Nekoliko posljednjih godina svjedočimo prisustvu online platformi putem kojih se možemo predbilježiti za liječničke preglede ili za intervjue u okviru upisa u školu i vrtić i za slične postupke.

Naravno i sasvim razumljivo, najveći broj takvih online platformi nalazi se u Zagrebu kao i broj ustanova koje ih koriste.

Također, sasvim razumljivo takve platforme na području glavnog grada obrađuju i uvjerljivo najveće količine osobnih podataka pacijenata, učenika i njihovih roditelja.

Liječnici, škole, dječji vrtići i usporedive ustanove se putem preporuka, uz plaćanje naknada, oslanjaju na takve softverske online platforme, koje im zasigurno pojednostavljuju procese rezervacije termina i omogućuju kvalitetnije upravljanje ljudskim resursima i vremenskim rasporedom rada, i pri tom upućuju svoje pacijente, roditelje učenika i ostale osobe da svoje termine zabilježe kroz online platforme uz napomenu da se radi o jedinom načinu rezervacije željenog termina.

 

No, također svjedočimo da ni javne ustanove ni pružatelji usluga online platformi za naručivanje nisu baš sasvim „doma“ s GDPR-om.

A to može biti jako nezgodno.

 

Svatko se može zapitati u čemu je problem? Pa danas ionako imamo u primjeni brojne online platforme i aplikacije putem kojih rezerviramo svoja mjesta od restorana do auto-praonica. I to nam je super.

Naime, putem online platformi primarno orijentiranih na zdravstveni i odgojno-obrazovni sektor mogu se, uz imena i prezimena, podatke o lokacijama i terminima, prikupljati i vrlo osjetljivi osobni podaci, posebice podaci koji se odnose na zdravlje prema članku 9. GDPR-a i podaci o ranjivim skupinama, konkretno djeci.

Da bi se takav odnos ordinacija, klinika, škola, vrtića, općenito ustanova, prema spomenutim online platformama za naručivanje termina ozakonio s obzirom na odredbe GDPR-a i da bi se osigurale neophodne sigurnosne mjere, neophodno je sklopiti ugovore o obradi podataka prema članku 28. GDPR-a.

Eh, tu nastaju problemi zbog nedovoljnog poznavanja GDPR-a i izostanka sklapanja takvih ugovora .

Članak 28. GDPR-a, između ostalog, nalaže da voditelj obrade (konkretno zdravstvena ii obrazovna ustanova) mora ozakoniti obradu osobnih podataka svojih pacijenata i učenika putem ugovora o obradi podataka s izvršitelje obrade (online platforma za narudžbu termina), a sam ugovor mora sadržavati jasno utvrđene elemente iz navedenog ugovora o obradi podataka.

U takve obveze, između ostalog, spadaju i obveze pružanja pune podrške izvršitelja voditelju obrade prilikom osiguravanja GDPR obveza, obveza povjerljivosti i sigurnosti, brisanja i vraćanja osobnih podataka po raskidu suradnje, dokazivanja usklađenosti i omogućavanja redovitih audita usklađenosti, kao i postupci ostvarivanja prava pojedinaca čiji se osobni podaci obrađuju.

 

Eh, u posljednje navedenom području je nastala zbrka u Belgiji gdje je ljut pojedinac u ulozi pacijenta zatražio od online platforme pristup svojim osobnim podacima koje je prikupila.

Platforma je odbila postupiti po zahtjevu pacijenta obrazlažući da je ista u ulozi izvršitelja obrade i da se za svoja GDPR prava pojedinac mora obratiti voditelju obrade, odnosno, zdravstvenoj ustanovi. Takav odgovor je u skladu s GDPR-om.

Štoviše, online platforma je i u svojoj Politici privatnosti na webu jasno opisala ove detalje, ali ih ljutiti pojedinac izgledno nije imao vremena proučiti ih.

Možda Politika privatnosti nije bila dovoljno jasna i lako čitljiva kroz jednostavan nepravnički izričaj, razumljiv svakome.

Ukratko, nadzorno tijelo za zaštitu osobnih podataka stalo je na stranu online platforme, ispravno.

 

Jesmo li ikad pročitali Politiku ili Pravila privatnosti ili zaštite osobnih podataka online platformi?

Jesu li takvi tekstovi dovoljno razumljivo i jednostavno pisani da nas ne odvraćaju od čitanja?

Ili možda online platforme žele nešto sakriti odvraćajućim tekstovima?

 

Ima tu prostora za poboljšanja.

 

Slučaj iz Belgije je ovdje:

https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_63/2024&mtc=today

 

Image by kues1 on Freepik

#gdprcroatia