U suprotnome se može vrlo lako dogoditi da otkrijemo osobne podatke, pa i vrlo osjetljive osobne podatke, krivoj osobi, možda i nekom pojedincu bez dobrih namjera.
Ne samo da članak 12. stavak 6. GDPR-a traži od voditelja obrade da osigura valjanu identifikaciju osobe kojoj će otkriti osobne podatke iz svoje baze, već to jednostavno nalaže i zdrav razum.
Svima nam je jasno ako se netko javi s email adrese Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite. da to nikako ne znači da se radi o osobi tog imena i prezimena.
Isto tako, identificiranje pojedinca imenom i prezimenom, adresom stanovanja i OIB-om teško može biti pouzdano s obzirom da se ti podaci lako mogu pronaći na odbačenim ili ekološki zbrinutim računima za javne komunalne usluge u spremnicima za otpad, vrlo često i nezaključanima.
A ako se radi o potrebi otkrivanja posebno osjetljivih osobnih podataka, kakve obveze prema Zakonu o zaštiti prava pacijenata imaju zdravstvene ustanove, tada je zaista neophodno biti siguran da je podnositelj zahtjeva ovlašten imati pristup istima i da se zaista radi o toj osobi.
Za sigurnu identifikaciju podnositelja zahtjeva treba iskoristiti već prikupljene informacije koje znaju samo pacijent ili druga ovlaštena osoba i sama zdravstvena ustanova.
To mogu biti npr. datum ili vrsta zadnje terapije ili zahvata, naziv liječnika koji je ga je obavio, pa i jedinstveni broj pacijenta ili neka jedinstvena oznaka.
Da sama jedinstvena oznaka nije dovoljna bez dodatnih podataka pokazuje nam slučaj iz Latvije gdje je nadzorno tijelo za zaštitu osobnih podataka jasno naglasilo da je uporaba jedinstvenog ID-a odličan način za pohranu podataka o pacijentima u sustavima i bazama, ali nikako nije dovoljan kad se radi o sprječavanju neovlaštenog otkrivanja podataka.
Više o slučaju:
https://gdprhub.eu/index.php?title=DVI_(Latvia)_-_Nacion%C4%81lajam_vesel%C4%ABbas_dienestam&mtc=today
Image by Freepik
#gdprcroatia
