrebama. Što duže i što više takvih podataka čuvate, veće su šanse da se isti izgube ili njima pristupi netko tko nema nikakvo pravo da im pristupa.

Rizik povreda osobnih podataka s izraženim posljedicama za osobe je vrlo visok.

Da li se u ovim uputama Komore na bilo koji način spominju obveze provođenja Procjene učinka o zaštiti podataka (Data Protection Impact Assessment, DPIA) iz članka 35. GDPR-a? Nažalost, nimalo.

AZOP je jasno naveo da je za takve obrade podataka itekako obvezno izraditi DPIA, temeljem odluke ovdje na linku: https://azop.hr/aktualno/detaljnije/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podli

Izrada DPIA nije banalna stvar, vrlo je opsežan i sveobuhvatan proces, koji mora imati za rezultat detaljnu analizu svih mogućih rizika za pojedince, kao i mjera za umanjivanje ili uklanjanje tih rizika.

Komora daje i uputu koja glasi ovako: Ukoliko Vam poslovni partneri (dobavljači, informatičari ili knjigovodstveni servis) već nisu uputili Aneks ugovora s izjavom o povjerljivosti, spomenite im Vi tu potrebu ili ih zatražite potpisivanje Izjave o povjerljivosti prilikom prvog kontakta.

Nažalost, ovo je ozbiljna pogreška.

S vanjskim izvršiteljima ne potpisuje se Izjava o povjerljivosti, već vrlo zahtjevan Ugovor iz članka 28. GDPR-a.

I za kraj, vrlo je upitna uputa Komore, koja glasi: "Trenutno nije potrebno imenovanje službenika za zaštitu podataka." Kriteriji za obvezu imenovanja Službenika za zaštitu podataka su jasni, i nikako se ne smije dogoditi da pojedine tvrtke koje djeluju u području dentalne medicine, temeljem ovakve izjave Komore, zanemare činjenicu da su ipak možda obvezni imenovati Službenika za zaštitu podataka i prijaviti ga AZOP-u, te njegove kontakte javno objaviti. Potrebno je provjeriti obveze za svaku ordinaciju.

Zaključno, slijeđenjem ovakvih uputa Komore nijedna ordinacija dentalne medicine nije usklađena s GDPR-om.