Повереник за информације од јавног значаја и заштиту података о личности поводом Предлога закона о изменама и допунама Закона о здравственој документацији и евиденцијама у области здравства који је Влада доставила Народној скупштини, још у току припреме Нацрта закона у неколико наврата давао мишљење Министарству здравља које га је припремало.

Влада Србије, утврђујући предлог закона, оглушила се о главну и суштинску примедбу Повереника.

Наиме, Предлогом закона се и даље не решава суштински проблем обраде података о личности у ИЗИС-у (Интегрисани здравствени информациони систем), односно није решено питање правног основа за успостављање ИЗИС-а. А ИЗИС је и поред више упозорења Повереника фактички успостављен, иако важећи Закон о здравственој документацији и евиденцијама у области здравства ниједном својом одредбом не овлашћује руковаоца података да га успостави на начин да у оквиру њега врши обраду података о личности.

Напротив, одредбом члана 44. став 2. Закона о здравственој документацији и евиденцијама у области здравства, прописано је да ИЗИС чине здравствено-статистички систем, информациони систем организација здравственог осигурања и информациони системи здравствених установа, приватне праксе и других правних лица. Закон ни на једном месту не предвиђа успостављање једне јединствене и централизоване збирке података о личности која би била под контролом једног руковаоца.

Осим што још једном скреће пажњу на непостојање ваљаног правног основа, Повереник указује и на питања безбедности која траже одговоре.

С аспекта општеприхваћених европских стандарда у области заштите података о личности, укрупњавање великог броја мањих база података у једну огромну, централизовану базу података представља озбиљан ризик по права лица у вези са обрадом података о личности и такву обраду увек треба избегавати, осим кад је неопходно и изузетно оправдано.

У конкретном случају чини се очигледним да тако нешто није неопходно. А у сваком случају, уколико се сврха обраде не би могла постићи другачије тј. без стварања огромне централизоване базе података, онда као минимум законом треба уредити који подаци ће се уносити и обрађивати у ИЗИС-у, које здравствене установе ће то чинити, под којим условима, начин коришћења података и сл. С аспекта минимума безбедности, такође је неопходно законом прописати техничке и организационе мере које се морају предузети у ИЗИС-у, узимајући у обзир врсту података, обим и сврху обраде, технолошки ниво, вероватноћу појављивања и озбиљност опасности по права лица, као и ко и како може имати приступ подацима о личности и одговорност за обраду тих података.