Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti u pismu upućenom ministru zdravlja pozvao je na hitno preduzimanje mera kojima će se obezbediti da podaci o ličnosti u okviru Integrisanog zdravstvenog informacionog sistema (IZIS) budu zaštićeni od neovlašćenog pristupa i svake druge zloupotrebe, kao i da se funkcionisanje IZIS-a reguliše na jedini pravno valjan način - zakonom. Poverenik je prethodno u postupku nadzora utvrdio da je Ministarstvo bez valjanog pravnog osnova uspostavilo IZIS kao centralizovanu, elektronsku zbirku podataka u okviru koje vrši obradu podataka o ličnosti pacijenata (uključujući po zakonu "naročito osetljivim" podacima) i zaposlenih iz 451 zdravstvene ustanove.
Obrada podataka o ličnosti shodno čl. 42 Ustava "uređuje se zakonom". Samo se zakonom, ne i podzakonskim aktima, može stvarati pravni osnov za obradu podataka o ličnosti i uređivati svrha obrade i vrsta podataka koji se obrađuju. Ni jednim od relevantnih zakona (Zakon o zdravstvenoj dokumentaciji i evidencijama u oblasti zdravstva, Zakon o zdravstvenoj zaštiti, Zakon o javnom zdravlju) ne predviđa se i ne uređuje obrada podataka o ličnosti koja se vrši u okviru IZIS-a. Uredba o Programu rada, razvoja i organizaciji Integrisanog zdravstvenoj informacionog sistema "e-zdravlje", osim što kao podzakonski akt ne može predstavljati pravni osnov za obradu podataka o ličnosti, to nije čak ni po svojoj sadržini.
Navedeno je, pored ostalog, bio razlog zbog koga su neki od subjekata zdravstvenog sistema poput RFZO s pravom odbili da dostavljaju lične podatke iz matične evidencije, što samo po sebi, nezavisno od problema s pravnim osnovom, dovodi u pitanje funkcionalnost sistema.
Ništa manje važno je to da je osim problema sa pravnim osnovom, u postupku nadzora utvrđeno da postoje veoma ozbiljni propusti u zaštiti podataka o ličnosti koji podrazumevaju veliki rizik neovlašćenog pristupa i drugih zloupotreba velikih razmera.
Tim povodom Poverenik je Ministarstvu oktobra prošle godine uputio Upozorenje sa preciznim navođenjem nepravilnosti i detaljnim opisom činjeničnog i pravnog stanja.
Ministarstvo je obavestilo Poverenika da je implementiralo sistem kojim su otklonjeni nedostaci u zaštiti podataka o ličnosti, što su predstavnici Ministarstva zdravlja ponovili na sastanku sa predstavnicima Poverenika koji je održan juče, 12. 01. 2017. godine. Međutim, odmah nakon završetka pomenutog sastanka saradnici Poverenika su izvršili proveru mogućnosti pristupa podacima o ličnosti pacijenata i utvrdili da je stanje nepromenjeno u odnosu na stanje koje je navedeno u Upozorenju iz oktobra 2016. godine, odnosno da nije otklonjena mogućnost neovlašćenog pristupa tim podacima.
Dalje održavanje postojećeg stanja pravno je neprihvatljivo, a faktički podrazumeva rizik kompromitovanja i zloupotrebe ličnih podataka pacijenata i nastupanja velikih neotklonjivih štetnih posledica, zbog čega Poverenik očekuje da Ministarstvo zdravlja bez odlaganja obezbedi da podaci o ličnosti u okviru IZIS-a budu zaštićeni od neovlašćenog pristupa, kao i da preduzme korake potrebne da bi obrada podataka o ličnosti u okviru IZIS-a bila pravno valjana, dakle uređena zakonom.