Др Радоје Брковић*

Др Радоје Брковић^*

Прегледни научни чланак

УДК: 614.253.8:341.2

МЕЂУНАРОДНИ И ЕВРОПСКИ ПРАВНИ ОКВИРИ ПОВЕРЉИВОСТИ ПОДАТАКА С ПОСЕБНИМ ОСВРТОМ НА ПОДАТКЕ О ЗДРАВСТВЕНОМ СТАЊУ ПАЦИЈЕНТА^{^[1]}

Рад примљен: 20. 08. 2019.

Рад исправљен: 16. 09. 2019.

Рад прихваћен за објављивање: 16. 09. 2019.

Право на заштиту приватности пацијената је доста комплексно, јер се односи на поверљивост и приватност чињеница о здравственом стању пацијената, медицинском положају, поступку лечења, перспективама излечења, породичним приликама и сл. У данашњим условима информационо-комуникационих технологија врло је важно утврдити под којим условима могу, а под којим морају, подаци о здравственом стању, пре свега запослених осигураника као пацијената, бити доступни, у најширем смислу, јавности (другим здравственим радницима, члановима уже породице, надлежним јавним телима, судовима и сл.). Важно је утврдити границе заштите осетљивих података о здравственом стању пацијената. Потребно је обезбедити правне гаранције о заштити података пацијената, а у вези са обрадом података о његовом здравственом стању и слободним протоком таквих података. Ради реализације заштите права приватности пацијената, одговорни су законодавна тела, судови, медицинска етика и субјекти инфроматичких делатности. У раду ћемо навести најважније међународне и европске стандарде, који се односе на горе наведена питања.

Кључне речи: пацијент, здравствена заштита, међународни акти, европски стандарди.

I Уводно излагање

У судској пракси евидентни су бројни примери злоупотреба и повреда права на приватност и поверљивост медицинских података пацијената које се врше од стране здравствених радника и здравствених сарадника који су професионално ангажовани у здравственим установама и приватној пракси.

Право пацијената на приватност и поверљивост медицинских података представља једно од основних људских права гарантованих међународним и националним правним стандардима. Иначе, privatus је латинска реч која значи приватан, лични, а “приватност” је лична, интимна породична сфера живота.^{^[2]}

Полазећи од традиционалне поделе људских права^{^[3]}, право на приватност спада у лична права,^{^[4]} које је настало крајем 19. века у америчкој правној доктрини. Овим правом штити се приватна сфера човека (просторна, душевна, информациона^{^[5]}, комуникацијска,^{^[6]} и физичка приватност) од самовољних активности јавне власти, правних лица (компанија, предузетника, послодаваца) и појединаца.

Право пацијената на приватност и поверљивост података о његовом здравственом стању у тесној је вези са правом на информацију, правом да се одбије информација и правом пацијената на право података. Нарочито је важно да лични подаци пацијента морају бити правно заштићени када се врши њихова обрада. Дужности здравственог радника су да штити живот, здравље, приватност и достојанство пацијента.

Здравствене услуге, које се пружају у превентивне, дијагностичке, терапијске и рехабилитационе сврхе, морају бити правно регулисане, без елемената самовоље. Однос између пацијента и лекара мора се заснивати на поверењу при чему пацијент очекује од лекара да ће при лечењу употребити сву своју пажњу и све своје знање које поседује. ^{^[7]}

Посебно је важно да се нарочита пажња посвети заштити “сензитивних података” посебних категорија пацијената, као што су нпр. лица са менталним сметњама, деца, труднице, породиље, запослени - при оцени радне способности, посебно ако се ради о осетљивим подацима који се презентују инвалидским комисијама и сл.).

За однос лекара и пацијента и за поштовање права приватности нарочито је значајна професионална тајна.^{^[8]} Наиме, медицински посленици, од настанка Хипократове заклетве па до данашњег дана, дужни су да чувају податке који се односе на пацијента јер “од чувања медицинске тајне, зависи, често, лична срећа онога кога се тајна тиче, његово напредовање на послу и укључивању у друштвену средину.”^{^[9]} Уопштено посматрано, тајна представља и сазнање одређених чињеница до којих се дошло обављањем професионалног позива или на неки други поверљив начин, а које не могу бити пуштене у јавност, а да се не нанесе штета интересу појединца или заједнице^{^[10]}.

У времену глобализације и експанзије информационо-комуникационих технологија, заштита права пацијената представља једно од најважнијих правних питања, као и питање заштите личних података и података о њиховом здравственом стању.

Здравствена установа и лекар имају обавезу да чувају личне и медицинске податке својих пацијената^{^[11]} и могу их ставити на располагање некој трећој страни само под условом да постоји пуноважни^{^[12]} пристанак пацијента, осим у одређеним изузетним ситуацијама када је то неопходно, а под условима који су законом прецизно наведени.^{^[13]}

Развијене државе, пре свега државе англосаксонског правног система,^{^[14]} као и скандинавске земље Европе, су типични представници посебне законодавне регулативе о правима пацијената.

II Акти Организације Уједињених нација

Сви међународни акти, без обзира да ли су универзалног или регионалног порекла, садрже норме којима се гарантује приватност лица. Када се ради о универзалним међународним актима од значаја су Општа декларација Уједињених нација о правима човека из 1948. године и Међународни пакт о грађанским и политичким правима из 1966. године. Према члану 12. Опште декларације “нико се не сме изложити произвољном мешању у приватни живот, породицу, стан или преписку, нити нападима на част и углед. Свако има право на заштиту закона против оваквог мешања или напада”. На скоро исти начин, право на приватност нормирано је горе наведеним Пактом^{^[15]}. Наиме, чланом 17. предвиђено је да “нико не може бити изложен произвољном или незаконитом мешању у приватни живот, породицу... нити противзаконитим нападима на част и углед. Свако има право на законску заститу од таквог мешања или напада“.

III Некомунитарни европски стандарди

На регионалном, европском нивоу, постоји читав низ инструмената који детаљно, за разлику од горе наведених универзалних међународних стандарда, регулишу различите аспекте права приватности и поверљивости.

У времену персонализоване медицине, ери дигиталне економије и убрзаног развоја информационих и комуникационих технологија, настају нови изазови како да се заштите лични подаци, при чему и подаци о здравственом стању запослених као пацијената^{^[16]}, представљају рањиве и врло подесне категорије подложне угрожавању. Стога ћемо у најкраћем изложити најважније европске регионалне стандарде које су од значаја за заштиту права на поверљивост података о здравственом стању пацијената.

Европска Конвенција о заштити људских права и основних слобода из 1950. године у члану 8. регулише право приватности кроз право на поштовање приватног и породичног живота. “Свако има право на поштовање свог приватног и породичног живота, дома и преписке. Јавне власти неће се мешати у вршење овог права, сем ако то није у складу са законом и неопходно у демократском друштву у интересу националне безбедности, јавне безбедности или економске добробити земље, ради спречавања нереда или криминала, заштите здравља или морала, или ради заштите права и слобода других”. Значи, у односу на наведене универзалне међународне акте Уједињених нација, ова Конвенција почива на одредбама којима се обезбеђује заштита приватности. Осим наведеног, конвенцијом се одређује под којим условима се може ограничити право на приватности и поверљивост, што је и те како значајна разлика у односу на наведене акте Уједињених нација^{^[17]}.

За заштиту права која су загарантована овом Конвенцијом, надлежан је Европски суд за људска права. У недостатку законског регулисања у области заштите права на приватност запослених, нарочито је важна пракса овог суда.

Поводом примене члана 8. Европске конвенције који се односи на право приватности (поштовање приватног и породичног живота), постоје бројни случајеви који се односе на повреду права приватности. С обзиром да је Суд утврдио да се наведени члан 8. конвенције односи и на заштиту података из приватне сфере запослених код одређеног послодавца^{^[18]}, занимљив је став о тзв. “разумно очекиваној приватности”. Наиме, реч је о приватности коју је запослени могао да очекује, да претпостави. Ради се о околностима које су уобичајене на радном месту. Сматра се да ће надзор над радом запосленог бити допуштен под условом да је запослени био упознат са том чињеницом. Ако запослени није упознат са тим да ће бити под надзором, онда он (разумно очекује)^{^[19]} од послодавца да се не меша у његову приватност док извршава одређене послове на радном месту. Овај концепт “разумно очекиване приватности”, иако је први пут коришћен у предмету Halford против Велике Британије^{^[20]}, касније је коришћен и у многим другим предметима који су се односили на заштиту приватности запослених, а нарочито је примењен у предмету Barbulesku против Румуније. Тужилац Bogdan Barbulesku у периоду од 2004. - 2007. године као запослени у једној приватној компанији у Румунији формирао је налог на интернет сервису – Yahoo messenger, за потребе свог послодавца, али је на том истом интернет сервису имао и свој приватни налог, посредством кога је одржавао комуникацију са њему блиским особама о питањима која задиру у приватне сфере, како њега тако и тих особа. Послодавац је упозорио тужиоца да не може користити његова средства за рад (интернет) у личне сврхе, док је на радном месту и док користи рачунар послодавца, као и да је већ један запослени из истих разлога добио отказ. Тужилац није обраћао пажњу на то и поред тога што му је послодавац ставио на увид транскрипте порука (у којима су биле и врло интимне поруке). Тужилац је сматрао да је отказ уговора о раду незаконит јер је повређено његово право на приватност. Судови у Румунији нису уважили тужбени захтев и Barbulesku је тужио Румунију пред Европским судом за људска права због повреде члана 8. наведене Конвенције, јер му држава није обезбедила заштиту права на приватност. Велико веће овог суда одлучило је да је у конкретном случају тужиоцу повређено право на приватност, с образложењем да тужилац није био упознат са чињеницом да послодавац надзире и његову комуникацију са блиским особама и да нису предузете адекватне мере заштите наведене комуникације ^{^[21]}.

Када се ради о повреди члана 8. Европске конвенције^{^[22]} навешћемо и неке примере који се односе на заштиту осетљивих података пацијената, а имајући у виду повреду права приватности запослених, јер давалац здравствених услуга, без обзира ко је пацијент - запослени, професија слободних занимања, корисник социјалне помоћи - мора обезбедити поштовање права на приватност и поверљивост података о здравственом стању пацијента. У пракси Европског суда за људска права могу се наћи примери који се односе на повреде права приватности у погледу располагања медицинском документацијом која се односи на одређена лица као и на лица која су високо позиционирани државни функционери.

Лекар се може ослободити чувања лекарске тајне ако зато постоје оправдани разлози (заразна болест, вођење кривичног поступка против одређеног лица и сл.). У пракси Европског суда нарочито су значајни случај З. против Финске^{^[23]} и случај Editon Plon против Француске из 2004. године^{^[24]}.

У случају З. против Финске, дошло је до повреде осетљивих података о здравственом стању лица које је било HIV позитивно у кривичном поступку њеног супруга који је такође HIV позитиван. До повреде приватности дошло је тако што је Виши суд, одлучујући о жалби у кривичном предмету, своју пресуду објавио медијима, тако што је прикрио идентитет осталих оштећених, али не и З. као супруге окривљеног. Осим откривања идентитета З. откривени су и осетљиви подаци о З. (из њеног здравственог картона који је суду достављен, откривени су следећи подаци: раније болести, одређене медицинске претраге, психичко стање и сл.), који нису релевантни за спроведени кривични поступак. Ти подаци требало је да буду издвојени из списа предмета, јер би се на тај начин сачувала приватност госпође З.

У случају Edition Plon против Француске основно питање које се поставља јесте у којој мери држава легислативом или одређеном пресудом штити приватност појединца, ако је он на највишој државној функцији, од неоправданог мешања медија у осетљиве податке. У овом случају ради се о примени члана 8. (заштита права приватности појединца) и члана 10. (слобода изражавања) Европске конвенције о заштити људских права и основних слобода. Основано је постављено питање могу ли се чињенице о здравственом стању (опис почетних симптома малигне болести, резултати медицинских истраживања, записник разговора са лекарима, псеудоним за биолошке тестове, опис напада панике, опис других важних чињеница из лекарског картона, трошкови операције и сл.), пацијента износити у јавност тако што би се објавила књига.

Породица је тражила да се књига не објави и да им издавач и аутори (новинар и породични лекар) накнаде штету.

Суд је досудио породици новчану накнаду и забранио дистрибуцију књиге, јер је дошло до повреде права приватности. Дакле, између чланова 10. и 8. наведене Конвенције Европски суд поводом захтева издавача, одлучио је да да предност социјалној функцији тајности медицинских података.

Осим Европске Конвенције о заштити људских права и основних слобода из 1950. године за право поверљивости значајна је и Конвенција Савета Европе о заштити лица у вези са аутоматском обрадом личних података.^{^[25]} Овом конвенцијом дефинисани су основни појмови: лични подаци, збирка података, аутоматска обрада, руковалац базе података и др.

У другом делу конвенције садржана су основна начела: начело квалитета података, сигурности података, доступност базе података и начело забране обраде,, сензитивних података,, у које спадају и подаци о здрављу. Када је реч о овом последњем начелу националном регулативом мора се обезбедити заштита ове категорије података у супротном не могу бити предмет аутоматске обраде.

Из области радног и социјалног права, када се ради о правима на заштиту здравља, социјалну сигурност, социјалну и медицинску помоћ, најважнији и најсистематичнији акт некомунитарног права је Европска социјална повеља из 1961. године (ревидирана 1996. у Стразбуру, а ступила је на снагу 1999. године).^{^[26]}

За заштиту људских права и достојанства значајна је и Конвенција Савета Европе о заштити људских права и достојанства људског бића у погледу примене биологије и медицине (Конвенција о људским правима и биомедицине)^{^[27]}.

Достојанство одређеног лица гарантује се кроз два облика заштите: општа, која се односи на свако лице и више посебних заштита (нпр. право на здравствену заштиту, право на приватност - члан 10), право на обавештавање, заштита права лица када се ради о истраживањима на човеку (забрана специфичних медицинских интервенција, нпр. забрана третирања ћелија заметка (чл. 13)), забрана креирања ембриона in vitro у истраживачке сврхе (чл 18). Протоколом из 1998. године забрањује се клонирање људског бића.

Овом конвенцијом успоставља се адекватан правни оквир за заштиту индидуалних и социјалних права, уопште људског достојанства у области здравља. По неким схватањима у правној доктрини она је документ о здравственом праву.

IV Комунитарни европски стандарди

Изворима Европског комунитарног права регулисана су питања која се односе на заштиту података о личности укључујући и податке о здрављу како запослених тако и других корисника права из здравствене заштите.

У Европској унији постоје примарни и секундарни извори права. Када се ради о заштити података о личности, они су регулисани првенствено секундарним извори^{^[28]}, правилом или уредбом (regulation)^{^[29]}, али и упутством или директивом (directive).^{^[30]}

Када се ради о примарним изворима права у ЕУ, посебан значај има Повеља ЕУ, о основним правима која је усвојена 18. децембра 2000. године. Ступањем на снагу уговора из Лисабона (01.12.2009), Повеља постаје саставни део европског комунитарног права, односно обавезујући правни акт за све органе ЕУ. Значај Повеље огледа се и у праву сваког грађанина ЕУ да може да се позове на одредбе ове Повеље пред Европским судом са седистем у Луксембургу, али заштиту повређеног права може тражити и пред националним судовима држава чланица ЕУ.

Када се ради о праву на приватност од значаја су чланови 7. и 8. Повеље. Према члану 7. “Свако има право на поштовање свог приватног и породичног живота, свог стана и комуникације”. Члан 8. Повеље регулише право на заштиту података о личности, а посебно је важан став 2. овог члана.^{^[31]}

У даљем раду анализираћемо уредбе и директиве које су значајне за остваривање права приватности лица, посебно у погледу података о личности.

Истражујући аспект заштите личних података пацијената не можемо а да се не осврнемо на још неке акте који регулишу ову област у Европској унији. Један од докумената посебног значаја из ове области је свакако Уредба 883/2004^{^[32]} о координацији система социјалне сигурности која уређује и усклађује систем социјалне сигурности особа које се крећу Европском Унијом и успоставља правни оквир за остваривање њихових права у овој области (здравствено, пензијско и инвалидско осигурање и осигурање за случај незапослености). Поред осталог, Уредба 883/2004 (члан 77), предвиђа заштиту личних података корисника права из ове уредбе, тако што утврђује да се при слању личних података телима или установама друге државе чланице, примењује законодавство о заштити података државе чланице која их шаље. На свако слање података које врши тело или установа државе чланице која их прима, чува, мења или уништава, примењује се законодавство о заштити података државе чланице која их прима. Обавеза је установа држава чланица, које спроводе поступке за остваривање права из социјалног осигурања применом Уредбе, да осигурају заштиту података који се користе у тим поступцима^{^[33]}. С обзиром на то да се ти подаци налазе у списима и да су сачувани у информатичким медијима, ова обавеза обухвата физичку заштиту и заштиту од провале у информатички медиј. При томе, установе су дужне да чувају приватност подносиоца захтева и корисника права. По правилу, за саопштавање личних података потребна је сагласност особе о чијим подацима се ради.

У Директиви 2011/24 ЕУ^{^[34]} о примени права пацијената у прекограничној здравственој заштити, у њеном уводном делу посебно је наглашено да (у складу са чланом 161, став 1. Уговора о функционисању Европске уније), треба осигурати висок степен заштите здравља људи при утврђивању и спровођењу свих политика и активности Уније. Државе чланице пружају узајамну помоћ и олакшавају сарадњу у пружању прекограничне здравствене заштите на регионалном и локалном нивоу, као и путем информатичких и комуникацијских технологија и других облика прекограничне сарадње. У делу Директиве (члан 13) о ретким болестима, утврђено је да здравствени стручњаци могу да располажу одређеним средствима која би им помогла да исправно дијагностикују ретке болести као (и да користе базу података Orphanet и европске референтне мреже) и да упуте пацијента на лечење у друге државе Уније. У том смислу (члан 14), Унија подупире и олакшава сарадњу и размену информација између држава чланица путем мреже Е-здравства (коришћење медицинских података за јавно здравље и истраживање). Остваривање наведених задатака и циљева подразумева нужно поштовање начела заштите података како је посебно наведено у директивама 95/46 и 2002/58 EZ.

До недавно, у ЕУ заштита података о личности регулисана је Директивом (смерницом), 95/46/EZ^{^[35]}. Ова Директива је била дуго времена у примени и представљала је фундамент о заштити свих сфера приватности личности.

У односу на то време, сада, у ери инфромационо-комуникационих технологија, свет је у многоме промењен. То је неминовно утицало и на опредељење Европског парламента и Савета ЕУ, полазећи од члана 8. ст. 1. наведене Повеље ЕУ о основним правима и члана 16. ст. 1. Уговора о функционисању ЕУ (UFEU), заштиту података о личности другачије и свеобухватније регулише. То се постигло усвајањем Опште Уредбе ЕУ 2016/679 из 2016. године (или GDPR-General Date Protecion Regulation), о заштити физичких лица у односу на обраду података о личности и о слободном кретању таквих података.^{^[36]}

Општа уредба (у даљем тексту: GDPR) о заштити података обавезна је за све државе чланице ЕУ, непосредно се примењује као било који други закон и представља, по свеобухватном регулисању материје заштите података о личности, закон ЕУ. Уредба је усвојена 2016. година, а примењује се од 25. маја 2018. године.

GDPR у условима технолошког развоја је везана за напредак науке и леглислативе у сфери заштите личних података, без обзира сто она ограничава суверенитет држава чланица у погледу заштите података. Зато што се њене одредбе, како смо истакли, директно примењују, чиме се осигурава адекватна правна сигурности физичких лица, али и комплетнија заштита основних људских права и слобода, а што значи да ниво заштите, према тачки 10. ове уредбе (преамбула), права и слобода физичких лица у односу на обраду личних података мора да буде исти у свим државама чланицама ЕУ, а што је био и мотив за доношење ове Уредбе. Међутим, ово не значи да државе чланице не могу одређена питања (велики је број тих питања) потпуније регулисати својим законодавством, због чега се GDPR у литератури назива „успореном“, што значи да могу и требају да се донесу и тзв. секторски закони.

GDPR – ом се прописују правила у вези са заштитом физичких лица приликом обраде података о личности и правила у вези са слободним кретањем података о личности. Уредбом се штите основна права и слободе физичких лица, а посебно њихово право на заштиту података о личности. Такође, прописано је да се слободно кретање података унутар Уније не сме ограничавати или забрањивати из разлога који се односе на заштиту физичких лица приликом обраде података о личности (чл. 1). Подручје примене и територијално важење Уредбе прописано је члановима 2. и 3., а чланом 4. дате су дефиниције 26 појмова (нпр. подаци о личности, обрада, ограничавање обраде података, профилисање, псеудонимизација, руковалац, обрађивач, пристанак, повреда безбедности података о личности, генетски, биометријски и подаци о здравственом стању,^{^[37]} надзорни орган^{^[38]}, релевантни и образложени приговор^{^[39]} и др.)

GDPR –регулише следећа питања, у оквиру поглавља 2. ^{^[40]}, па закључно са поглављем 11. – (завршне одредбе)^{^[41]}: права лица на која се подаци односе (овде је посебно важно право на брисање, право на заборав - чл. 17^{^[42]}), право на преносивост података (чл. 20), право на приговор и доношење аутоматизованих појединачних одлука укључујући и профилисање (чл. 21-22) и норме о ограничењу,^{^[43]} затим одредбе о руковаоцу и обрађивачу података (посебно је важан чл. 35. т. 3. под б - масовна обрада посебних категорија података о личности из чл. 9 ст. 1.^{^[44]}) или података које се односе на кривичну и прекршајну осуђиваност из чл. 10, овлашћено лице за заштиту података^{^[45]}, право на притужбу надзорном органу (чл. 77), право на делотворно правно средство против надзорног органа и против руковаоца или обрађивача (чл. 78 и 79), заступање лице на које се подаци односе (чл. 80), право на накнаду штете и одговорности (чл. 82), изрицање административних новчаних казни (чл. 83),санкције (чл. 84), обрада података у контексту запослења (чл. 88) и обавезе чувања тајности - професионална тајна и друга еквивалентна обавеза тајности (чл. 90).

Када се ради о генетским подацима,^{^[46]} према Уредби то су подаци о личности у вези са наслеђеним или стеченим генетским карактеристикама физичког лица који настају из анализе биолошког узорка физичког лица, а посебно анализе хромозома, дезоксирибонуклеинске киселине (ДНК), или рибонуклеинске киселине (РНК) или из анализе другог елемента који омогућава добијање истих информација.

Генетски подаци су посебна категорија личних података који захтевају појачану правну заштиту - генетска приватност, пре свега из разлога да би се спречило да резултати генетског тестирања буду основ дискриминације у области запошљавања, осигурање итд.^{^[47]}

Слично пристанку пацијента на одређени медицински подухват, и код генетског тестирања лице које је дало пуноважан пристанак треба да буде информисано о карактеру, значају и последицама које могу наступити у току и/или после спроведеног теста. Ако је пак, реч о детету^{^[48]} млађем од 16 година, по правилу генетско тестирање није дозвољено осим ако то није у интересу здравља детета или ако родитељи детета то захтевају да би се што пре поставила дијагноза, а што ће бити од значаја за исход лечења^{^[49]}. Према чл. 8. GDPR руковалац мора да учини све што је у његовој моћи да, када је реч о детету, провери да ли је пристанак дао или одобрио вршилац родитељског права над дететом, узимајући у обзир расположиву технологију.

Када се ради о заштити генетских података, гарантује се њихова тајност и приватности. Према Уредби подаци о личности који се односе на здравље морају да обухватају све податке који се односе на здравствено стање лица на које се подаци односе, а који откривају информације у вези са прошлим, садашњим или будућим физичким или психичким здравственим стањем лица на које се подаци односе. То укључује информације о физичком лицу прикупљене приликом регистрације за здравствене услуге или приликом пружања здравствених услуга том физичком лицу како је наведено у Директиви 2011/24/ЕУ Европског парламента и Савета, симбол или ознаку која је физичком лицу додељена у сврху његове јединствене идентификације за здравствене сврхе; информације добијене из тестирања или испитивања дела тела или телесне супстанце, између осталог из генетских података и биолошких узорака и било коју информацију о, на пример, болести, инвалидитету, ризику од болести, историји болести, клиничком лечењу или физиолошком или биомедицинском стању лица на које се подаци односе независно без обзира на њихов извор, на пример од лекара или другог здравственог радника, болнице, медицинског уређаја или in vitro дијагностичког теста.

Подаци о личности који су по својој природи посебно осетљиви у погледу основних права и слобода заслужују посебну заштиту, јер би у оквиру њихове обраде могло доћи до значајних ризика за основна права и слободе. Такви подаци о личности не смеју да се обрађују, осим ако је обрада дозвољена у посебним случајевима који су прописани овом уредбом, узимајући у обзир да правом држава чланица могу да буду прописане посебне одредбе о заштити података како би се примена правила из ове уредбе прилагодила ради поштовања законске обавезе или за извршење задатка који се обавља у јавном интересу или у оквиру извршавања службених овлашћења додељених руковаоцу. Поред посебних захтева за такву обраду, треба примењивати општа начела и друга правила из ове уредбе, посебно у вези са условима за закониту обраду. Одступања од опште забране обраде таквих посебних категорија података о личности мора да буде изричито прописана, између осталог ако је лице на које се подаци односе дало свој изричит пристанак или у вези са посебним потребама, посебно ако се обрада врши у оквиру легитимних активности одређених удружења или фондација чији је циљ да се дозволи остваривање основних слобода (тачка 51 Преамбуле Опште уредбе).

Одступање од забране обраде посебних категорија података о личности такође треба да буде дозвољена када је то предвиђено правом ЕУ или правом државе чланице и уз примену одговарајућих мера заштите, ради заштите података о личности и других основних права, ако је у јавном интересу да се то учини, посебно у случају обраде података о личности у области права запошљавања, права социјалног осигурања, укључујући и пензије и за потребе здравствене заштите, праћења и узбуњивања, спречавања или контроле заразних болести и других озбиљних претњи за здравље. Такво се одступање може да се направи у здравствене сврхе, укључујући и јавно здравље и управљање здравственим услугама, посебно како би се обезбедио квалитет и исплативост поступака који се користе за решавање захтева за давањима и услугама у систему здравственог осигурања или у сврхе архивирања у јавном интересу, у сврхе научних или историјских истраживања или у статистичке сврхе. Одступањем би такође требало омогућити обраду таквих података о личности ако је то неопходно за успостављање, остваривање или одбрану правних захтева, без обзира на то да ли је у питању судски или управни поступак или вансудски поступак (тачка 52-Преамбула Опште уредбе).

Посебне категорије података о личности које заслужују већи степен заштите треба обрађивати у здравствене сврхе само ако је то неопходно за остваривања тих сврха у корист физичких лица и друштва у целини (тачка 53 - Преамбула Опште уредбе). Међутим, према тачки 50. (Преамбула Опште уредбе) обрада посебних категорија података о личности може да буде неопходна због јавног интереса у области јавног здравља без пристанка лице на које се подаци односе. На такву обраду морају да се примењују примерене и специфичне мере да би се заштитила права и слободе физичких лица. У том контексту "јавно здравље" треба тумачити према дефиницији из Уредбе (ЕЗ) бр. 1338/2008 Европског парламента и Савета, што значи сви елементи повезани са здрављем, тј. здравственим стањем, укључујући морбидитет и инвалидитет, детерминанте које утичу на здравствено стање, потребе здравствене заштите, средства додељена за здравствену заштиту, пружање здравствене заштите и општу доступност здравствене заштите, као и трошкови и финансирање здравствене заштите и узроци морталитета. Таква обрада података о здравственом стању за потребе јавног интереса не сме да проузрокује обраду података о личности у друге од стране трећих лица као што су послодавци или осигуравајућа друштва и банке.

Према чл. 9, ст. 1 регулисана је обрада посебних категорија података о личности укључујући и податаке о здравственом стању. Као сто смо горе истакли, забрањена је обрада података о личности који откривају податке о здравственом стању. Ставом два истог члана прописано је када се неће применити став 1. (од а) закључно са и)).

Када се ради о регулисању заштите генетских података осигураника у упоредном праву постоје различите правне ситуације које настају на релацији осигуравајућа друштва и осигураници. То питање је нарочито важно код утврђивања висине премија за одређени осигурани ризик. Наиме, основно питање је треба ли лице које жели да се осигура да заступнику осигурања саопшти резултате генетског тестирања. Без обзира да ли се ради о тестирању које је спроведено пре појаве симптома болести (предикативни генски тестови) или након појаве симптома болести, а у циљу постављања тачне дијагнозе и евентуалног излечења (тзв. дијагностички тестови). Пракса је различита у европско-континенталном систему у односу на агло-саксонски правни систем. У Немачкој, резултати генетских тестова доступни су само лицу које је тестирано као и надлежном лекару, а трећим лицима само под условом да постоји изричита писана сагласност тестираног лица. Резултати се чувају 10 година, а након тога биће уништени, при чему постоји и обавеза уништења генетског узорка.^{^[50]}

У САД је 2008. године донет Закон о забрани дискриминације на темељу генетских информација поводом здравственог осигурања и запошљавања. Наведеним законом настоји се забранити послодавцима и осигуравајућим кућама здравственог осигурања да дескринимису лица на основу њихове генетске предеспозиције за настанак болести. Сврха доношења овог закона је да се се створи поверење потрошача у резултате генских тестова, без бојазни да ће се исти искористити против тих лица. Према одредбама наведеног закона осигуравајућим кућама забрањена је употреба генетских информација при доношењу одлука о закључивању уговора о здравственом осигурању као и при одређивању премије. Важно је истаћи да се одредбе поменутог закона не примењују на животна осигурања као ни на инвалидска осигурања и осигурања дуготрајније неге и помоћи одређеном лицу^{^[51]}.

Осим тога што се Уредбом у већем обиму проширују надзорна овлашћења независних органа, посебна новина је процена утицаја у вези са заштитом података. Према члану 35. став 1. Уредбе прописано је да, ако је вероватно да ће нека врста обраде, посебно применом нове технологије и узимајући у обзир природу, обим, околности и сврхе обраде, проузроковати велики ризик за права и слободе физичких лица, онда руковалац пре обраде врше процену утицаја предвиђених поступака обраде на заштиту података о личности. При томе мора се водити рачуна како се једна процена може односити на више сличних поступака обраде који представљају сличне велике ризике. Оно што је такође важно, према чл. 35. став 2. јесте околност да се при спровођењу процене утицаја у вези са заштитом података, руковалац обраде тражиће мишљење од овлашћеног лица за заштиту података али под условом да је оно именовано. Као што смо, већ раније истакли процена утицаја на заштиту података обавезна је у три ситуације а за овај рад важан је случај ако се ради о масовној обради посебних категорија података о личности, а који су сензитивног карактера (између осталог ради се и о подацима о здравственом стању) чија је, као што смо истакли, обрада генерално забрањена.

V Закључак

Тајност и поверљивост података о личности, укључујући и податаке о здравственом стању пацијента, регулисани су бројним међународним регионалним и националним прописима. У Европи посебно су значајни Европска конвенција о заштити људских права и основних слобода из 1950. године (чл. 8 - право на поштовање свог приватног и породичног живота), Европска социјална повеља из 1961. године (ревидирана 1996. године), Европска повеља о правима пацијената из 2002. године, Повеља о основним људским правима у ЕУ из 2000. године и Уредба ЕУ 2016/679-GDPR из 2016. године. Ова Уредба је најважнији обавезујући правни документ ЕУ о заштити физичких лица у односу на обраду података о личности и о слободном кретању таквих података. Она има непосредно дејство. Изузетно је значајна за све државе које послују на заједничком тржишту ЕУ, укључујући и Србију. Посебно је важан члан 9. који се односи на обраду посебних категорија података о личности (генетски, биометријски и подаци о здравственом стању…). Према овом члану обрада ових података је забрањена, с тим што постоје и изузеци који су таксативно наведени у ставу 2. (од а) до у), нпр: обрада је неопходна за потребе превентивне медицине или медицине рада због процене радне способности запослених, медицинске дијагнозе, ако постоји неопходан разлог јавног интереса итд…).

Сматрамо да је неопходно створити услове за примену наведених међународних и регионалних стандарда како би се спречиле злоупотребе при употреби података о здравственом стању пацијената од стране различитих субјеката и у различите сврхе. Такође, потребно је и адекватније регулисати забрану дискриминације по основу употребе података који су добијени генетским тестирањем. Осим наведеног, потребно је прецизније регулисати пренос или откривање ових података на основу одлуке органа друге државе (нпр. захтев за достављање оригиналне медицинске документације, ради остваривања одређених права из здравственог осигурања и сл.). На основу изложених међународних стандарда, било би добро да се на националном нивоу донесе системски закон, којим би се регулисале све ризичне ситуације и могућности злоупотребе посебне врсте података. Такође, треба донети и правилник којим би се прецизно одредило шта све спада у податке о здравственом стању, а које користе сви субјекти који се баве пружањем и заштитом здравствених услуга.

Radoje Brković, LLD^*

INTERNATIONAL AND EUROPEAN LEGAL FRAMES ON DATA CONFIDENTIALITY WITH PARTICULAR REFERENCE TO PATIENT HEALTH DATA

Summary

We believe that it is necessary to create conditions for the application of the mentioned international and regional standards in order to prevent misuse of the use of patient health information by different entities and for different purposes. It is also necessary to better regulate the prohibition of discrimination on the basis of the use of data obtained through genetic testing. Apart from the above, it is necessary to regulate more precisely the transfer or disclosure of this information based on the decision of the authorities of another country (eg request for submission of original medical documentation, in order to exercise certain health insurance rights,etc.).

Key words: patient, health care, international instruments, European standards.

^* Редовни професор Правног факултета Универзитета у Крагујевцу, rbrkovic@jura.kg.ac.rs

^{^[1]} Рад је написан у оквиру пројекта Правног факултета Универзитета у Крагујевцу “21. век – век услуга и услужног права”, бр. 179012, који финансира Министарство просвете, науке и технолошког развоја Републике Србије.

^{^[2]} И. Клајн, М. Шипка, Велики речник страних речи и израза, Нови Сад, 2016.

^{^[3]} Р. Марковић, Уставно право, Правни факултет, Београд, 2014, 467.

^{^[4]} Према Уставу Србије из 2006. год. реч је о заштити података о личности-члан 42. Ради се о комплексном праву које је регулисано и чл. 23, чл. 25, чл. 40 - чл. 41.

^{^[5]} Онај део човекове приватности који се односи на прикупљање, управљање и коришћење личних података.

^{^[6]} Најчешће су присутни следећи методи – када се нпр. ради о овлашћењу послодавца да контролише рад запослених (службени рачунар, телефон, интернет, електронска картица за присутност на послу.).

^{^[7]} Ј. Радишић, Медицинско право,Номос, Београд, 73.

^{^[8]} ,,Лекар мора држати у потпуној тајности све оно сто му болесник повери и оно сто је у стању да сазна на основу болесниковог поверења“. Више у Ј. Марић, Медицинска етика, Београд, 1995, 98.

^{^[9]} Ј. Радишић, Медицинско право, Номос, Београд, 156.

^{^[10]} Љ. Јовановић, Лекарска тајна, Институт за упоредно право, Београд, 1959, 11.

^{^[11]} Лекар је дужан да информације о пацијенту до којих дође у току лечења и увидом у медицинску документацију чува трајно, па и након пацијентове смрти. Више у: Х. Мујовић – Зорнић, Пацијентова права, универзалност и европски концепт, Зборник радова, “Актелности грађанског и трговачког законодавства и праксе”, Мостар, 2005, 253-271.

^{^[12]} Под одређеним условима постоји и прећутна сагласност пацијента да лекар који га лечи може одређене податке о његовом здравственом стању саопштити пред судом, ако је сведок пацијента у одређеном предмету, тада се сматра да лекар нема обавезу да чува лекарску тајну.

^{^[13]} Ова законска могућност мора се тумачити рестриктивно. Обавеза откривања тајне постоји ако се ради о заразној болести пацијента (другом брачном партнеру треба открити да његов партнер има нпр. сиду). Такође, ако треба да се заштити важније добро пацијента, онда лекар може открити тајну. Осим тога, ако лекар мора да заштити своје интересе (нпр. ако је тужен од стране пацијента лекар да би заштитио себе мора изнети тајне податке о пацијенту, односно не постоји одавање тајне ако постоји оправдан захтев од органа управе , суда и сл).

^{^[14]} Амерички теоретичар Салов је представио свој концепт права – приватности. По њему ,,право на приватност,, чине право појединца да га други људи оставе на миру, право на тајност, право на неповредивост интимне сфере и друга слична права. Више у: D. Solove, Conceptualizing Privaty, California, Law Review, vol. 90, 2002, 1088.

^{^[15]} Овај Пакт ,,...инаугурише у међународно право стандард изворног достојанства људске личности као претпоставке за постојање правде и мира у свету,,.

^{^[16]} За осигуравајуће куће врло је важно да се зна какав је лични здравствени профил кандидата за запослење, важно је због осигураног ризика, лица са већим ризиком (да ће наступити одређена болест или да је већ наступила), плаћаће вишу премију у односу на лица са мањим ризиком. Све ово је важно због примене предиктивних и дијагностичких генских тестова у закључивању уговора о здравственом осигурању (због професионалне неспособности за рад, у случају неспособности за ради уопште-осигурање за случај инвалидитета, у случају туђе помоћи и неге) и сл. За приватна осигуравајућа друштва од пресудне важности је утврђивања ризика у здравственом осигурању. С тога оне настоје на све могуће начине да се заштите код закључивања уговора о здравственом осигурању при чему су итекако заинтересоване углавном за предиктивне генске тестове осигураника. С друге стране, држава мора да створи безбедне услове за заштиту података из генских тестова, али и да се не спречава функционисање дигиталног пословања.

^{^[17]} A. M. Connelly, Problems of Interpretation of Azticle 8 of the European Convention on Human Rights, The International ande Comparative Law Quarterly, No. 3/1986, 567-593.

^{^[18]} Пресуда суда у предмету Niemietz v.Germany (Application no. 13710/88), paragraf 29.

^{^[19]} L; Evans, Monitoring Technology in the American Workplace:Would Adopting English Privacy standars Better Balance Employee Privacy ande Productiviy, California Law Review , no. 4, 2007, 1115/1149.

^{^[20]} Halfor v. The United Kingdom (Application no. 20605/92 paragraf 43 I 45

^{^[21]} Barbulescu v. Romania (Application no. 61496/08)

^{^[22]} Европски суд за људска права, чије је седиште у Стразбуру, на становишту је да се правна заштита на основу овог члана односи и на комуникацију: путем интеренета, као и на заштиту података о личности (о здравственом стању, имену, пореклу, сексуалној оријентацији и сл.).

^{^[23]} Case Z. Versus, Finland (Application no. 22009/93) no. 9/1996/627/811.

^{^[24]} Case of Edition Plon Versus France (Application no 58148/00).

^{^[25]} Convention for the Protetcion of Indiriduals with Regards to automatic Processing of Presonal data, Coumcil of Europe, Strazbur, 1981.

^{^[26]} П. Јовановић, Радно право, Нови Сад, 2018, 116-117.

^{^[27]} Convention for the protection of human rignts and dignity,of the human being with regard to the application of biology and medicine, Council of Europe.

^{^[28]} Предвиђени су чланом 189 уговора о оснивању Европске економске заједнице.

^{^[29]} Уредбе имају обавезујућу снагу, директно се примењују у свим државама чланицама (вертикално дејство) и према свим физичким и правним лицима држава чланица (хоризонтално дејство).

^{^[30]} Претежни су део секундарних извора, обавезују у погледу постављеног циља, углавном делују само вертикално.

^{^[31]} За разлику од става. 1. којим се прописује да свако лице има право на заштиту личних података који се на њега односе, ст. 2 прописује се да се лични подаци морају поштено обрађивати и да се могу користити само за утврђене сврхе, али уз услов да је претходно дата сагласност (пристанак лица на које се подаци односе). Свако има право на приступ прикупљеним подацима о њему и што је итекако вазно право на њихово исправљање. У ст. 3 овог члана прописано је да надзор над поштовањем норми из претходна два става врши независан орган.

^{^[32]} Службени лист Европске уније (Сл. Л. 166 од 30.04.2004. и Уредба 988/2009, (Сл. Л. 284 од 30.10.2009)

^{^[33]} M. Rismondo, Socijalna politika Evropske Unije i ostvarivanje socijalne sigurnosti prema Uredbama 883/2004 i 987/2009 i drugim aktima Unije, Libertin naklada D.O.O., Rijeka, 2016, 287-288.

^{^[34]} „Службени лист ЕУ“, број 088/45 од 09.03.2011.

^{^[35]} „Службени лист ЕУ“, број 281/1995.

^{^[36]} Овом Општом Уредбом о заштити података, стављена је ван снаге директива 95/46/EZ.

^{^[37]} О овим подацима у наредним излагањима.

^{^[38]} Реч је о независном органу власти (један или више) који је основала држава чланица ЕУ у складу са чл. 51 GDPR -а а који су одговорни за праћење њене примене.

^{^[39]} Ради се о приговору на нацрт одлуке о томе да ли је дошло до кршења одредби GDPR-а (чл. 4. ст. 1. тачка 24).

^{^[40]} У питању су начела обраде податак о личности: Законитост обраде, услови за пристанак, услови који се примењују на пристанак детета у вези са услугама информационог друштва и обрада посебних категорија података о личности.

^{^[41]} Посебно је важан однос према Директиви 2002/58 ЕZ (,,право на дигитални заборав,,).

^{^[42]} Према овом члану конституише се право на брисање података о личности одређеног лица ако су испуњени одређени услови-нпр да су подаци о личности незаконито обрађени-обрада података о личности детета у смислу чл.8 GDPR -а.

^{^[43]} Законском нормом може да се ограничи, у смислу чл 23. GDPR-а, обим обавеза и права из чл. 12 - 22, чл. 34. и чл. 5, ако то ограничење представља неопходну и сразмерну меру у демократском друштву заштиту: националне безбедности, одбране, јавне безбедности, заштите независности правосуђа и судских поступака, спречавања, истраге, откривања и гоњења повреде етике у законским регулисаним професијама…

^{^[44]} Ради се о процени утицаја у вези са заштитом осетљивих података (генетски, биометријски, о здравственом стању, сексуалном животу итд.).

^{^[45]} Посебно је важан одељак 5 –кодекси понашања и сертификација

^{^[46]} Н. Бодирога - Вукобрат, Л. Беланић,Осигурани ризик у здравственом осигурање у свјетлу нових открића генетике, Зборник Правног факултета Свеучилишта у Ријеци, Вол. 39, бр. 1/2018, 353-376.

^{^[47]} З. Кандић - Поповић, Правна заштита основних људских вредности у централној и источној Европи и модерна биотехнологија, Будимпешта- Праг, 1999. године.

^{^[48]} Врло је важна воља детета у контексту права на одређење и утврђивање правог значења стандарда (најбољи интерес детета).

^{^[49]} Т. Ђурђић, Право на заштиту генетске приватности, Зборник радова ,,Савремени правни промет и услуге, Крагујевац, 2018, 651-663.

^{^[50]} Предвиђено Законом о генетској дијагностици из 2009. године (чл. 11,12 и 13).

^{^[51]} Н. Бодирога-Вукобрат, Л. Беланић, op. cit., 353-376.

^* Full-time professor, Faculty of law, University of Kragujevac.