Prikupljanje ličnih podataka bez jasnog osnova: Broj lične za recept zaslužuje istragu
Građani Zenice i ostalih krajeva ZDK-a za recept moraju dati mnogo podataka
Zavod zdravstvenog osiguranja Zeničko-dobojskog kantona svoje korisnike je pozvao da se registruju i koriste web portal kako bi lakše i brže dolazili do informacija o propisanim i izdatim lijekovima. Takva usluga već postoji u apotekama, a pristupamo im preko zdravstvene legitimacije, gdje nam farmaceut pročita detalje. Da bi sami vidjeli ono što im je ljekar propisao, korisnici ZZO ZDK-a moraju upisati i broj lične karte i JMBG.
Dopisivanje iz 2016.
Iz Zavoda tvrde da je web portal eRecept urađen u saradnji sa Agencijom za zaštitu ličnih podataka BiH, a iz Agencije ih demantuju i pojašnjavaju da su im se obratili 2016. godine sa općom informacijom da je putem federalnog Ministarstva zdravstva uspostavljen zdravstveni informacijski sistem ZDK-a, koji u sebi sadrži i lične podatke osiguranika i njihove zdravstvene kartone.
- Korespondencija Zavoda i Agencije iz 2016. godine ne aludira na činjenice o trenutačnoj obradi osobnih podataka pri usluzi eRecept, te se ne može koristiti kao odgovor na postavljeno pitanje redakcije Oslobođenja upućeno Zavodu zdravstvenog osiguranja ZDK-a o tome da li je prikupljanje podataka koje vrše zakonito, a na koje su iz Zavoda odgovorili da je portal pokrenut u saradnji sa Agencijom, rečeno nam je u Agenciji.
Neshvatljivo je da zdravstvena ustanova zanemaruje zdravstvenu legitimaciju i za pristup uputnicama traži brojeve ličnih karti i JMBG.
Insistirajući da je portal eRecept urađen prema zakonu, ali bez objašnjenja zbog čega su zaobišli jednostavniji princip – da se traži broj zdravstvene legitimacije, Zavod zdravstvenog osiguranja ZDK-a i dalje smatra opravdanim da korisnicima za provjeru terapija i uputnica traži podatke iz lične karte i to i broj dokumenta i JMBG. Istaknuli su i da su ovlašteni da vrše obradu ličnih podataka osiguranih lica.
- Zavod zdravstvenog osiguranja je na osnovu odredaba Zakona o zdravstvenom osiguranju i Zakona o Jedinstvenom sistemu registracije, kontrole i naplate doprinosa ovlašten da vrši obradu ličnih podataka osiguranih lica, naveo je Ahmed Kasap, direktor Zavoda, i pojasnio da je pristup, s obzirom na to da se putem aplikacije eRecept omogućava uvid u osjetljive zdravstvene informacije, moguć isključivo licu na koje se podaci odnose.
Napomenuo je i da Zavod ne zadržava kopije ličnih karata osiguranih lica.
Da paradoks bude veći, na stranici eRecept portala, zakačeno za link koji treba posebno otvoriti, stoji i to da ostavljanjem ličnih podataka, osiguranik automatski pristaje i na politiku privatnosti, odnosno na prikupljanje, korištenje i otkrivanje informacija, odnosno ličnih podataka, u skladu sa tom politikom privatnosti.
Važno je imati politiku privatnosti/Screenshot
I dok direktor Zavoda tvrdi da je navedeni sistem uspostavljen uz konsultacije s Agencijom za zaštitu podataka, Agencija se od tih navoda ograđuje.
- Agencija o navedenom načinu prikupljanja ličnih podataka građana od Zavoda zdravstvenog osiguranja Zeničko-dobojskog kantona, bez provedenog postupka za utvrđivanje zakonitosti takve obrade podataka, ne može utvrditi da li postoji zakonski osnov ili ne, naveli su i dodali da posljedice po zaštitu ličnih podataka građana uvođenjem sistema eRecept za sada ne mogu predvidjeti.
Sa druge strane, princip minimizacije podataka, kao jedan od temeljnih principa zaštite privatnosti, dozvoljava prikupljanje podataka isključivo u određene, izričite i zakonite svrhe, te se ni pod kojim uslovima ne smiju koristiti na način koji nije u skladu s tim svrhama.
Prema definiciji principa minimizacije podataka, korištenje ličnih podataka se svodi na: adekvatnost, gdje podaci moraju biti prikladni za svrhu; relevantnost, gdje moraju biti neophodni, ne samo korisni, te ograničenost - da se ne smije prikupljati ništa više od minimuma potrebnog.
Samim tim što eRecept ne traži broj zdravstvene legitimacije izlazi iz okvira definicije principa minimizacije, a zahtjevom za brojem lične karte i JMBG narušava sva tri elementa tog principa. Važno je napomenuti i to da Agencija za identifikacione dokumente, evidenciju i razmjenu podataka BiH (IDDEEA) mora odobriti svaki prenos podataka.
Na naš upit da li je prikupljanje podataka koje se dešava na portalu eRecept u skladu sa zakonom, iz IDDEEA su nam odgovorili da smo upit poslali na pogrešnu adresu.
Formalni sporazum
- Vaše pitanje nije iz nadležnosti Agencije za identifikacione dokumente, evidenciju i razmjenu podataka BiH, napisali su i zamolili nas da se obratimo Agenciji za zaštitu ličnih podataka Bosne i Hercegovine.
Poslušali smo ih, dobili odgovor iz Agencije da nam ne mogu ništa kazati dok se ne provede istraga, što nam govori da je možda upitno da li su nadležni iz ZZO ZDK-a ispunili svoju obavezu.
A da ni u IDDEEA nisu u potpunosti iskreni, govori podatak da su u ZZO ZDK-a bili dužni, prema Pravilniku o načinu pristupa evidencijama i razmjeni podataka, da pošalju pisani, formalni zahtjev IDDEEA, ispune pravni osnov i dokažu kojim zakonom su ovlašteni da koriste podatke, navedu cilj, dokažu tehničku zaštitu podataka i sa Agencijom za identifikacione dokumente, evidenciju i razmjenu podataka BiH potpišu formalni sporazum.
Podsjećamo i na to da Zakon o ličnoj karti kaže da evidencije smiju voditi samo ovlašteni organi i isključivo u svrhu tog zakona. Zakon o Agenciji za identifikaciju dokumenata, evidenciju i razmjenu podataka BiH kaže da svaki prenos podataka mora biti odobren, dokumentovan i zaštićen, a novi Zakon o zaštiti ličnih podataka kaže da se broj lične karte ne smije čuvati u evidencijama bez izričitog zakonskog osnova.
Svaka institucija koja prikuplja ovu kombinaciju podataka bez jasnog zakonskog osnova i odobrenja od IDDEEA, direktno ugrožava finansijsku i pravnu sigurnost svakog građanina čije podatke čuva.
