Zaštita podataka o pacijentima: pojačan nadzor zdravstvenog sektora u 2026. godini

STATT Zubni tehničari

Podaci o zdravlju predstavljaju jednu od najosetljivijih kategorija podataka o ličnosti. Informacije o dijagnozi, terapiji, rezultatima analiza, zdravstvenom stanju, medicinskoj dokumentaciji ili pruženim zdravstvenim uslugama mogu otkriti izuzetno privatne aspekte života pojedinca. Zbog toga, njihova obrada nije samo pitanje interne organizacije rada zdravstvene ustanove, već pravna, profesionalna, ali I etička obaveza.

Zdravstveni sektor globalno predstavlja jednu od najčešćih meta sajber napada, usled obima I posebno osetljive prirode podataka koje obrađuje. Prema međunarodnim analizama sajber bezbednosti, healthcare sektor se poslednjih godina kontinuirano nalazi među najpogođenijim industrijama kada su u pitanju ransomware napadi – vrsta zlonamernog softvera kojom napadači onemogućavaju pristup podacima ili informacionim sistemima, najčešće njihovim šifrovanjem, uz zahtev za plaćanje otkupnine radi ponovnog pristupa.

U Republici Srbiji, zaštita podataka pacijenata uređena je pre svega Zakonom o zaštiti podataka o ličnosti, ali I propisima iz oblasti zdravstva, uključujući Zakon o pravima pacijenata I propise koji uređuju zdravstvenu dokumentaciju I evidencije. Zakon o pravima pacijenata posebno garantuje pravo pacijenta na privatnost I poverljivost informacija koje je saopštio zdravstvenom radniku, uključujući informacije koje se odnose na njegovo zdravstveno stanje I medicinski tretman. Pored toga, pacijenti imaju pravo da budu informisani o obradi svojih podataka, kao I druga prava predviđena propisima o zaštiti podataka o ličnosti, uključujući pravo pristupa, ispravke ili ograničenja obrade, u meri u kojoj su primenljiva na obradu zdravstvenih podataka.

Ova tema posebno dobija na značaju imajući u vidu da je Poverenik za informacije od javnog značaja I zaštitu podataka o ličnosti u Godišnjem planu inspekcijskog nadzora za 2026. Godinu predvideo redovan nadzor nad, između ostalog, zdravstvenim ustanovama u privatnoj svojini, uključujući privatnu praksu, medicinskim laboratorijama u privatnoj svojini I apotekarskim ustanovama u privatnoj svojini.

Zašto su podaci pacijenata posebno zaštićeni?

Podaci o zdravlju spadaju u posebne vrste podataka o ličnosti. Njihova obrada je dozvoljena samo pod uslovima propisanim zakonom, uz postojanje odgovarajućeg pravnog osnova I primenu adekvatnih tehničkih, organizacionih I kadrovskih mera zaštite. To znači da zdravstvene ustanove, laboratorije, apoteke I drugi subjekti koji obrađuju podatke pacijenata moraju znati koje podatke prikupljaju, zašto ih prikupljaju, ko im pristupa, koliko dugo ih čuvaju I kome ih eventualno dostavljaju.

Važno je naglasiti da pristanak pacijenta nije uvek jedini niti nužno najadekvatniji pravni osnov za obradu. U zavisnosti od konkretne svrhe, obrada podataka može biti zasnovana I na zakonskoj obavezi, pružanju zdravstvene zaštite, zaštiti životno važnih interesa ili drugom osnovu predviđenom propisima. Iz tog razloga je za svaku kategoriju obrade potrebno pravilno identifikovati pravni osnov, svrhu obrade I obim podataka koji se obrađuju.

Jedno od osnovnih pravila jeste da se prikupljaju samo oni podaci koji su neophodni za konkretnu svrhu I da se ne čuvaju duže nego što je potrebno ili dozvoljeno važećim propisima. Ovo je naročito važno u zdravstvenom sektoru, gde se u praksi često obrađuje veliki broj podataka, uključujući medicinske nalaze, terapije, istoriju bolesti, podatke o osiguranju, podatke o članovima porodice I druge osetljive informacije.

Zaštita podataka nije samo zaštita od sajber napada

Iako se o zaštiti podataka često govori kroz prizmu sajber bezbednosti, zaštita podataka pacijenata podrazumeva znatno širi skup obaveza. Nije dovoljno samo imati antivirusni program, lozinke I osnovnu IT podršku. Potrebno je urediti celokupan sistem obrade podataka.

Pristup medicinskoj dokumentaciji treba da bude ograničen isključivo na ona lica kojima su ti podaci zaista potrebni za obavljanje konkretnih poslova. Ne mora svaki zaposleni u zdravstvenoj ustanovi imati pristup kompletnom zdravstvenom kartonu pacijenta, čak ni kada učestvuje u pružanju određene usluge. Upravljanje pristupnim pravima zaposlenih, evidentiranje pristupa I jasna interna pravila postupanja predstavljaju važan deo zaštite podataka.

Dodatna pitanja se otvaraju kada zdravstvene ustanove sarađuju sa spoljnim subjektima, kao što su laboratorije, dijagnostički centri, IT kompanije, cloud platforme, knjigovodstvene agencije ili drugi pružaoci usluga. U tim slučajevima neophodno je jasno urediti ko je rukovalac, ko je obrađivač, koje podatke obrađuje, u koju svrhu I pod kojim merama zaštite. Takvi odnosi bi trebalo da budu uređeni odgovarajućim ugovorima I internim procedurama.

Značajno je pravilno razlikovanje rukovaoca I obrađivača podataka. Dok zdravstvena ustanova najčešće određuje svrhu I način obrade podataka pacijenata I nastupa kao rukovalac, određeni pružaoci usluga,  poput IT kompanija, cloud provajdera ili eksternih administrativnih servisa, mogu imati status obrađivača. Pogrešna kvalifikacija uloga ili nepostojanje odgovarajućih ugovornih aranžmana može predstavljati značajan rizik usklađenosti.

Najčešći rizici u praksi

U praksi se kod subjekata koji obrađuju podatke pacijenata često javljaju slični problemi:

  • nejasno definisana ovlašćenja zaposlenih za pristup podacima,
  • nepostojanje ili nedovoljna primena internih procedura,
  • neuređeni odnosi sa eksternim pružaocima usluga,
  • zastarela softverska rešenja,
  • nedovoljna obuka zaposlenih,
  • nepostojanje procedure za postupanje u slučaju incidenta,
  • čuvanje dokumentacije bez jasnog roka i pravnog osnova.

Poseban rizik postoji kod digitalizovanih sistema, elektronskih zdravstvenih kartona, online zakazivanja, telemedicine, aplikacija za praćenje zdravstvenog stanja i sistema zasnovanih na veštačkoj inteligenciji. Takva rešenja mogu značajno unaprediti efikasnost zdravstvenih usluga, ali istovremeno otvaraju pitanja transparentnosti obrade, kontrole pristupa, bezbednosti sistema i odgovornosti svih učesnika uključenih u obradu podataka.

U Evropskoj uniji je dodatno uspostavljen i European Health Data Space, kao regulatorni okvir za pristup, razmenu i korišćenje elektronskih zdravstvenih podataka. EHDS je stupio na snagu 26. marta 2025. godine, uz faznu primenu u narednim godinama. Iako se ovaj okvir ne primenjuje neposredno kao domaći propis u Republici Srbiji, on ukazuje na pravac u kome se razvijaju evropski standardi u oblasti digitalnog zdravstva i zaštite zdravstvenih podataka.

Šta Poverenik može posebno proveravati?

U okviru inspekcijskog nadzora, posebno mogu biti relevantna pitanja:

  • zakonitosti obrade zdravstvenih podataka,
  • postojanja i sadržine politika privatnosti,
  • evidencija aktivnosti obrade,
  • ugovora sa obrađivačima,
  • mera zaštite informacionih sistema,
  • načina upravljanja pristupom podacima,
  • rokova čuvanja medicinske dokumentacije,
  • procedura u slučaju povrede podataka o ličnosti.

Poverenik u svojim smernicama ukazuje i na obavezu sprovođenja procene uticaja na zaštitu podataka o ličnosti kada određena vrsta obrade, naročito uz upotrebu novih tehnologija i imajući u vidu prirodu, obim, okolnosti i svrhu obrade, može prouzrokovati visok rizik za prava i slobode fizičkih lica. U zdravstvenom sektoru, zbog osetljivosti podataka i mogućeg obima obrade, ovo pitanje može biti naročito značajno.

U slučaju povrede podataka o ličnosti, subjekti koji obrađuju podatke pacijenata mogu imati obavezu procene rizika, dokumentovanja incidenta, kao i prijavljivanja povrede nadležnom organu i obaveštavanja pogođenih lica, kada su za to ispunjeni zakonski uslovi. Postojanje internih procedura za postupanje u slučaju incidenta zbog toga predstavlja važan element usklađenosti.

Više o tome kako izgleda inspekcija zaštite podataka o ličnosti u Srbiji i šta Poverenik najčešće proverava možete pročitati u našem vodiču: Inspekcija zaštite podataka o ličnosti u Srbiji

Obaveza određivanja lica za zaštitu podataka o ličnosti u zdravstvenom sektoru

Pored usvajanja internih procedura i primene odgovarajućih tehničkih i organizacionih mera zaštite, za pojedine subjekte koji obrađuju podatke o zdravlju može postojati i obaveza određivanja lica za zaštitu podataka o ličnosti (Data Protection Officer – DPO).

Prema članu 56. Zakona o zaštiti podataka o ličnosti, rukovalac i obrađivač dužni su da odrede lice za zaštitu podataka o ličnosti u određenim slučajevima, uključujući situacije kada se njihove osnovne aktivnosti sastoje u obradi posebnih vrsta podataka o ličnosti u velikom obimu. Budući da podaci o zdravstvenom stanju predstavljaju posebnu vrstu podataka o ličnosti, ova obaveza može biti naročito relevantna za zdravstvene ustanove, medicinske laboratorije, apotekarske ustanove i druge subjekte koji kontinuirano obrađuju veće količine zdravstvenih podataka.

Međutim, sama činjenica da određeni subjekt posluje u zdravstvenom sektoru ne znači automatski da postoji obaveza određivanja lica za zaštitu podataka. Procena se mora izvršiti u svakom konkretnom slučaju, imajući u vidu prirodu osnovnih aktivnosti, obim obrade, broj lica čiji se podaci obrađuju, učestalost obrade, kategorije podataka i rizike koje takva obrada može imati po prava i slobode pacijenata.

Lice za zaštitu podataka o ličnosti ima savetodavnu i nadzornu ulogu u vezi sa usklađenošću poslovanja sa propisima o zaštiti podataka. Ono informiše i daje mišljenje rukovaocu, obrađivaču i zaposlenima o njihovim obavezama, prati primenu zakona i internih akata, učestvuje u pitanjima koja se odnose na procenu uticaja obrade na zaštitu podataka i predstavlja kontakt tačku za saradnju sa Poverenikom.

Imajući u vidu planirane inspekcijske nadzore Poverenika u zdravstvenom sektoru tokom 2026. godine, subjekti koji obrađuju podatke pacijenata trebalo bi da blagovremeno provere da li kod njih postoje zakonski uslovi za određivanje lica za zaštitu podataka o ličnosti, kao i da li su njihove interne procedure, evidencije radnji obrade, mere zaštite i organizacija obrade usklađene sa važećim propisima.

Obuka zaposlenih kao deo usklađenosti

Zaštita podataka pacijenata ne može se svesti samo na formalno usvajanje pravilnika i politika. Čak i dobro pripremljena dokumentacija neće imati stvarni efekat ako zaposleni ne znaju kako da postupaju sa podacima u svakodnevnom radu.

Zbog toga je preporučljivo da zdravstvene ustanove organizuju obuke zaposlenih, posebno za lica koja imaju pristup medicinskoj dokumentaciji, komuniciraju sa pacijentima, koriste informacione sisteme ili sarađuju sa eksternim pružaocima usluga. Obuka bi trebalo da obuhvati osnovna pravila poverljivosti, postupanje sa medicinskom dokumentacijom, ograničenje pristupa podacima, prepoznavanje bezbednosnih incidenata i obaveze u slučaju povrede podataka.

Preventivna provera usklađenosti

Imajući u vidu najavljeni regulatorni fokus, privatne zdravstvene ustanove, laboratorije, apoteke i drugi subjekti koji obrađuju podatke o zdravlju trebalo bi da blagovremeno provere svoju usklađenost sa propisima o zaštiti podataka o ličnosti.

Takva provera najčešće obuhvata analizu tokova podataka, identifikovanje pravnih osnova obrade, proveru politika privatnosti i internih akata, reviziju ugovora sa obrađivačima, procenu tehničkih i organizacionih mera zaštite, proveru rokova čuvanja dokumentacije, uređenje pristupnih prava zaposlenih, izradu ili ažuriranje evidencija aktivnosti obrade i, kada je potrebno, procenu uticaja obrade na zaštitu podataka o ličnosti.

Pravovremeno prepoznavanje i otklanjanje nedostataka može značajno smanjiti rizik od regulatornih mera, odštetnih zahteva, prekida poslovanja i reputacione štete. Još važnije, adekvatna zaštita podataka doprinosi očuvanju poverenja pacijenata, što je jedan od osnovnih preduslova za kvalitetno pružanje zdravstvenih usluga.

Zaključak

Zaštita podataka o pacijentima više nije samo pitanje formalne usklađenosti sa propisima. Ona predstavlja sastavni deo odgovornog poslovanja u zdravstvenom sektoru i važan element odnosa poverenja između pacijenta i zdravstvenog radnika.

U okolnostima pojačanog inspekcijskog nadzora, sve intenzivnije digitalizacije i povećanih bezbednosnih rizika, zdravstvene ustanove, laboratorije, apoteke i drugi subjekti koji obrađuju podatke o zdravlju trebalo bi da zaštitu podataka posmatraju kao kontinuiran proces, a ne kao jednokratnu administrativnu obavezu.

Istovremeno, zaštita podataka o pacijentima sve više postaje pitanje upravljanja usklađenošću i rizicima, a ne samo formalnog ispunjavanja zakonskih zahteva. Pravovremeno prepoznavanje nedostataka i kontinuirano unapređenje internih procedura može doprineti smanjenju regulatornih, operativnih i reputacionih rizika, kao i očuvanju poverenja pacijenata u zdravstveni sistem.

O autoru

Jelena Eremić je diplomirani pravnik i član tima STATT / Immigrate to Serbia, gde se bavi pitanjima regulatorne usklađenosti, zaštite podataka o ličnosti, imigracionog prava i pravne podrške međunarodnim klijentima.

Kroz rad na domaćim i međunarodnim projektima, Jelena učestvuje u analizi regulatornih obaveza, pripremi pravne dokumentacije i pružanju podrške subjektima koji posluju u regulisanim sektorima, uključujući zdravstveni sektor i obradu osetljivih podataka o ličnosti.

Posebno je zainteresovana za pitanja digitalne usklađenosti, zaštite podataka, novih tehnologija i praktične primene regulatornih zahteva u svakodnevnom poslovanju.

Izvori

 

    Spremni da napravite prvi korak?

    Popunite kratak formular ispod i javite nam u čemu vam je potrebna podrška. Nakon toga vas kontaktiramo sa predlogom narednih koraka, i to brzo, jasno, jednostavno.

    Slanjem Vaših kontakt informacija, slažete se da Vas možemo kontaktirati telefonom (uključujući i tekst) i putem email-a u skladu sa našim Uslovima i Politikom privatnosti.

    Poziv Poruka