AZOP je pokrenuo nadzorni postupak protiv jedne bolnice, nakon što su mediji objavili fotografiju zaslona računala bolnice na kojem se nalazio medicinski nalaz pacijenta.

Fotografiju je unutar bolnice snimio zaposlenik i potom je proslijedio izvan bolnice. Bolnica je za incident saznala 16. studenoga 2023., kada je fotografija objavljena u medijima i kada je policija pokrenula kazneni postupak.

Dana 11. rujna 2024. AZOP je proveo nadzor u prostorijama bolnice kako bi provjerio poštuje li se GDPR.

Tijekom nadzora provjeravalo se koliko je bolnica transparentna prema ispitanicima, kakve tehničke i organizacijske mjere zaštite ima uspostavljene te kako je postupila nakon samog incidenta.

Na internetskim stranicama bolnice bili su objavljeni kontaktni podaci službenika za zaštitu podataka i obrazac za ostvarivanje prava ispitanika, ali nije bilo objašnjeno za koje se svrhe osobni podaci obrađuju, koja je pravna osnova obrade, koliko se dugo podaci čuvaju niti druge obvezne informacije. Tek nakon provedenog nadzora bolnica je objavila detaljnije informacije o obradi.

AZOP je također pregledao interne akte bolnice o zaštiti osobnih podataka i informacijskoj sigurnosti. U tim dokumentima nije bila jasno definirana povreda osobnih podataka, nije postojao strukturiran postupak procjene takvih incidenata, niti je bilo dokaza da se sigurnosne mjere redovito provjeravaju i testiraju.

Bolnica nije prijavila sigurnosni incident AZOP-u u roku od 72 sata od trenutka kada je za njega saznala.

Smatrala je da je riječ prvenstveno o kaznenom djelu zaposlenika, a ne o povredi osobnih podataka u smislu GDPR-a.

Također, bolnica nije sama obavijestila pogođenog ispitanika; informaciju je dobio tek nakon što je njegov predstavnik kontaktirao bolnicu.

AZOP je utvrdio povredu članka 13., članka 32., članka 33. i članka 34. stavka 1. GDPR-a te izrekao upravnu novčanu kaznu od 3.000 eura.

Prema AZOP-u, bolnica je prekršila članak 13. GDPR-a jer godinama nije ispitanicima davala sve obvezne informacije o obradi njihovih osobnih podataka. Transparentnost je ključna kako bi ispitanici razumjeli što se s njihovim podacima događa i kako mogu ostvarivati svoja prava. Sama objava kontakta službenika za zaštitu podataka nije dovoljna da bi se ta obveza smatrala ispunjenom.

Utvrđena je i povreda članka 32. GDPR-a, jer bolnica nije imala odgovarajuće tehničke i organizacijske mjere za obradu zdravstvenih podataka. Riječ je o podacima iz članka 9. GDPR-a, koji spadaju u posebne kategorije i zahtijevaju višu razinu zaštite.

Interni dokumenti bili su nepotpuni i zastarjeli te nisu osiguravali pravilno upravljanje incidentima, procjenu rizika ni redovitu provjeru zaštitnih mjera.

AZOP je pritom pojasnio da neovlašteno otkrivanje medicinskih podataka jasno spada u definiciju povrede osobnih podataka iz članka 4. točke 12. GDPR-a. Čak i ako je zaposlenik počinio kazneno djelo, voditelj obrade i dalje snosi odgovornost za preventivne mjere.

AZOP je također zaključio da je bolnica prekršila članak 33. GDPR-a, jer nije prijavila povredu nadzornom tijelu u roku od 72 sata od trenutka kada je za nju saznala.

Objavljivanje medicinskih podataka u medijima očito predstavlja rizik za prava i slobode ispitanika, a činjenica da je bolnica incident interno smatrala isključivo kaznenim djelom ne oslobađa je obveze prijave.

Na kraju je utvrđena i povreda članka 34. stavka 1. GDPR-a, jer bolnica bez nepotrebnog odgađanja nije obavijestila pogođenog ispitanika. Javna objava zdravstvenih podataka predstavlja visok rizik, zbog čega je bila potrebna izravna komunikacija s ispitanikom. Uključivanje policije ne zamjenjuje tu obvezu.

 

Rješenje AZOP-a je ovdje:

https://azop.hr/wp-content/uploads/2025/07/bolnica2-clanak-32-33-13-34.pdf

 

Image from FreePik

#gdprcroatia