Zaposleni v zdravstvu, katerim je zaradi narave njihovega dela omogočen dostop do osebnih podatkov, naj bi zaradi radovednosti zavestno kršili pravila. V letošnjem letu so zaradi nedovoljenih vpogledov, kar nekaj zaposlenim v UKC izdali opozorila v postopku redne odpovedi pogodbe o zaposlitvi iz krivdnega razloga.

Osebni podatki zagotovo predstavljajo lastnino vsakega posameznika. Pogosto pa se pojavi vprašanje o varnosti osebnih podatkov v zdravstvu, se pravi varnosti pacientov. Ti podatki so zakonsko določeni kot občutljivi osebni podatki in jih je potrebno ustrezno zavarovati. V letošnjem letu so zaradi nedovoljenih vpogledov v UKC Maribor 12 osebam izdali opozorila v postopku redne odpovedi pogodbe o zaposlitvi iz krivdnega razloga, do prekinitev delovnega razmerja pa v zadnjih letih ni prišlo.Zagotovo pa je vseh vpogledov ne kontrolirajo, zato mora biti realna številka kršitev mnogo višja.

Zaposleni zavestno kršijo pravila

Najbolj odmeven primer je bil nekaj mesecev nazaj, ko je bila v UKC Maribor hospitalizirana pretepena mariborska sodnica Daniela Ružić. Tedaj so v UKC Maribor v dobrem tednu dni zabeležili skoraj 250 strani oz. kar 5000 vpogledov v njeno zdravstveno stanje. Pri Informacijskem pooblaščencu (IP) so tedaj dejali, da ugotavljajo, da do nezakonitih vpogledov v  osebne podatke pacientov ne prihaja zaradi neustreznih informacijskih sistemov. Razlog je namreč ta, da zaposleni, katerim je zaradi narave njihovega dela omogočen dostop do osebnih podatkov, zaradi radovednosti zavestno kršijo navodila oziroma pravila izvajalca. Zaposleni so sicer seznanjeni s tem, v katerih primerih lahko obdelujejo podatke ter tudi z dolžnostjo njihovega varovanja.

Izvajajo se redni in izredni nadzori

Obrnili smo se v UKC Maribor, kjer so nam dejali, da porasta kršitev s področja varstva osebnih podatkov sicer v zadnjih letih ne beležijo. »Nikakor pa do porasta ne more priti zaradi elektronske hrambe podatkov, saj ima vsak zaposleni svoje geslo za dostop do podatkov, dostopi pa so tudi omejeni na delovno področje in enoto/oddelek zaposlenega.« V informacijskem sistemu je urejena sledljivost vpogledov v osebne podatke: beleženje kdo in kdaj je vpogledal in v kaj je vpogledal. Nadzori nad nepooblaščenimi vpogledi se, kot so pojasnili v UKC Maribor, izvajajo tekom rednih in izrednih nadzorov varstva osebnih podatkov in seveda na podlagi utemeljene vloge pacienta.

Zavarovanje občutljivih osebnih podatkov 14. člen

(1) Občutljivi osebni podatki morajo biti pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njih, razen v primeru iz 5. točke 13. člena tega zakona.

(2) Pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij se šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.

In kaj storijo v primeru, ko pride do zaznanega suma nepooblaščenih vpogledov?

»V primeru zaznanega suma nepooblaščenih vpogledov v osebne podatke sledimo določilom zakonodaje – 46. člen ZPacP, kjer je zapisano, da moramo o tem obvestiti informacijskega pooblaščenca, ki uvede prekrškovni postopek in izda globo zaposlenemu, obvestimo pristojnega zastopnika pacientovih pravic ter pacienta.« Zoper kršitelje internih aktov s področja varstva osebnih podatkov so sprožili tudi delovnopravne postopke, zaposlenim so bila izdana opozorila v postopku odpovedi pogodbe o zaposlitvi. S kršitelji se pogovori tudi komisija, ki opravi nadzor. »Kršitelji so se dolžni udeležiti tudi predavanj s področja varstva osebnih podatkov.«

Kot nam pojasnijo v UKC Maribor se prekrškovni postopek pri Informacijskem pooblaščencu najpogosteje zaključi z izdajo globe kršitelju/zaposlenemu. »Zoper kršitelje smo sprožili tudi delovnopravne postopke: zaposlenim so bila izdana opozorila (v letošnjem letu do sedaj 12) v postopku redne odpovedi pogodbe o zaposlitvi iz krivdnega razloga.« Do prekinitev delovnega razmerja zaradi takšnih kršitev ni prišlo prav tako v zadnjih petih letih v UKC Maribor noben pacient ni vložil tožbe zaradi nedovoljene obdelave osebnih podatkov.

46. člen (nedovoljena obdelava osebnih podatkov)

Izvajalci zdravstvene dejavnosti morajo vsak ugotovljen ali sporočen primer nedovoljenega sporočanja ali druge nedovoljene obdelave osebnih podatkov o pacientu, ne glede na voljo pacienta, posebej raziskati in ugotoviti morebitno odgovornost zdravstvenih delavcev, zdravstvenih sodelavcev ali drugih oseb ter primer pisno dokumentirati. O tem morajo obvestiti pacienta, pristojnega zastopnika pacientovih pravic in Informacijskega pooblaščenca.

V UKC Maribor so mnenja, da je varnost osebnih podatkov v UKC Maribor dobra. »Prizadevamo pa si jo še izboljšati, tako s sodobnejšim informacijskim sistemom kot z dvigom zavesti o pomembnosti varstva osebnih podatkov in zasebnosti pacientov med zaposlenih.« V namene ozaveščanja zaposlenih o pomembnosti varstva osebnih podatkov in da bi se izognili nadaljnjim kršitvam redno potekajo izobraževanja za zaposlene, v oktobru je bil izveden napovedan in nenapovedan nadzor nad varstvom osebnih podatkov na nekaterih oddelkih.

Je kriv sistem?

Na težave nedovoljenih vpogledov je pred časom opozorila tudi predsednica zdravniške zbornice Zdenka Čebašek Travnik. Dejala je, da sistem eZdravja ne deluje kot bi moral in da tovrstni sistem kliče po zlorabi. Edina pozitiva stvar je le, da sistem zagotavlja sledljivost vpogledov. Dostopnost dokumentacije namreč zagotovo pomeni večjo možnost pretoka informacij o pacientov. Kljub temu pa so pred časom na Nacionalnem inštitutu za javno zdravje za STA dejali, da ima ravno sistem eZdravje veliko prednosti. »Namesto fizične izmenjave osebnih podatkov (prek papirnih receptov, delovnih nalogov, napotitev, izmenjave zdravstvenih kartotek, izvidov ipd.), kjer sta sledljivost in nadzor nad obdelavo bistveno težja, pogosto celo nemogoča, se uporaba elektronskih rešitev, v tem primeru je to sistem eZdravje, kaže kot bolj učinkovit in predvsem bolj varen pristop.«