U decembru 2015. godine novinar je u TV emisiji otkrio zdravstvene podatke jednog pacijenta. Podaci su se odnosili na mentalno zdravlje pacijenta i na njegovo lečenje u bolnici za mentalno zdravlje “Dr Laza Lazarević” u Beogradu. Srpski Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (“Poverenik”) ubrzo je utvrdio da je bolnica otkrila podatke Ministarstvu zdravlja koje je, sa svoje strane, podatke učinilo dostupnim Ministarstvu unutrašnjih poslova. Poverenik je 23. decembra 2015. godine izdao upozorenja bolnici i Ministarstvu zdravlja zbog flagrantne povrede prava pacijenta na privatnost i zaštitu ličnih podataka. Poverenik nije utvrdio ko je otkrio podatke novinaru.
Poverenik je podneo zahteve za pokretanje prekršajnog postupka protiv Ministarstva zdravlja, bolnice i direktora bolnice. Takođe, Poverenik je podneo krivičnu prijavu protiv nepoznatog izvršioca u svojstvu službenog lica bolnice ili Ministarstva zdravlja ili Ministarstva unutrašnjih poslova, zbog osnova sumnje da je počinio/la krivično delo neovlašćenog prikupljanja ličnih podataka. Ministarstvo unutrašnjih poslova je uključeno zbog toga što je inicijalno ono zahtevalo dostavljanje podataka od strane Ministarstva zdravlja.
Srpski Zakon o zaštiti podataka o ličnosti smatra podatke koji se odnose na zdravstveno stanje naročito osetljivim podacima (zakonski termin). Za zakonitu obradu naročito osetljivih podataka, informisani pristanak lica (u pisanoj formi) je uvek potreban. Izuzetno, podaci koji se odnose na pripadnost političkoj stranci, zdravstveno stanje i primanje socijalne pomoći, mogu se obrađivati bez pristanka lica, ukoliko je to zakonom propisano.
Poverenik je utvrdio da je bolnica otkrila Ministarstvu zdravlja dokument koji sadrži zdravstvene podatke, bez pristanka lica i bez zakonskog osnova koji predviđa izuzetak od obaveze pribavljanja pristanka.
Direktor bolnice je tvrdio da je otkrivanje podataka bilo u skladu sa relevantnim odredbama Zakona o zdravstvenoj zaštiti, Zakona o pravima pacijenata i Zakonom o zaštiti lica sa mentalnim smetnjama. Svaki od ovih zakona u svojim završnim odredbama propisuje da je Ministarstvo zdravlja ovlašćeno da vrši nadzor nad sprovođenjem tog zakona. Ove odredbe, prema mišljenju direktora bolnice, predstavljaju zakonski osnov za otkrivanje podataka Ministarstvu.
Poverenik nije smatrao ovaj argument ozbiljnim. Da bi otkrivanje podataka potencijalno bilo zakonito, Ministarstvo bi trebalo da odredi da se podaci traže u svrhu nadzora. Međutim, zahtev koji je Ministarstvo podnelo nije predviđao nijednu posebnu svrhu – nadzor, ili neku drugu – za koju su podaci bili traženi.
Osim toga, Zakon o zdravstvenoj zaštiti predviđa da, kada Ministarstvo postupa u svojstvu nadzornog organa, zdravstvena ustanova može lične podatke otkriti samo zdravstvenom inspektoru (tj. ne može ih otkriti drugom licu iz Ministarstva) i inspektor mora ove podatke da čuva kao službenu tajnu. U ovom slučaju, bolnica “Dr Laza Lazarević” je lične podatke učinila dostupnim Ministarstvu zdravlja kao organu, a ne zdravstvenom inspektoru.
Poverenik je takođe utvrdio da je bolnica postupila protivno svojoj obavezi predviđenoj Zakonom o zaštiti podataka o ličnosti da preduzme odgovarajuće tehničke, kadrovske i organizacione mere za zaštitu podataka od neovlašćenog otkrivanja ili druge vrste zloupotrebe. Kada je Ministarstvo zdravlja zahtevalo podatke od bolnice, to je učinilo email-om koji nije sadržao ime, prezime ili funkciju pošiljaoca. Bolnica je, odgovarajući na zahtev, poslala dokument koji sadrži zdravstvene podatke sa neobezbeđenog email naloga. Email adresa se nalazila na serveru koji nije bio pod kontrolom bolnice. Poverenik je utvrdio da bolnica nije mogla da zna ko može da pristupi email-ovima poslatim sa tog naloga. Štaviše, pdf dokument koji se nalazio u email-u nije sadržao pristupnu šifru ili enkripciju.
Ministarstvo zdravlja je takođe pokušalo da zakonitost otkrivanja podataka zasnuje na određenim odredbama Zakona o policiji i Zakona o državnoj upravi, koje predviđaju saradnju između državnih organa i razmenu podataka. Međutim, Poverenik je zaključio da relevantne odredbe Zakona o policiji i Zakona o državnoj upravi ne stvaraju nezavisni osnov za obradu podataka, već samo upućuju na primenu Zakona o zaštiti podataka o ličnosti.
Poverenikovo oštro odbijanje da prihvati argumente Ministarstva zdravlja i direktora bolnice čini se utemeljenim. U isto vreme, o nekim pitanjima koja nisu krucijalna za utvrđivanje odgovornosti uključenih organa, bilo bi poželjno da je Poverenik dao konceptualno jasniji odgovor.
Poverenik označava bolnicu i Ministarstvo zdravlja kao “rukovaoce”, bez razjašnjenja da li su oba organa rukovaoci u odnosu na istu obradu (tj. postupaju kao ko-rukovaoci) ili je svaki ponaosob rukovalac u odnosu na različitu obradu. Nema sumnje da kada se radi o uobičajenoj obradi zdravstvenih podataka pacijenata bolnica je rukovalac.
Ali u pogledu koje obrade – ako i jedne – Ministarstvo zdravlja postupa kao rukovalac? Očigledno ne u odnosu na obradu u svrhu medicinskog lečenja. Samo u odnosu na naknadnu obradu – prikupljanje podataka na zahtev Ministarstva unutrašnjih poslova – Ministarstvo zdravlja bi moglo da bude rukovalac. Ali i takvo gledište bi bilo sporno zbog toga što se može argumentirati i da je Ministarstvo zdravlja postupalo samo kao obrađivač u odnosu na Ministarstvo unutrašnjih poslova koje je rukovalac. Ministarstvo zdravlja je od bolnice tražilo da mu dostavi zdravstvene podatke zato što je Ministarstvo zdravlja prethodno primilo zahtev za dostavljanjem tih podataka od strane Ministarstva unutrašnjih poslova.
Svrha za koju je Ministarstvo unutrašnjih poslova želelo da pribavi i koristi podatke pacijenta nije eksplicitno navedena u Poverenikovom upozorenju. Onima koji prate politička dešavanja u Srbiji izgleda da je svrha bila da se podaci o mentalnom zdravlju iskoriste za diskreditovanje osobe koja se neposredno pre toga umešala u javnu prepirku između kritičara i podržavalaca srpske vlasti (pacijent očigledno pripada prvoj grupi). U svakom slučaju, ni bolnica ni Ministarstvo zdravlja nisu odredili svrhu ili sredstva te naknadne obrade. Ministarstvo zdravlja je postupalo po zahtevu Ministarstva unutrašnjih poslova, dok je bolnica postupala po zahtevu Ministarstva zdravlja. Nije čak ni sigurno da je Ministarstvo zdravlja bilo upoznato sa svrhom za koju je Ministarstvo unutrašnjih poslova tražilo podatke. Sve ovo vodi zaključku da je jedini rukovalac u odnosu na ovu naknadnu obradu podataka Ministarstvo unutrašnjih poslova. Ministarstvo zdravlja je postupalo u svojstvu obrađivača dok je bolnica pod-obrađivač.