Uloga Agencije za zaštitu osobnih podataka kao nadzornog tijela u provedbi Opće uredbe o zaštiti podataka
Opća uredba o zaštiti podataka - GDPR
Uredba se primjenjuje i na pojedince koji obavljaju određenu profesionalnu aktivnost, udruge, bolnice, klubove pa i na fizičke osobe kada obrađuju osobne podatke izvan okvira potreba kućanstva.
Opća uredba o zaštiti podataka (u daljnjem tekstu Uredba) u cijelosti je obvezujuća i primjenjuje se izravno u svim državama članicama od 25. svibnja 2018. godine. Njezine odredbe moraju poštivati svi subjekti koji u sklopu svojih aktivnosti obrađuju osobne podatke fizičkih osoba u Europskoj uniji te u određenim slučajevima i subjekti izvan Europske unije. Dakle, iznimaka u smislu dodatnog perioda prilagodbe nema.
Uredba (General Data Protection Regulation – GDPR) se primjenjuje na sve tvrtke i tu nema iznimaka. Također se primjenjuje i na pojedince koji obavljaju određenu profesionalnu aktivnost, udruge, bolnice, klubove pa i na fizičke osobe kada obrađuju osobne podatke izvan okvira potreba kućanstva (npr. postavljanje video nadzora ispred ulaznih vrata kuće ili stana). Uredba se primjenjuje na sve državne institucije koje su dužne obrađivati osobne podatke u okviru svojih odredaba, osim u slučajevima kaznenopravnih aktivnosti poput sprečavanja kaznenih djela ili progona počinitelja tih djela te u područjima izvan nadležnosti prava EU-a.
Što se konkretno tiče zdravstvenog sektora i sustava zaštite u tom sektoru, nezaobilazno je naglasiti kako upravo Republika Hrvatska ima jedan od razvijenijih digitalnih zdravstvenih sustava, što svakako ima svoje prednosti, ali ostaje za utvrditi odgovaraju li sustavi pravnim, i tehničkim uvjetima, odnosno odredbama koje modernizacija zakonodavstva donosi. Budući da zdravstveni sustav (bolnice, klinike, laboratoriji, domovi zdravlja, zdravstveno osiguranje, liječnici opće medicine, stomatolozi te svi drugi subjekti) u velikoj, ako ne i najvećoj mjeri, zapravo obrađuje posebne kategorije osobnih podataka, konkretno podatke o zdravlju, nužno je da se Uredba u potpunosti ozbiljno shvati, da odgovorne osobe u ovim poslovnim subjektima što prije započnu s ulaganjima u svoj vlastiti sustav zaštite podataka. S aspekta obrade osobnih podataka nije isto bavi li se poduzeće kliničkim ispitivanjima, odnosno laboratorijskim analizama, kreditiranjem građana ili se bavi ugostiteljstvom ili pekarstvom. Također, nije isto ima li poduzeće program vjernosti za praćenje navika kupaca ili sustav nadzora zaposlenika. Sasvim je jasno da implementacija Uredbe nosi i određene troškove koji variraju i nemoguće je govoriti o jedinstvenim, odnosno jednakim troškovima, ali ono što je sigurno - prvo ulaganje je ono vremensko, točnije, upoznavanje sa samim propisom.
Ovlasti nadzornog tijela
U Republici Hrvatskoj kao nadzorno tijelo uspostavljena je Agencija za zaštitu osobnih podataka (AZOP). Među ostalim zadaćama, nadzorno tijelo prati i provodi primjenu Uredbe, promiče javnu svijest o pravilima, rizicima, zaštitnim mjerama i pravima u vezi s obradom te njihovo razumijevanje. Također promiče osviještenost voditelja obrade i izvršitelja obrade o njihovim obvezama, savjetuje Sabor, vladu i druga tijela o zakonodavnim i administrativnim mjerama u vezi s obradom podataka, rješava i istražuje pritužbe te podnositelja pritužbe izvješćuje o napretku i ishodu istrage. Surađuje s nadzornim tijelima drugih država članica EU-a s ciljem osiguranja konzistentnosti primjene i provedbe Opće uredbe o zaštiti podataka te sudjeluje u radu Europskog odbora za zaštitu podataka i prati razvoj u onoj mjeri u kojoj on utječe na zaštitu osobnih podataka - osobito razvoj informacijskih i komunikacijskih tehnologija te komercijalnih praksi.
Što se tiče ovlasti regulatora prilikom obavljanja zadaća oni mogu:
- izdati upozorenja i službene opomene voditelju obrade ili izvršitelju obrade,
- naložiti voditelju obrade ili izvršitelju obrade da poštuje zahtjeve ispitanika za ostvarivanje njegovih prava i da postupke obrade uskladi s odredbama Uredbe o zaštiti podataka,
- privremeno ili konačno ograničavati i zabraniti obradu podataka, pa i iznošenje podataka u treće zemlje, a u skladu s nacionalnim pravom, izreći upravnu novčanu kaznu.
Cijeli članak potražinte u Biltenu Hrvatskog društa za medicinsku informatiku iz 2018