Što ako pacijent zatraži brisanje podataka?

Morate izbrisati sve podatke koji nisu zakonski obavezni za čuvanje. Medicinska dokumentacija se prema zakonu čuva minimalno 10 godina, pa se ne može obrisati. Ali marketinški podaci, bilješke i komunikacija se moraju obrisati na zahtjev.

Je li cloud softver GDPR usklađen?

Ovisi o softveru. KLINIKAhub je GDPR usklađen: SSL/TLS enkripcija, role-based pristup, EU serveri, automatski backup, audit log. Provjerite da vaš softver ima ove značajke i da čuva podatke unutar EU.

Kolika je kazna za kršenje GDPR-a?

Do 20 milijuna EUR ili 4% godišnjeg prometa (što je veće). Za ordinaciju to može značiti zatvaranje prakse. AZOP (Agencija za zaštitu osobnih podataka) aktivno provodi nadzore u zdravstvenom sektoru.

Regulativa Posljednje ažurirano: 26. ožujka 2026. 8 min čitanja

GDPR za zdravstvene ustanove — 7 stvari koje morate znati

Q: Spadaju li zdravstveni podaci pod GDPR?

Da, i to pod pojačanu zaštitu. Zdravstveni podaci su 'posebna kategorija osobnih podataka' prema članku 9 GDPR-a. Zahtijevaju eksplicitni pristanak, enkripciju, kontrolu pristupa i audit log. Kazne za kršenje: do 20 mil EUR ili 4% godišnjeg prometa.

Q: Treba li ordinacija DPO službenika?

Prema GDPR-u, zdravstvene ustanove koje obrađuju posebne kategorije podataka u velikim razmjerima trebaju DPO-a. Za manju ordinaciju to nije uvijek obavezno, ali je preporučeno imati barem imenovanog odgovornog za zaštitu podataka.

Zdravstveni podaci vaših pacijenata su najosjetljivija kategorija podataka prema GDPR-u. Kazna za kršenje: do 20 milijuna EUR. A većina ordinacija u Hrvatskoj nema ni osnovne mjere zaštite. Evo 7 konkretnih obveza — bez pravničkog žargona.

Napomena: Ovaj članak je informativne naravi i ne predstavlja pravni savjet. Za specifične situacije konzultirajte pravnika specijaliziranog za GDPR.

Zašto su zdravstveni podaci posebni

GDPR dijeli osobne podatke u dvije kategorije:

Obični osobni podaci — ime, email, telefon. Zaštićeni, ali standardnim mjerama.
Posebne kategorije (čl. 9) — zdravstveni podaci, genetski podaci, biometrija. Zahtijevaju pojačanu zaštitu.

Sve što ordinacija bilježi o pacijentu spada u posebnu kategoriju: dijagnoze, terapije, lijekovi, RTG snimke, anamneza, pa čak i sam podatak da je netko vaš pacijent (jer implicira zdravstvenu potrebu).

Što to praktično znači: Ne smijete obrađivati zdravstvene podatke bez jedne od zakonom predviđenih osnova (najčešće: eksplicitni pristanak ili pružanje zdravstvene skrbi). I morate ih zaštititi jače nego obične podatke.

7 GDPR obveza za ordinacije

Pravna osnova za obradu podataka

Morate imati zakonitu osnovu za svaku obradu zdravstvenih podataka. Za pružanje zdravstvene skrbi: čl. 9(2)(h) GDPR-a (obrada nužna za zdravstvene svrhe). Za marketing (WhatsApp podsjetnici, newsletter): potreban je eksplicitni pristanak.

KLINIKAhub: checkbox za pristanak u booking formi + automatski zapis pristanka s datumom i vremenom.

Enkripcija podataka

Zdravstveni podaci moraju biti zaštićeni enkripcijom — u prijenosu (SSL/TLS) i u mirovanju (encrypted at rest). Excel datoteka na desktopu nije enkriptirana. USB s bazom pacijenata koji izgubite u tramvaju = data breach.

KLINIKAhub: SSL/TLS enkripcija u prijenosu, encrypted database, EU serveri s fizičkom sigurnošću.

Kontrola pristupa (tko vidi što)

Recepcija ne treba vidjeti kliničke kartone. Terapeut ne treba vidjeti financijske izvještaje. Svaki korisnik smije pristupiti samo podacima koji su mu potrebni za posao. Ovo se zove "princip minimalne ovlasti".

KLINIKAhub: 3 uloge (admin/terapeut/recepcija) s različitim razinama pristupa. Admin kontrolira tko vidi što.

Pravo na pristup i brisanje

Pacijent ima pravo zatražiti: sve podatke koje imate o njemu (čl. 15) i brisanje podataka (čl. 17). Morate odgovoriti unutar 30 dana. Iznimka: medicinsku dokumentaciju čuvate 10+ godina po zakonu — tu brisanje ne vrijedi.

KLINIKAhub: export profila pacijenta jednim klikom (PDF). Brisanje kontakta s audit logom.

Evidencija aktivnosti obrade

Morate voditi evidenciju svih aktivnosti obrade podataka (čl. 30): koje podatke prikupljate, zašto, tko im pristupa, koliko ih čuvate. Ovo je dokument koji inspektor traži pri nadzoru.

KLINIKAhub: automatski audit log svih pristupa i promjena. Generirajte izvještaj za inspektora u 1 klik.

Obavijest o povredi podataka

Ako dođe do data breachа (curenje podataka), morate obavijestiti AZOP (Agencija za zaštitu osobnih podataka) unutar 72 sata. Ako breach predstavlja visok rizik za pacijente, morate obavijestiti i njih.

Primjeri breachа: ukraden laptop s Excel bazom, hakiran email s podacima pacijenata, izgubljen USB, ransomware napad.

KLINIKAhub: cloud sustav eliminira rizik od krađe laptopa/USB-a. Podaci nisu na vašem uređaju nego na sigurnim EU serverima.

Ugovor s obrađivačem podataka

Ako koristite softver (cloud ili desktop), taj vendor je vaš "obrađivač podataka". Morate imati pisani ugovor (DPA — Data Processing Agreement) koji definira kako vendor čuva i obrađuje podatke vaših pacijenata.

KLINIKAhub: DPA ugovor uključen za sve korisnike. GDPR usklađenost dokumentirana.

GDPR usklađenost od prvog dana

KLINIKAhub: enkripcija, role-based pristup, audit log, EU serveri, DPA ugovor. Sve uključeno u svaki plan.

Započni besplatno

GDPR checklist za ordinaciju

Prođite kroz ovu listu i označite što imate:

Pravna osnova definirana za svaku obradu (zdravstvena skrb, pristanak za marketing)
Pristanak pacijenta dokumentiran za WhatsApp/SMS podsjetnike
Enkripcija podataka u prijenosu (SSL) i mirovanju
Kontrola pristupa po ulogama (admin/terapeut/recepcija)
Audit log tko pristupa kojim podacima
Mogućnost exporta podataka na zahtjev pacijenta (čl. 15)
Mogućnost brisanja podataka na zahtjev (čl. 17, uz zakonske iznimke)
Evidencija aktivnosti obrade (čl. 30)
DPA ugovor s vendorom softvera
Backup podataka (zaštita od gubitka)
Plan za data breach (koga obavijestiti unutar 72h)
Podaci unutar EU (serveri u EU)

Ako imate manje od 8 od 12 stavki, vaša ordinacija ima GDPR rizik koji morate hitno riješiti.

Dobra vijest: Ako koristite GDPR usklađen cloud softver (poput KLINIKAhub-a), automatski pokrivate 10 od 12 stavki. Preostale 2 (pravna osnova i plan za breach) su organizacijske — ne tehničke.

Često postavljana pitanja

Spadaju li zdravstveni podaci pod GDPR?

Da, pod pojačanu zaštitu. "Posebna kategorija osobnih podataka" (čl. 9). Zahtijevaju eksplicitni pristanak, enkripciju i audit log.

Treba li ordinacija DPO službenika?

Za veće ustanove koje obrađuju podatke u velikim razmjerima, da. Za manju ordinaciju preporučeno ali ne uvijek obavezno. Konzultirajte pravnika.

Što ako pacijent traži brisanje?

Obrišite sve osim zakonski obavezne medicinske dokumentacije (čuva se 10+ godina). Marketinški podaci, bilješke i komunikacija se moraju obrisati unutar 30 dana.

Je li cloud GDPR usklađen?

Ovisi o softveru. KLINIKAhub: SSL enkripcija, role-based pristup, EU serveri, audit log, DPA ugovor. Desktop vs Cloud usporedba.

Kolika je kazna?

Do 20 mil EUR ili 4% godišnjeg prometa. AZOP aktivno provodi nadzore u zdravstvenom sektoru. Zašto Excel nije siguran.

KLINIKAhub tim

GDPR usklađen cloud softver za ordinacije. Enkripcija, role-based pristup, EU serveri, audit log, DPA ugovor. Od 0 EUR/mj.

GDPR za zdravstvene ustanove — 7 stvari koje morate znati

Zašto su zdravstveni podaci posebni

7 GDPR obveza za ordinacije

Pravna osnova za obradu podataka

Enkripcija podataka

Kontrola pristupa (tko vidi što)

Pravo na pristup i brisanje

Evidencija aktivnosti obrade

Obavijest o povredi podataka

Ugovor s obrađivačem podataka

GDPR usklađenost od prvog dana

GDPR checklist za ordinaciju

Često postavljana pitanja

Povezani članci