Podjemne pogodbe, pogodbena obdelava, privoltev, GPS spremljanje vozil in dolgotrajna oskrba

pri Informacijskem pooblaščencu (IP) smo dne 29. 1. 2019 prejeli vaše zaprosilo za mnenje:

1. o ustreznosti podjemnih pogodb, ki bi jih sklepali z zunanjimi člani komisije. Njihova naloga je pregled zdravstvene dokumentacije otrok z namenom ugotovitve razlogov za opustitev cepljenja in pripravo strokovnega mnenja;

2. o tem, ali je dopustno GPS spremljanje reševalnih vozil za potrebe delovanja dispečerske službe zdravstva?

3. o tem, ali je priložena privolitev za zbiranje osebnih podatkov v okviru projekta dolgotrajne nege ustrezna in o tem, ali kot takšna (in edina) zadostuje za čas izvajanja pilotnega projekta?

4. o tem, ali zadostuje, če se s posameznimi pilotnimi okolji sklene aneks o obdelavi osebnih podatkov k obstoječi pogodbi o sofinanciranju (v primeru, da je Ministrstvo za zdravje (MZ) upravljavec podatkov)?

5. o tem, ali zadostuje, če se sklene aneks o obdelavi osebnih podatkov k obstoječi pogodbi tudi z zunanjim evalvatorjem (IRSSV), ki bo naknadno obdeloval osebne podatke v šifrirani obliki in ki bodo podlaga za sistemsko ureditev področja?

6. o tem, ali je potrebno skleniti še posebne izjave o varovanju osebnih podatkov z zaposlenimi, ki so v delovnem razmerju s pilotnimi okolji in bodo dostopali do tovrstnih podatkov, četudi je člen o obveznosti varovanja osebnih podatkov že vključen v pogodbo o zaposlitvi?

7. o tem, ali mora obdelovalec podatkov (IRSSV kot evalvator) izvesti oceno učinka?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi vprašanji.

1. IP ni pristojen za predhodno preverjanje pogodb in drugih internih aktov upravljavcev. To je možno šele v primeru inšpekcijskega nadzora.

V konkretnem primeru načeloma ne gre za pogodbeno obdelavo osebnih podatkov, zaradi česar posebne pogodbene določbe iz člena 28 Splošne uredbe o varstvu podatkov niso nujne. Kljub temu pa je priporočljivo, da se tudi v tovrstne podjemne pogodbe smiselno vključijo dogovori po vzoru omenjenega člena uredbe, ki bodo lahko prispevali k zagotavljanju varnosti osebnih podatkov oz. je dolžnost upravljavca, da poskrbi, da so člani komisije ustrezno seznanjeni s svojimi obveznostmi glede tega.

Glede pogodbene obdelave so na voljo že izdane smernice IP: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_pogodbeni_obdelavi_web.pdf.

2. Zaradi kompleksnosti sistema uvedbe GPS sledenja reševalnim vozilom ter nepoznavanja vseh dejstev in okoliščin, IP ne more vnaprej dokončno potrditi zakonitosti in sorazmernosti uvedbe sistema. Tudi sicer IP v okviru mnenja v nobenem primeru ne more dokončno presojati o dopustnosti uvedbe GPS sledenja.

IP, glede na predstavljeno dejansko stanje, zgolj informativno in na splošno pojasnjuje, da za uvedbo GPS sledenja zgolj reševalnim vozilom, v času službenih voženj, znotraj dispečerske službe ni videti očitnih ovir z vidika varstva osebnih podatkov, ob pogoju, da so uvedeni vsi ukrepi za preprečanje tveganj neupravičenih posegov v zasebnost, ki jih takšna obdelava osebnih podatkov prinaša. V primeru uvedbe je treba poskrbeti npr. za najmanjši obseg podatkov in njihove obdelave ter za ustrezno varnost podatkov, vključno s kratkimi roki hrambe podatkov.

Glede na vaše navedbe je verjetno tudi, da gre za obliko obdelave iz Seznama dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku člena 35 Uredbe (EU) 2016/679 in ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna. Več na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/ocena-ucinka-v-zvezi-z-varstvom-podatkov/).

V zvezi z GPS sledenjem so na spletni strani IP že dostopne smrenice:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/GPS_smernice_net.pdf.

3. IP ni pristojen za predhodno preverjanje privolitvenih izjav in drugih internih aktov upravljavcev. To je možno šele v primeru inšpekcijskega nadzora.

Zgolj na splošno in informativno pojasnjujemo:

- da vsaj za večji del obdelave osebnih podatkov v projektu ni potrebna privolitev (gl. že izdano mnenje IP, kjer pojasnjeno, za kateri del projekta je verjetno podana zakonska podlaga);

- da IP zaradi pomanjkanja informacij ne more oceniti, ali je za posamezne oziroma preostale dele projekta, ki v omenjenem mnenju niso zajeti, res potrebna privolitev s strani uporabnikov storitev;

- da v privolitvi manjka najmanj informacija o tem, kateri osebni podatki bi se obdelovali;

- da je priporočljivo, da se informacije po 13 in 14 členu Splošne uredbe o varstvu podatkov glede tistega dela obdelave osebnih podatkov, za katerega ni potrebna privolitev, vključi kar v to privolitev, če se izkaže, da je slednja sploh potrebna, sicer pa v drug ustrezen obrazec oz. se določi način seznanjanja posameznikov s tem informacijami ob zbiranju. Če boste ugotovili, da je privolitev (za določene podatke morda) sploh potrebna, je ta lahko veljavna za celotni čas projekta pod pogojem, da njena vsebina pokriva vso obdelavo osebnih podatkov (tudi vse osebne podatke, vse namene itd.), ki se bo izvajala do konca projekta.

4. Če ima razmerje med MZ in izvajalci naravo pogodbene obdelave podatkov, je pogodba iz člena 28 Splošne uredbe o varstvu podatkov lahko sklenjena tudi kot dopolnitev temeljne pogodbe o sofinanciranju ali v drugem pravnem aktu (zahtevana je pisna oblika).

5. Če bo zunanji evalvator obdeloval osebne podatke (ne glede na to, na koga se nanašajo in ali se obdelujejo v šifrirani obliki) za oziroma v imenu MZ, velja smisleno enako kot v prejšnji točki.

6. Dodatne izjave za zaposlene niso potrebne, če so prvotne izjave ali določbe v pogodbah o zaposlitvi po vsebini ustrezne. Slednjega IP izven inšpekcijskega postopka ne more oceniti.

7. Izvedba evalvacije projekta sama po sebi še ne zahteva priprave ocene učinkov. Konkretni odgovor je odvisen od vseh okoliščin primera, ki pa jih IP ne pozna. Glede ocen učinkov so na spletni strani IP že dostopne smernice:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf.

O b r a z l o ž i t e v:

Glede zgornjega mnenja se sklicujemo na že izdane smernice IP s področja GPS sledenja, pogodbene obdelave, ocen učinkov, delovnih razmerij in varnosti (zavarovanju) podatkov. Prav tako se sklicujemo na že izdano mnenje glede pilotnega projekta.

Dodatno še pojasnjujemo:

• da pri obdelavi osebnih podatkov s strani komisije najverjetneje ne gre za pogodbeno obdelavo osebnih podatkov, ker gre po zakonu za (relativno) samostojen organ ministrstva, ki ima na voljo »svojo« pravno podlago za obdelavo osebnih podatkov v Zakonu o nalezljivih boleznih (ZNB). Zato tudi ne bo obdelovalo osebnih podatkov v imenu ministrstva, pač pa v svojem imenu, saj ministrstvo sámo (tj. izven komisije po ZNB) te obdelave sploh ne bi bilo pristojno izvajati;

• da gre v primeru zunanje evalvacije, ki bi se izvajala na osebnih podatkih najverjetneje za pogodbeno obdelavo podatkov, ker nam ni znana pravna podlaga, ki bi zunanjemu evalvatorju omogočala samostojno obdelavo osebnih podatkov v lastnem imenu;

• da so obveznosti glede informiranja posameznikov (ne glede na to, ali se podatki obdelujejo na podlagi privolitve ali ne) določene v členu 13 in 14 Splošne uredbe o varstvu podatkov;

• da je bistveni element privolitve informacija o tem, kateri osebni podatki oziroma katere kategorije osebnih podatkov se bodo obdelovale;

• da je načelo najmanjšega obsega podatkov določeno v členu 5 Splošne uredbe o varstvu podatkov.

Lepo pozdravljeni,

Pripravil:

mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka