HRVATSKI SABOR
269
Na temelju članka 89. Ustava Republike Hrvatske, donosim
ODLUKU
O PROGLAŠENJU ZAKONA O PODACIMA I INFORMACIJAMA U ZDRAVSTVU
Proglašavam Zakon o podacima i informacijama u zdravstvu, koji je Hrvatski sabor donio na sjednici 25. siječnja 2019.
Klasa: 011-01/19-01/04
Urbroj: 71-06-01/1-19-2
Zagreb, 30. siječnja 2019.
Predsjednica
Republike Hrvatske
Kolinda Grabar-Kitarović, v. r.
ZAKON
O PODACIMA I INFORMACIJAMA U ZDRAVSTVU
I. OPĆE ODREDBE
Članak 1.
Ovim Zakonom utvrđuju se prava, obveze i odgovornosti pravnih i fizičkih osoba zdravstvenog sustava Republike Hrvatske u području upravljanja podacima i informacijama u zdravstvu, definiraju se pojmovi i temeljna načela prikupljanja, korištenja i obrade zdravstvenih podataka i informacija, nadležna tijela, kvaliteta i obrada zdravstvenih podataka, njihova zaštita te inspekcijski i stručni nadzor, radi sveobuhvatnog i djelotvornog korištenja zdravstvenih podataka i informacija u zdravstvenoj zaštiti radi unaprjeđenja i očuvanja zdravlja stanovništva u Republici Hrvatskoj.
Članak 2.
Ovim Zakonom osigurava se provedba Uredbe (EZ) br. 1338/2008 Europskog parlamenta i Vijeća od 16. prosinca 2008. o statističkim podacima Zajednice o javnom zdravlju i zdravlju i sigurnosti na radnom mjestu (Tekst značajan na EGP) (SL L 354, 31. 12. 2008., u daljnjem tekstu: Uredba (EZ) br. 1338/2008).
Članak 3.
(1) Pojedini izrazi u smislu ovoga Zakona imaju sljedeće značenje:
1. zdravstveni podatak je podatak o pojedincu, o njegovu fizičkom ili mentalnom zdravlju, uključujući pružene mu zdravstvene usluge u zdravstvenom sustavu Republike Hrvatske
2. zdravstvena informacija nastaje obradom zdravstvenih podataka sa svrhom njezine daljnje uporabe u zdravstvenom sustavu ili za potrebe sustava povezanih sa zdravstvenim sustavom
3. izvorni zdravstveni podatak je vjerodostojan zapis o određenoj zdravstveno relevantnoj činjenici, mjerenju odnosno zaključku, koji se bilježi na mjestu nastanka podatka ili na način za koji ovlaštena osoba može jamčiti njegovu izvornost, cjelovitost i vjerodostojnost u trenutku bilježenja
4. izvori zdravstvenih podataka za potrebe evidencija u području zdravstva su pojedinci o kojima se prikupljaju zdravstveni podaci, pravne i fizičke osobe zdravstvenog sustava koje sudjeluju u stvaranju zdravstvenih podataka za upravljačke, poslovne, stručne, znanstvene, istraživačke, statističke, administrativne, nadzorne, sigurnosne, informativne i druge potrebe
5. obrada zdravstvenih podataka je svaki postupak ili skup postupaka koji se obavljaju na podacima ili na skupovima podataka iz izvora zdravstvenih podataka i drugih izvora, bilo automatiziranim bilo neautomatiziranim sredstvima, kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, razmjena, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje
6. voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Europske unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom države članice
7. izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade
8. medicinska dokumentacija je skup medicinskih zapisa i dokumenata nastalih u procesu pružanja zdravstvene zaštite kod ovlaštenih pružatelja zdravstvene zaštite koji sadrže podatke o zdravstvenom stanju i tijeku liječenja pacijenata
9. zdravstvena dokumentacija je izvorna ili reproducirana dokumentacija, neovisno o obliku zapisa i stvaratelju zapisa podataka, obuhvaća medicinsku dokumentaciju (liječničku, sestrinsku i drugu dokumentaciju) i svu ostalu dokumentaciju koja nastaje ili je preuzeta u zdravstvenoj djelatnosti (administrativnu, financijsku i drugu nemedicinsku dokumentaciju)
10. evidencija u području zdravstva je strukturirani i standardizirani skup podataka ciljno prikupljan sustavnim bilježenjem i održavan kroz radne procese pružatelja zdravstvene zaštite i drugih pravnih i fizičkih osoba u zdravstvu zaduženih za određenu evidenciju
11. javnozdravstveni registar je organizirani sustav prikupljanja, analize i distribucije podataka i informacija o populacijskim skupinama određenim prema njihovu zdravstvenom stanju, bolesti i korištenju zdravstvene zaštite i o pružateljima zdravstvenih usluga, koji je uspostavljen za unaprijed određene kliničke, javnozdravstvene, upravljačke i/ili znanstvene potrebe i vodi se u Nacionalnom javnozdravstvenom informacijskom sustavu
12. zdravstveni registar je evidencija u području zdravstva koja nastaje prikupljanjem, analizom i distribucijom podataka i informacija o populacijskim skupinama s određenim zdravstvenim stanjem, izloženošću ili pruženom zdravstvenom uslugom, podataka i informacija o pružateljima zdravstvenih usluga, koji je uspostavljen za unaprijed definirane kliničke, javnozdravstvene, upravljačke i/ili znanstvene potrebe i vodi se u zdravstvenim ustanovama
13. Centralni zdravstveni informacijski sustav Republike Hrvatske (u daljnjem tekstu: CEZIH) je središnji sustav pohrane zdravstvenih podataka i informacija za njihovu standardiziranu obradu na primarnoj, sekundarnoj i tercijarnoj razini zdravstvene zaštite i dio je zdravstvene informacijske infrastrukture Republike Hrvatske
14. Nacionalni javnozdravstveni informacijski sustav (u daljnjem tekstu: NAJS) je sustav pohrane zdravstvenih podataka i informacija za njihovu obradu i arhiviranje (zdravstvene evidencije i registri) radi ostvarenja javnozdravstvenih potreba i dio je zdravstvene informacijske infrastrukture Republike Hrvatske
15. zdravstvena informacijska infrastruktura Republike Hrvatske je sustav usklađenih procesa i usluga upravljanja zdravstvenim podacima, informacijama, registrima i drugim evidencijama u zdravstvu Republike Hrvatske, dio je državne informacijske infrastrukture i čine ju CEZIH, NAJS i drugi zdravstveni nacionalni i institucionalni informacijski sustavi.
(2) Izrazi koji se koriste u ovome Zakonu, a imaju rodno značenje, odnose se jednako na muški i ženski rod.
II. TEMELJNA NAČELA PRIKUPLJANJA, KORIŠTENJA I OBRADE ZDRAVSTVENIH PODATAKA I INFORMACIJA
Članak 4.
Prikupljanje, korištenje i obrada zdravstvenih podataka i informacija mora se provoditi po načelima zakonitosti prikupljanja i obrade zdravstvenih podataka i informacija, izvornosti i neposrednosti, vjerodostojnosti, istinitosti i pouzdanosti zdravstvenih podataka i informacija, standardizacije obrade i interoperabilnosti zdravstvenih podataka, sljedivosti i ažurnosti zdravstvenih podataka, dostupnosti i zaštite zdravstvenih podataka i informacija te učinkovitosti, smanjenja količine i ograničenja pohrane zdravstvenih i drugih osobnih podataka.
Članak 5.
(1) Za prikupljanje i obradu svakog zdravstvenog podatka i informacije mora postojati zakonita svrha te cilj prikupljanja povezan s neposrednim ili posrednim pozitivnim učinkom na zdravlje stanovništva.
(2) Daljnja obrada zdravstvenih podataka dozvoljena je u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe radi proučavanja i praćenja stanja zdravlja stanovništva ili u druge svrhe utvrđene posebnim zakonom.
Članak 6.
(1) U zdravstvenom sustavu Republike Hrvatske obvezno je korištenje izvornih zdravstvenih podataka, osim ako je ovim Zakonom drugačije uređeno.
(2) Izvorni podaci prikupljaju se što bliže izvoru i vremenu njihova nastanka.
Članak 7.
(1) Načelo vjerodostojnosti, istinitosti i pouzdanosti zdravstvenog podatka ostvaruje se na način da je zdravstveni podatak preuzet iz službenih zapisa ovlaštene pravne ili fizičke osobe u za to predviđenom obliku i rezultat je formalno definiranog i propisanog postupka.
(2) Zdravstvena informacija je vjerodostojna, istinita i pouzdana samo ako proizlazi iz vjerodostojnih zdravstvenih podataka i za nju se nedvojbeno može utvrditi temelj, nadležnost, svrha, izvor, namjena, korištena metodologija i autor.
Članak 8.
(1) Standardizacija obrade zdravstvenih podataka ostvaruje se na način da je standardiziran svaki postupak vezan uz nastanak, prikupljanje, bilježenje, preuzimanje, korištenje, prosljeđivanje, pohranu i arhiviranje zdravstvenih podataka u njihovu ukupnom ciklusu na razini zdravstvenog sustava.
(2) Pravne i fizičke osobe i/ili sustavi u zdravstvu moraju ostvarivati zajedničke standarde kao jedinstven sustav neovisno o razini integracije.
(3) Međusobno djelovanje osoba i sustava iz stavka 2. ovoga članka u odnosu na prikupljanje i obradu zdravstvenih podataka i informacija mora biti pravno, organizacijski, procesno, semantički i tehnički usklađeno i standardizirano, uz primjenu jedinstvenih metodoloških principa i statističkih te drugih standarda.
(4) Interoperabilnost zdravstvenih podataka ostvaruje se njihovom razmjenom elektroničkim putem, korištenjem unaprijed dogovorenih strukturiranih poruka kao standardnog načina razmjene zdravstvenih podataka, osim u iznimnim slučajevima kada elektronička razmjena podataka iz opravdanih razloga nije moguća.
Članak 9.
(1) Sljedivost nastanka, promjene i uporabe zdravstvenih podatka i informacija (vrijeme, mjesto, izvršitelj, temelj, razlog, način, korišteni standardi te okolnosti utvrđivanja sadržaja) ostvaruje se uspostavom standardnih postupaka prikupljanja i obrade zdravstvenih podataka i informacija.
(2) Ažurnost zdravstvenih podataka i informacija ostvaruje se na način da svi voditelji obrade i korisnici zdravstvenih podataka precizno utvrde vrijeme nastanka zdravstvenog podatka i njegovu točnost u odnosu na trenutak obrade.
Članak 10.
(1) Načelo dostupnosti i zaštite zdravstvenih podataka i informacija ostvaruje se na način da su zdravstveni podaci i informacije dostupni svim ovlaštenim pravnim i fizičkim osobama, korisnicima zdravstvenog sustava, kojima je to pravo priznato ovim Zakonom te zakonima koji reguliraju prava i obveze u zdravstvenom sustavu te prava pacijenata.
(2) Voditelji obrade i izvršitelji obrade zdravstvenih podataka moraju osigurati zaštitu osobnih podataka u svim postupcima koji uključuju uvid i obradu osobnih podataka, u skladu s propisima koji uređuju zaštitu osobnih podataka.
Članak 11.
(1) Načelo učinkovitosti i smanjenja količine zdravstvenih i drugih osobnih podataka postiže se prikupljanjem i obradom samo onih zdravstvenih i drugih osobnih podataka koji su potrebni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.
(2) Administrativne poslove vezane uz postupke prikupljanja, pristupa i obrade podataka iz stavka 1. ovoga članka potrebno je svesti na najmanju mjeru, radi nesmetanog obavljanja poslova pružanja neposredne zdravstvene zaštite.
Članak 12.
(1) Načelo ograničenja pohrane zdravstvenih i drugih osobnih podataka ostvaruje se na način da zdravstveni i drugi osobni podaci moraju biti čuvani u obliku koji omogućava identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se ti podaci obrađuju.
(2) Podaci iz stavka 1. ovoga članka mogu se pohraniti na dulja razdoblja ako će se obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, što podliježe provedbi propisanih tehničkih i organizacijskih mjera radi zaštite prava i sloboda ispitanika.
III. NADLEŽNA TIJELA
Članak 13.
(1) Primjena ovoga Zakona obvezna je za sve pravne i fizičke osobe zdravstvenog sustava u Republici Hrvatskoj u okviru nadležnosti i odgovornosti propisanih ovim Zakonom i podzakonskim propisima.
(2) Zdravstveni informacijski sustavi Republike Hrvatske od posebnog nacionalnog interesa u smislu ovoga Zakona su oni dijelovi zdravstvene informacijske infrastrukture Republike Hrvatske nužni za nesmetano pružanje zdravstvene zaštite te zapisi i dokumenti nastali djelovanjem pružatelja zdravstvene zaštite Republike Hrvatske:
– za koje je utvrđen stupanj tajnosti ili
– koji sadrže podatke vezane uz zdravstvene i druge osobne podatke građana u zdravstvenim registrima i informacijskim sustavima kojima se osigurava nesmetano obavljanje zdravstvene djelatnosti te druge povjerljive podatke čijom objavom bi se počinila šteta ugledu Republike Hrvatske ili njezinih građana, za koje nije utvrđen stupanj tajnosti.
Članak 14.
(1) Ministarstvo nadležno za zdravstvo nadležno je za:
– upravljanje zdravstvenom informacijskom infrastrukturom Republike Hrvatske i zdravstvenim informacijskim sustavima u Republici Hrvatskoj u koordinaciji s nadležnim tijelom za razvoj digitalnog društva
– donošenje obvezujućih standarda zdravstvene informacijske infrastrukture Republike Hrvatske, u skladu sa standardima državne informacijske infrastrukture
– utvrđivanje sadržaja Kataloga informacijskih standarda u zdravstvu Republike Hrvatske
– praćenje obrade zdravstvenih podataka i informacija u zdravstvenim informacijskim sustavima Republike Hrvatske i njihovo usklađivanje sa standardima Europske unije te druge poslove propisane ovim Zakonom.
(2) U svrhu provedbe poslova iz stavka 1. ovoga članka, u ministarstvu nadležnom za zdravstvo uspostavlja se ustrojstvena jedinica u čijem je djelokrugu e-Zdravstvo Republike Hrvatske.
Članak 15.
Hrvatski zavod za javno zdravstvo (u daljnjem tekstu: HZJZ) nadležan je za:
– dostavljanje statističkih podataka definiranih u prilozima I. – V. Uredbe (EZ) br. 1338/2008, sukladno članku 2. Uredbe (EZ) br. 1338/2008
– prikupljanje podataka o javnom zdravlju i zdravlju i sigurnosti na radnom mjestu, sukladno članku 4. Uredbe (EZ) br. 1338/2008
– prijenos povjerljivih mikropodataka ili agregiranih podataka, sukladno članku 7. Uredbe (EZ) br. 1338/2008
– dostavu izviješća o kvaliteti prenesenih podataka svakih pet godina Europskoj komisiji odnosno Eurostatu, sukladno članku 8. Uredbe (EZ) br. 1338/2008
– vođenje i uređivanje Kataloga informacijskih standarda u zdravstvu Republike Hrvatske
– koordinaciju izrade prijedloga svih sadržaja ili međusobnih odnosa i procesnih standarda koji se koriste u zdravstvenom informacijskom sustavu Republike Hrvatske
– izradu prijedloga standarda zdravstvenog informacijskog sustava Republike Hrvatske za stručna i poslovna područja u okviru svoje redovite djelatnosti
– praćenje i predlaganje korektivnih mjera zdravstvenih informacijskih sustava radi osiguranja njihove sukladnosti i razvojnih prijedloga
– praćenje i predlaganje usklađivanja zdravstvenih informacija u Republici Hrvatskoj s pravnim, procesnim i drugim standardima Europske unije
– određivanje, ažuriranje i održavanje metodoloških osnova te njihove međunarodne usklađenosti u suradnji s pravnim i fizičkim osobama zdravstvenog sustava
– predlaganje svrhe, oblika i korištenja javnozdravstvenih registara i drugih evidencija u području zdravstva te obveza izvora i načina prikupljanja zdravstvenih podataka
– izgradnju i upravljanje NAJS-om i njegovo povezivanje s temeljnim državnim registrima, CEZIH-om i drugim informacijskim sustavima
– upravljanje uslugama NAJS-a, razmjenu podataka sa zdravstvenim i drugim ustanovama te izradu i objavu zdravstvenih pokazatelja
– vođenje državnih javnozdravstvenih registara i drugih evidencija u području zdravstva te davanje obvezujućih stručnih preporuka u postupcima prikupljanja podataka te koordinaciju ostalih registara u zdravstvu
– pripremu i provedbu javnozdravstvenih statističkih aktivnosti iz svoga djelokruga.
Članak 16.
Hrvatski zavod za zdravstveno osiguranje (u daljnjem tekstu: HZZO) nadležan je za:
– izradu prijedloga svih tehničkih standarda koji se koriste u CEZIH-u
– upravljanje CEZIH-om radi uspostave i održavanja središnjeg dijela CEZIH-a
– predlaganje minimalnih uvjeta tehničke integracije CEZIH-a s drugim državnim i institucijskim zdravstvenim informacijskim sustavima
– provođenje postupka provjere spremnosti za spajanje informatičkih rješenja na središnji dio CEZIH-a
– davanje usluga certificiranja u smislu izdavanja digitalnih certifikata za korisnike, podsustave i aplikacije CEZIH-a
– izradu prijedloga standarda za stručna i poslovna područja u okviru svoje redovite djelatnosti.
Članak 17.
(1) Državni zdravstveni zavodi, HZZO i državne zdravstvene agencije nadležni su za izradu prijedloga procesnih, tehničkih, organizacijskih i semantičkih standarda obrade podataka za stručna i poslovna područja iz svoje redovite djelatnosti te za uspostavu i vođenje nacionalnih i institucijskih informacijskih sustava iz djelatnosti u zdravstvu za koje su ovlašteni.
(2) Standarde iz stavka 1. ovoga članka pravilnikom propisuje ministar nadležan za zdravstvo na prijedlog nadležnih tijela iz stavka 1. ovoga članka.
IV. KVALITETA I OBRADA PODATAKA I INFORMACIJA U ZDRAVSTVU
Članak 18.
(1) Kvaliteta zdravstvenih podataka uključuje njihovu točnost, ažurnost, usporedivost, čitljivost i dostupnost, kojom se omogućuje praćenje razina kvalitete zdravstvenih usluga u zdravstvenom sustavu.
(2) Zdravstveni podatak je dostupan ako mu na propisani način u određenom trenutku mogu pristupiti ovlašteni korisnici iz članka 30. ovoga Zakona.
(3) Zdravstveni podaci i informacije prikupljaju se u pružanju zdravstvene zaštite, javnozdravstvenih, istraživačkih i drugih djelatnosti pružatelja zdravstvene zaštite, propisanih zakonom koji regulira zdravstvenu zaštitu te drugih ustanova u području zdravstva.
(4) Poslovi prikupljanja, upravljanja i obrade zdravstvenih podataka sastavni su dio poslova pravnih i fizičkih osoba koji sudjeluju u zdravstvenoj djelatnosti i drugim povezanim djelatnostima.
(5) Postupak obrade zdravstvenih podataka mora osigurati kvalitetu zdravstvenih podataka.
Članak 19.
(1) Zdravstveni i drugi osobni podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća sigurnost i povjerljivost podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih organizacijskih, tehničkih i sigurnosnih mjera.
(2) Obrada zdravstvenih podataka provodi se elektroničkim putem u zdravstvenoj informacijskoj infrastrukturi Republike Hrvatske, koja je obvezna koristiti zajedničku tehnološku osnovicu i komponente razvijene za potrebe državne informacijske infrastrukture.
(3) Način obrade podataka iz stavka 1. ovoga članka u CEZIH-u, NAJS-u i drugim zdravstvenim nacionalnim i institucionalnim informacijskim sustavima, način čuvanja i zaštite zdravstvenih podataka i izrade zdravstvenih pokazatelja, standardizirane obrasce za prikupljanje i obradu zdravstvenih podataka, sadržaj, popis i opis zdravstvenih registara i evidencija u području zdravstva koje služe za zdravstvena statistička istraživanja iz područja zdravstvene zaštite, javnog zdravstva, zdravstvenih djelatnosti, pružatelja i korisnika zdravstvenih usluga, zdravstvene infrastrukture, pruženih usluga, utvrđenih bolesti, stanja i ozljeda, krvi, krvnih pripravaka, lijekova i medicinskih proizvoda, zdravstvenog osiguranja i financiranja zdravstvene zaštite pravilnikom propisuje ministar nadležan za zdravstvo.
Članak 20.
(1) Zdravstvena dokumentacija vodi se u zdravstvenoj djelatnosti u elektroničkom obliku.
(2) Zdravstvenu dokumentaciju vode pružatelji zdravstvene zaštite i druge pravne i fizičke osobe u zdravstvenoj djelatnosti.
Članak 21.
(1) Medicinska dokumentacija je dio zdravstvene dokumentacije koji se vodi na svim razinama zdravstvene zaštite u elektroničkom obliku.
(2) Medicinska dokumentacija pacijenata nastala u procesima pružanja zdravstvene zaštite pohranjuje se u zdravstvenoj informacijskoj infrastrukturi Republike Hrvatske i razmjenjuje se servisima zdravstvene informacijske infrastrukture.
(3) Opseg i sadržaj te način vođenja medicinske dokumentacije pravilnikom propisuje ministar nadležan za zdravstvo.
Članak 22.
(1) Središnji elektronički zdravstveni zapis (e-Karton) je dio medicinske dokumentacije pacijenta koji objedinjava zdravstvene i druge osobne podatke o pacijentu, prikupljene i pohranjene u CEZIH-u.
(2) e-Kartonu imaju pristup samo ovlašteni zdravstveni radnici koji sudjeluju u liječenju, zdravstvenoj njezi i skrbi za pacijenta te one ovlaštene osobe kojima je pacijent dao izričitu privolu. Uvid u podatke u e-Kartonu ima i sam pacijent putem sustava e-Građani.
(3) Opseg i sadržaj podataka te način vođenja e-Kartona pravilnikom propisuje ministar nadležan za zdravstvo.
Članak 23.
(1) Radi osiguravanja jedinstvenog sustava statističkih istraživanja, pri vođenju evidencija u području zdravstva primjenjuju se jedinstveni metodološki principi i statistički standardi.
(2) Potpunost podataka u medicinskoj dokumentaciji i evidencijama u području zdravstva nadzire i kontrolira organizacijski nadređena osoba odgovorna za dokumentaciju i/ili evidencije pružatelja zdravstvene zaštite i drugih pravnih i fizičkih osoba u zdravstvu.
(3) Za potpunost i vjerodostojnost izvornog zdravstvenog podatka upisanog u medicinskoj dokumentaciji odgovoran je nadležni zdravstveni radnik i drugi radnik koji je taj podatak upisao te ispitanik (pacijent ili druga osoba koja je dala osobne podatke).
Članak 24.
(1) Katalog informacijskih standarda u zdravstvu Republike Hrvatske je strukturirani skup pojmova, pravila, standarda i procedura stvaranja, prikupljanja i vođenja podataka i informacija u zdravstvu i dio je državne informacijske infrastrukture.
(2) Katalog informacijskih standarda u zdravstvu Republike Hrvatske obuhvaća:
– popis informacijskih sustava i uređenje njihova odnosa unutar zdravstvene informacijske infrastrukture Republike Hrvatske
– opseg, sadržaj, način obrade i čuvanja podataka
– procese upravljanja zdravstvenim registrima i drugim evidencijama u području zdravstva
– popis i definicije nacionalnih zdravstvenih pokazatelja i obilježja podataka temeljem kojih nastaju pokazatelji.
(3) Ministarstvo nadležno za zdravstvo i HZJZ objavljuju Katalog informacijskih standarda u zdravstvu Republike Hrvatske na svojim mrežnim stranicama.
(4) Standarde objavljene u Katalogu informacijskih standarda u zdravstvu Republike Hrvatske u okvirima svoje redovite djelatnosti obvezno primjenjuju i odgovorni su za njihovu primjenu:
– zdravstveni zavodi, agencije i HZZO
– pružatelji zdravstvene zaštite na primarnoj, sekundarnoj i tercijarnoj razini zdravstvene djelatnosti
– komore u zdravstvu
– trgovačka društva za zdravstveno osiguranje
– druge pravne ili fizičke osobe sukladno posebnim propisima.
Članak 25.
(1) e-Zdravstvo čine sustavni stručni i poslovni zdravstveni postupci, procesi i usluge podržane informacijskim i komunikacijskim tehnologijama, a obuhvaća informacijske sustave u zdravstvenim ustanovama, uključujući razmjenu elektroničkim zdravstvenim zapisom, distribuciju zdravstvenih informacija, medicinska istraživanja i internetske servise za korisnike sustava zdravstva.
(2) U zdravstvenim ustanovama koje pružaju zdravstvenu zaštitu 24 sata dnevno osigurana je dostupnost informacijskih i komunikacijskih sustava 24 sata dnevno.
Članak 26.
Ministarstvo nadležno za zdravstvo, kao središnje tijelo za e-Zdravstvo Republike Hrvatske, obavlja sljedeće poslove vezane uz:
– koordinaciju izgradnje, funkcioniranja, povezivanja i unaprjeđenja zdravstvene informacijske infrastrukture i sustava e-Zdravstva u skladu sa zakonom i drugim propisima koji reguliraju područje informacijske infrastrukture te regulira njihove međusobne odnose i odnose s drugim informacijskim sustavima
– unaprjeđenje sustava zdravstvene zaštite sustavnom, učinkovitom i razboritom primjenom informacijsko-komunikacijskih tehnologija usklađenom s međunarodno priznatim standardima
– organizaciju, planiranje, koordinaciju, stručni nadzor i kontrolu nad provedbom projekata u e-Zdravstvu
– uvođenje novih zdravstvenih informacijskih sustava, digitalnih usluga i informatičkih rješenja u e-Zdravstvu u zdravstveni sustav Republike Hrvatske
– uvođenje i stručni nadzor nad primjenom obvezujućih standarda iz članka 17. ovoga Zakona te smjernica, preporuka i uputa u zdravstvu kao minimalne uvjete koje informacijski sustavi u zdravstvu moraju zadovoljavati
– pripremu i izradu prijedloga standarda zdravstvene informacijske infrastrukture u suradnji sa zdravstvenim zavodima i agencijama, stručnim društvima, komorama i drugim tijelima javne vlasti
– davanje mišljenja o prijedlogu programa mjera zdravstvene zaštite, nomenklaturi dijagnostičko-terapijskih postupaka i dijagnostičko-terapijskih skupina te drugih standarda i metoda rada u zdravstvenom sustavu
– stručni nadzor nad radom i upravljanjem zdravstvenom informacijskom infrastrukturom te sustava njezine podrške, digitalnih usluga, procesa i standarda
– stručni nadzor nad radom pružatelja zdravstvene zaštite u područjima informacijske i kibernetičke sigurnosti, uz podršku nadležnih tehničkih tijela
– donošenje mjera u slučajevima opasnosti od uzrokovanja štete za zdravstvenu informacijsku infrastrukturu Republike Hrvatske sukladno propisima iz područja informacijske i kibernetičke sigurnosti te zaštite podataka
– praćenje standarda Europske unije i predlaganje usklađivanja informacijskih sustava e-Zdravstva u obradi zdravstvenih podataka i informacija sa standardima Europske unije
– međunarodnu suradnju u području zdravstvene informacijske infrastrukture i informatičkih rješenja i drugih poslova iz svoje nadležnosti
– uspostavu i upravljanje Nacionalnom kontaktnom točkom za e-Zdravstvo radi uspostave učinkovite prekogranične zdravstvene zaštite
– sudjelovanje u postupcima objedinjene javne nabave za računalnu, mrežnu, informatičku, komunikacijsku i drugu informacijsko-komunikacijsku opremu i informatičkih rješenja za potrebe zdravstvene informacijske infrastrukture
– stručnu pomoć zdravstvenim ustanovama kod uvođenja novih informatičkih rješenja ili restrukturiranja postojećih, zatim digitalizacije i unaprjeđenja komunikacijskih sustava i mreža, informacijske i kibernetičke sigurnosti te računalne i druge informacijsko-komunikacijske opreme
– prikupljanje i analizu podataka potrebnih za razvoj zdravstvene informacijske infrastrukture te obradu i objavu podataka o uslugama u e-Zdravstvu
– provođenje provjere programskih rješenja koja se koriste u zdravstvenoj informacijskoj infrastrukturi Republike Hrvatske u smislu kontrole usklađenosti s propisanim standardima i specifikacijama na temelju postavljenih mjerila uspješnosti
– cjelovito i sustavno praćenje i primjenu razvojnih direktiva i tehnologija u području e-Zdravstva
– organizaciju i provedbu znanstveno-stručnih, informativnih i promidžbenih aktivnosti vezanih uz e-Zdravstvo, kao i međuresornih aktivnosti na području e-Zdravstva
– sudjelovanje u izradi propisa za područje e-Zdravstva
– provođenje prvostupanjskih postupaka vezanih uz e-Zdravstvo po posebnim propisima
– poticanje civilno-vojne suradnje na području e-Zdravstva i suradnju s drugim tijelima javne vlasti.
Članak 27.
(1) CEZIH se sastoji od središnjeg informacijskog sustava te informacijskih podsustava ovlaštenih pružatelja zdravstvene zaštite u Republici Hrvatskoj.
(2) Svrha CEZIH-a je podrška u funkcioniranju javnih zdravstvenih procesa, provedbi posebnih programa zdravstvene skrbi i povezivanju drugih informacijskih sustava u zdravstvu, radi pružanja odgovarajuće zdravstvene zaštite građanima Republike Hrvatske.
(3) HZZO je ovlašten putem CEZIH-a za izdavanje digitalnih certifikata za korisnike, podsustave i aplikacije zdravstvenog sustava Republike Hrvatske.
(4) Razmjena zdravstvenih podataka u CEZIH-u obavlja se automatiziranim sredstvima putem zaštićenog komunikacijskog kanala uz sigurnosne protokole između informacijskih sustava.
(5) Svi postupci obrade zdravstvenih i drugih osobnih podataka osiguravaju zaštitu osobnih podataka u CEZIH-u u skladu s propisima koji uređuju zaštitu osobnih podataka.
Članak 28.
(1) Korisnici CEZIH-a su ministarstvo nadležno za zdravstvo, HZZO, zdravstveni zavodi, svi pružatelji zdravstvene zaštite u Republici Hrvatskoj i druge ovlaštene pravne i fizičke osobe.
(2) Korisnici CEZIH-a obvezni su odrediti ovlaštene osobe koji koriste CEZIH i koji su obvezni pridržavati se odredaba ovoga Zakona i posebnih propisa koji uređuju zaštitu osobnih podataka.
(3) Svi pružatelji zdravstvene zaštite u Republici Hrvatskoj obvezni su razmjenjivati zdravstvene podatke putem CEZIH-a.
(4) U CEZIH-u se medicinska dokumentacija za fizičke osobe čuva deset godina nakon smrti fizičke osobe, a nakon isteka tog roka s dokumentacijom se postupa sukladno propisima o arhivskom gradivu i arhivima.
Članak 29.
(1) Nacionalni javnozdravstveni informacijski sustav vodi HZJZ i mogu mu pristupiti ministarstvo nadležno za zdravstvo, županijski zavodi za javno zdravstvo te druge ovlaštene pravne i fizičke osobe.
(2) Svrha NAJS-a je upravljanje javnozdravstvenim podacima i informacijama između svih obveznika vođenja evidencija u području zdravstva te procesima obrade i arhiviranja zdravstvenih podataka i informacija koji se koriste za izradu javnozdravstvenih pokazatelja, u javnozdravstvene, upravljačke, statističke i znanstveno-istraživačke svrhe radi proučavanja i praćenja zdravlja stanovništva, pružanja zdravstvene zaštite, upravljanja zdravstvenim resursima, ranog prepoznavanja epidemija, procjene zdravstvenih intervencija i ostvarivanja programa za poboljšanjem zdravlja stanovništva, vođenja zdravstvene statistike i ispunjavanja drugih javnozdravstvenih potreba.
(3) Izrada javnozdravstvenih pokazatelja iz stavka 2. ovoga članka utvrđuje se pravilnikom o javnozdravstvenim registrima i drugim evidencijama u području zdravstva iz članka 19. stavka 3. ovoga Zakona te propisima koji se primjenjuju na području statistike.
(4) Podaci u registrima i evidencijama u području zdravstva u NAJS-u čuvaju se trajno.
V. ZAŠTITA ZDRAVSTVENIH PODATAKA I INFORMACIJA
Članak 30.
(1) Korisnici zdravstvenih podataka i informacija su ovlaštene osobe voditelja obrade i izvršitelja obrade zdravstvenih i drugih osobnih podataka u zdravstvu te druge pravne i fizičke osobe koje imaju pravo pristupa u skladu s odredbama ovoga Zakona i drugih propisa u svrhu zdravstvenog, stručnog, znanstvenog, gospodarskog, javnog, sigurnosnog, pravnog i interesnog korištenja odnosno javnog informiranja.
(2) Voditelj obrade i izvršitelj obrade obvezni su provoditi postupak formalne provjere vjerodostojnosti te istinitosti zdravstvenih podatka ili informacija koje obrađuju.
(3) Voditelj obrade i izvršitelj obrade odgovorni su za usklađenost obrade i čuvanja zdravstvenih i drugih osobnih podataka na način i u skladu s načelima propisanim ovim Zakonom i obvezni su dokazati pouzdanost svojeg postupanja s tim podacima.
Članak 31.
(1) Izvorne zdravstvene podatke i informacije mogu prikupljati i obrađivati samo ovlaštene pravne i fizičke osobe kao voditelji obrade ili izvršitelji obrade.
(2) Ostali podaci, važni za cjelovitost, ispravnost i vjerodostojnost zdravstvenih podataka, preuzimaju se od za njih nadležnih pravnih ili fizičkih osoba.
(3) Nije dozvoljeno prikupljati zdravstvene podatke iz sekundarnih izvora, osim ako je takvo postupanje dopušteno posebnim propisom.
(4) Voditelj obrade i izvršitelj obrade zdravstvenih podataka i informacija moraju uspostaviti internu organizacijsku strukturu, procedure i procese za sigurnost i osiguranje kvalitete podataka i informacija iz svoje nadležnosti.
(5) Voditelj obrade i izvršitelj obrade zdravstvenih podataka i informacija obvezni su osigurati edukaciju radnika, objavljivanje metodoloških smjernica i procedura, provođenje programa osiguranja njihove kvalitete i primjenu metoda za procjenu njihove kvalitete, provođenje certifikacijskih programa za računalne aplikacije kroz koje se vode zdravstveni podaci i informacije te provjeru sigurnosti i povjerljivosti podataka sukladno ovom Zakonu i drugim propisima.
Članak 32.
(1) Odgovorne osobe voditelja obrade i izvršitelja obrade zdravstvenih i drugih osobnih podataka te osobe koje oni ovlaste obvezni su čuvati povjerljivost podataka iz zdravstvene dokumentacije pacijenata u CEZIH-u i NAJS-u sukladno posebnim propisima koji uređuju zaštitu osobnih podataka i tajnost podataka, a isto je obveza i svih drugih osoba koje podatke iz zdravstvene dokumentacije pacijenta saznaju u obavljanju dužnosti ili poslova u CEZIH-u i NAJS-u te u zdravstvenom sustavu Republike Hrvatske.
(2) U skladu sa stavkom 1. ovoga članka obvezni su postupati i ovlašteni proizvođači odnosno pružatelji programske podrške CEZIH-a i NAJS-a te sve druge osobe s ovlastima pristupa sustavu ili zdravstvenim podacima.
(3) Osobe iz stavka 1. ovoga članka obvezne su čuvati povjerljivost podataka iz zdravstvene dokumentacije pacijenta i nakon prestanka dužnosti ili radnog odnosa temeljem kojega su imali pravo pristupa tim podacima i informacijama.
(4) Osobe iz stavka 1. ovoga članka obvezne su potpisati izjavu o povjerljivosti prije dodjele ovlaštenja za obradu podataka.
VI. NADZOR
Članak 33.
Nadzor nad primjenom odredbi ovoga Zakona i propisa donesenih na temelju ovoga Zakona nad prikupljanjem, kvalitetom i obradom zdravstvenih podataka i informacija nad pružateljima zdravstvene zaštite i drugim pravnim osobama u zdravstvu te voditeljima obrade i korisnicima podataka i informacija u djelatnosti zdravstva provodi zdravstvena inspekcija ministarstva nadležnog za zdravstvo.
Članak 34.
(1) Stručni nadzor nad radom pružatelja zdravstvene zaštite i drugih ovlaštenih pravnih i fizičkih osoba u područjima informacijske sigurnosti, upravljanja zdravstvenom informacijskom infrastrukturom i primjene obvezujućih procesnih, tehničkih, organizacijskih i semantičkih standarda obrade podataka za stručna i poslovna područja u zdravstvu provode državni službenici ministarstva nadležnog za zdravstvo ustrojstvene jedinice u čijem je djelokrugu e-Zdravstvo.
(2) Poslove stručnog nadzora iz stavka 1. ovoga članka može obavljati osoba koja je završila preddiplomski i diplomski sveučilišni studij ili integrirani preddiplomski i diplomski stručni studij ili specijalistički diplomski stručni studij tehničke, zdravstvene, pravne ili druge društvene struke s najmanje tri godine radnog iskustva u struci i položenim državnim stručnim ispitom.
(3) Službenici koji provode stručni nadzor obvezni su se kontinuirano educirati u području rada.
(4) Način provođenja stručnog nadzora iz stavka 1. ovoga članka pravilnikom propisuje ministar nadležan za zdravstvo.
VII. PREKRŠAJNE ODREDBE
Članak 35.
(1) Novčanom kaznom u iznosu od 5000,00 do 100.000,00 kuna kaznit će se za prekršaj pravna osoba pružatelj zdravstvene zaštite i druga pravna osoba u zdravstvu ako:
– na propisani način ne osiguraju dostupnost zdravstvenih podataka ovlaštenim korisnicima iz članka 30. ovoga Zakona (članak 18. stavak 2.)
– u postupku obrade zdravstvenih podataka ne osiguravaju kvalitetu zdravstvenih podataka (članak 18. stavak 5.)
– propuste redovito nadzirati i kontrolirati vođenje podataka u medicinskoj dokumentaciji i evidencijama u području zdravstva pa radi toga nastane gubitak podataka u medicinskoj dokumentaciji i/ili evidenciji u području zdravstva pružatelja zdravstvene zaštite i druge pravne osobe u zdravstvu (članak 23. stavak 2.)
– u okviru svoje redovite djelatnosti ne primjenjuju standarde propisane Katalogom informacijskih standarda u zdravstvu Republike Hrvatske (članak 24. stavak 4.).
(2) Novčanom kaznom u iznosu od 2000,00 do 20.000,00 kuna kaznit će se za prekršaj iz stavka 1. ovoga članka i odgovorna osoba u pravnoj osobi.
(3) Novčanom kaznom u iznosu od 5000,00 do 30.000,00 kuna kaznit će se za prekršaj iz stavka 1. ovoga članka fizička osoba u svojstvu pružatelja zdravstvene zaštite.
Članak 36.
(1) Novčanom kaznom u iznosu od 5000,00 do 50.000,00 kuna kaznit će se za prekršaj pravna osoba pružatelj zdravstvene zaštite ako ne razmjenjuje zdravstvene podatke putem CEZIH-a (članak 28. stavak 3.).
(2) Novčanom kaznom u iznosu od 2000,00 do 20.000,00 kuna kaznit će se za prekršaj iz stavka 1. ovoga članka i odgovorna osoba u pravnoj osobi.
(3) Novčanom kaznom u iznosu od 2000,00 do 30.000,00 kuna kaznit će se za prekršaj iz stavka 1. ovoga članka fizička osoba u svojstvu pružatelja zdravstvene zaštite.
Članak 37.
(1) Novčanom kaznom u iznosu od 5000,00 do 100.000,00 kuna kaznit će se za prekršaj pravna osoba voditelj obrade i izvršitelj obrade zdravstvenih podataka i informacija ako:
– ne provodi postupak formalne provjere vjerodostojnosti i istinitosti zdravstvenih podatka i informacija koje obrađuje (članak 30. stavak 2.)
– ne uspostavi internu organizacijsku strukturu, procedure i procese za osiguranje kvalitete podataka i informacija u zdravstvu (članak 31. stavak 4.)
– ne osigura edukaciju radnika i objavu metodoloških smjernica i procedura, primjenu metoda i programa osiguranja kvalitete, certifikacijskih programa za računalne aplikacije kroz koje se vode zdravstveni podaci i informacije ili ne provjerava njihovu sigurnost i povjerljivost (članak 31. stavak 5.).
(2) Novčanom kaznom u iznosu od 2000,00 do 20.000,00 kuna kaznit će se za prekršaj iz stavka 1. ovoga članka i odgovorna osoba u pravnoj osobi.
(3) Novčanom kaznom u iznosu od 5000,00 do 30.000,00 kuna kaznit će se za prekršaj iz stavka 1. ovoga članka fizička osoba u svojstvu pružatelja zdravstvene zaštite.
VIII. PRIJELAZNE I ZAVRŠNE ODREDBE
Članak 38.
Ministar nadležan za zdravstvo donijet će pravilnike iz članka 17. stavka 2., članka 19. stavka 3., članka 21. stavka 3., članka 22. stavka 3. i članka 34. stavka 4. ovoga Zakona, u roku od šest mjeseci od dana stupanja na snagu ovoga Zakona.
Članak 39.
Do stupanja na snagu pravilnika iz članka 38. ovoga Zakona ostaju na snazi:
– Pravilnik o provedbi Zakona o evidencijama u oblasti zdravstva za primarnu i specijalističko-konzilijarnu zdravstvenu zaštitu (»Narodne novine«, br. 4/95.)
– Pravilnik o provedbi Zakona o evidencijama u oblasti zdravstva za područje stacionarne zdravstvene zaštite i praćenja bolesti ovisnosti (»Narodne novine«, br. 44/00.)
– Pravilnik o provedbi Zakona o evidencijama u oblasti zdravstva na području zdravstvene zaštite gerijatrijskih bolesnika (»Narodne novine«, br. 82/02.)
– Pravilnik o uporabi i zaštiti podataka iz medicinske dokumentacije pacijenata u Centralnom informacijskom sustavu zdravstva Republike Hrvatske (»Narodne novine«, br. 14/10.)
– Pravilnik o načinu vođenja osobnog zdravstvenog kartona u elektroničkom obliku (»Narodne novine«, br. 82/10.) i
– Pravilnik o načinu vođenja, čuvanja, prikupljanja i raspolaganja medicinskom dokumentacijom pacijenata u Centralnom informacijskom sustavu zdravstva Republike Hrvatske (»Narodne novine«, br. 82/10).
Članak 40.
(1) Voditelji obrade podataka u zdravstvenoj djelatnosti obvezni su osigurati vođenje zdravstvene i medicinske dokumentacije na svim razinama zdravstvene zaštite u elektroničkom obliku, u roku od pet godina od dana stupanja na snagu ovoga Zakona.
(2) Voditelji obrade podataka mogu do uspostave vođenja zdravstvene i medicinske dokumentacije na svim razinama zdravstvene zaštite u elektroničkom obliku zdravstvenu i medicinsku dokumentaciju voditi i ručno.
Članak 41.
Ministarstvo nadležno za zdravstvo i HZJZ obvezni su objaviti na svojim mrežnim stranicama Katalog informacijskih standarda u zdravstvu Republike Hrvatske, u roku od šest mjeseci od dana stupanja na snagu ovoga Zakona.
Članak 42.
(1) Vlada Republike Hrvatske će u roku od 60 dana od dana stupanja na snagu ovoga Zakona uskladiti Uredbu o unutarnjem ustrojstvu Ministarstva zdravstva prema odredbama članka 14. stavka 2. ovoga Zakona kojom se mijenja ustrojstvo i djelokrug ministarstva nadležnog za zdravstvo.
(2) Zadužuje se ministar nadležan za zdravstvo da uskladi Pravilnik o unutarnjem redu Ministarstva zdravstva s odredbama Uredbe iz stavka 1. ovoga članka u roku od 30 dana od dana stupanja na snagu te Uredbe.
Članak 43.
Svi pružatelji zdravstvene zaštite u Republici Hrvatskoj obvezni su osigurati razmjenu zdravstvenih podataka putem CEZIH-a sukladno članku 28. stavku 3. ovoga Zakona, u roku od dvije godine od dana stupanja na snagu ovoga Zakona.
Članak 44.
Pravne i fizičke osobe zdravstvenog sustava Republike Hrvatske obvezne su svoj rad i poslovanje uskladiti s odredbama ovoga Zakona, u roku od šest mjeseci od dana stupanja na snagu pravilnika iz članka 17. stavka 2., članka 19. stavka 3., članka 21. stavka 3. i članka 22. stavka 3. ovoga Zakona.
Članak 45.
Danom stupanja na snagu ovoga Zakona prestaje važiti Zakon o evidencijama (»Narodne novine«, br. 53/91., 26/93. i 29/94.).
Članak 46.
Ovaj Zakon stupa na snagu osmoga dana od dana objave u »Narodnim novinama«.
Klasa: 022-03/18-01/131
Zagreb, 25. siječnja 2019.
HRVATSKI SABOR
Predsjednik
Hrvatskoga sabora
Gordan Jandroković, v. r.