Sukus je to objave slovenskog nadzornog tijela za zaštitu osobnih podataka – Informacijskog Pooblaščenca.
Zaposlenica ljubljanske psihijatrijske klinike dobila je kaznu od 950 eura jer je bez valjanog razloga pristupila osobnim podacima pacijenta.
Iako je imala lozinku i tehnički pristup sustavu, to ne znači da je imala pravo “baciti oko” na ono što nije bilo povezano s njezinim radnim zadacima.
Zaposlenica je koristila svoje pristupne podatke da bi ušla u zdravstvenu dokumentaciju koja nije bila vezana uz njene konkretne radne obaveze, čime je prekršila temeljna pravila obrade osobnih podataka – prvenstveno načelo zakonitosti i ograničenja svrhe obrade podataka iz članka 5. GDPR-a.
U svakoj ustanovi koja redovno obrađuje osobne podatke – bilo da se radi o bolnici, uredu ili udruzi golubara – važno je da svi koji imaju pristup podacima znaju: ne guraj nos gdje ne treba.
Pristup je dopušten samo ako je nužan za konkretan radni zadatak. Ni znatiželja, ni “samo da vidim”, ni “znam tu osobu” nisu opravdani razlozi za ulazak u tuđe podatke.
Čak i ako sustav omogućava tehnički pristup – to nije pozivnica da se podaci razgledavaju kao da su u izlogu.
Pravila pristupa moraju biti jasna, sustavi kontrole pristupa pouzdani, a zaposlenici educirani – jer najbolji sustav ne vrijedi ništa ako ljudi misle da su podaci tu “za svaki slučaj”.
Zaštita privatnosti i osobnih podataka posebno je važna u zdravstvu i drugim sektorima koji rade s osjetljivim podacima.
Neovlašteni pristup može izazvati ozbiljne posljedice – za pacijente, za one koji zloupotrebljavaju pristup, ali i za ustanove koje zbog toga mogu trpjeti štetu na ugledu i snositi pravne posljedice.
Ukratko:
Kad nije tvoj posao – ne zabadaš nos.
Kad ti je dosadno – ne zabadaš nos.
Kad te baš zanima – ne zabadaš nos.
Kad znaš tu osobu – ne zabadaš nos.
Više o slovenskom slučaju:
Image from FreePik
#gdpr #gdprcroatia #informacijskipooblascenec #healthdata #lawfulbasis
