Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Posredovanje OP zbornici in pogodbena obdelava

+ -
Datum: 08.05.2019
Številka: 0712-1/2019/1086
Kategorije: Pogodbena obdelava podatkov, Zdravstveni osebni podatki

1. Zbornica … (v nadaljevanju zbornica) vas je zaprosila za osebne podatke zaposlene (…), ki ste ji vročili izredno odpoved zaradi ponarejanja receptov, saj jo lahko pod določenimi pogoji izbriše iz registra. Ker zbornici (ki je, kot ste pojasnili v telefonskem pogovoru, za odpoved in razlog odpovedi izvedela iz medijev) niste posredovali podatkov (imena in priimka), je zanje zaprosila policijo, a je prejela negativen odgovor. Zato vas je ponovno pozvala, da jo ob koncu postopka (kazenski postopek je še v teku) ali prej vseeno obvestite. IP sprašujete, ali jo lahko obvestite oziroma ali ima kak predlog, kako voditi podobne postopke glede obveščanja zbornice.

2. Med … (v nadaljevanju bolnišnica) in … (v nadaljevanju podjetje) poteka večletno sodelovanje na področju posredovanja podatkov porodnice-mamice o njenem imenu in priimku ter spolu, teži in dolžini novorojenčka na določen e-naslov za namen objave v medijih. V ta namen so pristojni na navedenem oddelku od porodnice pridobili podpisano izjavo (soglasje), ki jo je leta 2015 pripravila bolnišnica. Zaradi Splošne uredbe o varstvu podatkov je podjetje posodobilo vsebino izjave-soglasja in pripravilo pogodbo o obdelavi osebnih podatkov (oba dokumenta ste priložili). IP prosite za mnenje, ali morate s podjetjem skleniti pogodbo o obdelavi osebnih podatkov. Menite namreč, da tega niste dolžni storiti, ker je bolnišnica upravljavec osebnih podatkov in ker se porodnica sama odloči, ali bo izpolnila obrazec, ki se bo posredoval podjetju.

3. Ministrstvo za zdravje je vsem javnim zdravstvenim zavodom posredovalo dopis št. 071-1/2019/1 z dne 15. 3. 2019, ki ste ga priložili. Zaradi zaznanih kršitev je zdravstvene zavode pozvalo, da v najkrajšem možnem času pristopijo k izvedbi izrednih notranjih nadzorov v skladu s 76.a členom Zakona o zdravstveni dejavnosti, in sicer na področju varstva zasebnosti in varstva osebnih podatkov, vključno s presojo ustreznosti pravic, pooblastil in sistema varovanja podatkov v informacijskih sistemih. IP sprašujete, ali predlaga kakšno enotno metodologijo za tak nadzor.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 57. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/2007-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/2005) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

*****

1. Skladno s točko (2) člena 4 Splošne uredbe obdelava pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje. Obdelava osebnih podatkov je zakonita, če je izpolnjen vsaj eden od pogojev, določenih v členu 6(1) Splošne uredbe, v konkretnem primeru bi lahko prišli v poštev točki:

(c) - obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca in

(e) - obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.

Zbornica na podlagi podeljenega javnega pooblastila vodi Register izvajalcev v dejavnosti zdravstvene ali babiške nege, postopek vpisa v register in podelitev licence. V skladu z Odredbo o seznamu izvajalcev zdravstvenih poklicev, ki morajo biti vpisani v register in imeti veljavno licenco (Uradni list RS, št. 16/2013), ki je bila sprejeta na podlagi šestega odstavka 64. člena Zakon o zdravstveni dejavnosti (Uradni list RS, 23/2005-UPB2, s spr., v nadaljevanju ZZDej), morajo imeti veljavno licenco in biti vpisani v register tudi izvajalci zdravstvene ali babiške nege z višjo oziroma visoko strokovno izobrazbo, torej tudi …, za katero je zbornica želela pridobiti podatke.

Sedmi odstavek 64. člena ZZDej določa, da se licenca podeli za določen čas – za dobo sedmih let, podaljšati pa jo je možno na podlagi dokazil o strokovni usposobljenosti za nadaljnje delo. V primeru ugotovljenih večjih strokovnih napak je možen odvzem licence. Podrobnejše določbe o načinu, organih, evidenci in postopku pri odločanju o podelitvi, podaljšanju in odvzemu licence se določijo v pravilniku, ki ga za zdravstvene delavce in zdravstvene sodelavce v poklicih ali dejavnostih, za katere je javno pooblastilo za to podeljeno pristojni zbornici ali strokovnemu združenju, sprejme pristojna zbornica ali strokovno združenje v soglasju z ministrom, pristojnim za zdravje, za druge zdravstvene delavce in zdravstvene sodelavce pa minister, pristojen za zdravje. V konkretnem primeru gre za Pravilnik o registru in licencah izvajalcev v dejavnosti zdravstvene ali babiške nege (Uradni list RS, št. 3/2016, v nadaljevanju Pravilnik). 14. člen Pravilnika določa razloge za izbris iz registra, ki se opravi med drugim v primeru odvzema licence. Postopek odvzema lahko začne po uradni dolžnosti, na predlog delodajalca ali na predlog Ministrstva za zdravje (drugi odstavek 37. člena Pravilnika), primere, v katerih se odvzame licenca, pa določa 38. člen Pravilnika:

-        če se ugotovi, da izvajalec s svojim delom ogroža zdravje ali življenje pacienta − do sedmih let;

-        če je izvajalcu izrečen začasen varnostni ukrep prepovedi opravljanja dejavnosti zdravstvene ali babiške nege ali poklica − za čas izrečenega ukrepa;

-        če je izvajalec obsojen za naklepno kaznivo dejanje, ki se preganja po uradni dolžnosti, na nepogojno kazen zapora šestih mesecev ali na hujšo kazen − za čas izrečene kazni;

-        če izvajalec ni pridobil dokazil o izpolnjevanju pogojev za pridobitev ali podaljšanje licence na zakonit način oziroma je za pridobitev ali podaljšanje licence navedel lažne podatke − do štirih let;

-        če se ugotovi, da je ravnanje izvajalca zaradi večje strokovne pomanjkljivosti ali napake pri delu povzročilo trajne hujše posledice za zdravje ali smrt pacienta − do sedmih let;

-        če je izvajalec obsojen za naklepno kaznivo dejanje, ki se preganja po uradni dolžnosti, v povezavi z opravljanjem dejavnosti zdravstvene ali babiške nege − za čas izrečene kazni.

Pri izvajanju nalog iz 87.c člena ZZDej, tj. nalog, ki jih izvaja kot javno pooblastilo (mednje sodi tudi vodenje registra izvajalcev posamezne zdravstvene dejavnosti ter izdaja, podaljševanje in odvzem licence izvajalcem posamezne zdravstvene dejavnosti), zbornica upošteva zakon, ki ureja splošni upravni postopek in zakon, ki ureja upravni spor. Zakon o splošnem upravnem postopku (Uradni list RS, št. 24/2006-UPB2, s spr., v nadaljevanju ZUP) v 34.a členu določa, da so upravljavci zbirk osebnih podatkov, ki razpolagajo s podatki, ki so potrebni za ugotovitev dejstev v zvezi z vodenjem in odločanjem v upravnem postopku, dolžni na podlagi obrazložene zahteve organa, brezplačno, najkasneje v roku 15 dni, posredovati zahtevane podatke. Zahteva mora vsebovati navedbo zahtevanih podatkov, pravno podlago za posredovanje, namen njihove uporabe in številko upravne zadeve.

IP na podlagi vaših navedb sklepa, da želi zbornica zoper …, ki ste ji zaradi suma storitve kaznivega dejanja vročili izredno odpoved pogodbe o zaposlitvi, po uradni dolžnosti začeti postopek odvzema licence in izbrisa iz registra. Zbornica bi osebne podatke, ki jih potrebuje za namen vodenja postopka odvzema licence, od upravljavcev osebnih podatkov lahko pridobila na podlagi točke (c) in (e) člena 6(1) Splošne uredbe v povezavi s 87.c členom ZZDej, 34.a členom ZUP in določbami Pravilnika, ki določa postopek in pogoje za odvzem licence, vendar pa IP meni, da v konkretnem primeru še ni upravičena pridobiti podatkov vaše bivše zaposlene, saj izredna odpoved pogodbe o zaposlitvi ni razlog za odvzem licence in izbris iz registra, kazenski postopek pa je še v teku, kar pomeni, da nista izpolnjena tudi pogoja, ki določata odvzem licence v primerih, če je izvajalec obsojen za naklepno kaznivo dejanje, ki se preganja po uradni dolžnosti.

Načeloma bi torej zbornica za namen vodenja postopkov potrebovala, kot je razbrati iz vaših pojasnil, podatke iz kazenske evidence o pravnomočnih obsodbah zoper svoje člane. Upravljavec kazenske evidence je v skladu s členom 250.a Zakona o izvrševanju kazenskih sankcij ministrstvo za pravosodje, ki ima podlage za posredovanje podatkov v primerih, ki jih določa ZIKS-1. V vašem primeru najverjetneje pridejo v poštev določbe 6. odstavka 250.a člena ZIKS-1.

2. Upravljavec osebnih podatkov je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave (točka (7) člena 4 Splošne uredbe), uporabnik je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne (točka (9) člena 4 Splošne uredbe), (pogodbeni) obdelovalec pa je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (točka (8) člena 4 Splošne uredbe).

Po pregledu priložene dokumentacije IP ugotavlja, da je bolnišnica obdelovalec osebnih podatkov, katerih upravljavec je podjetje. Bolnišnica namreč v imenu podjetja zbira osebne podatke porodnic na način, da jim izroči obrazec Izjava o soglasju, ki ga je pripravilo podjetje. Porodnice v obrazec same vpišejo svoje osebne podatke (ime in priimek, naslov) in podatke novorojenčka (spol, težo, dolžino), bolnišnica pa podatke posreduje podjetju na določen e-naslov in obrazce shrani.

Člen 28(3) Splošne uredbe določa, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrste osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Zato je prav, da je podjetje kot upravljavec pripravilo pogodbo o obdelavi osebnih podatkov in jo bolnišnici kot obdelovalcu posredovalo v podpis.

IP pojasnjuje, da bolnišnica v konkretnem primeru ni upravljavec podatkov, ki so predmet obdelave, čeprav v svojih zbirkah vodi enake podatke. Podatke, ki jih bolnišnica posreduje podjetju, namreč v obrazec vpišejo porodnice same. Bolnišnica bi bila upravljavec, če bi podatke podjetju posredovala iz svoje zbirke na ustrezni pravni podlagi, podjetje pa bi se štelo za uporabnika osebnih podatkov. Takšno posredovanje bi bilo dopustno na podlagi osebne privolitve porodnice, saj iz četrtega odstavka 44. člena Zakona o pacientovih pravicah (Uradni list RS, št. 15/2008 in 55/2017) izhaja, da je uporaba in druga obdelava pacientovih zdravstvenih in drugih osebnih podatkov izven postopkov zdravstvene obravnave dovoljena le z njegovo privolitvijo. V tem primeru bi obrazec za podajo privolitve morala pripraviti bolnišnica. Privolitev po Splošni uredbi (točka (9) člena 4) je prostovoljna, izrecna, informirana in nedvoumna izjava volje posameznika, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj. Pogoji za veljavno privolitev so določeni v členu 7 Splošne uredbe (upravljavec jo mora biti zmožen dokazati; biti mora v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku; posameznik jo lahko kadar koli prekliče, o čemer mora biti obveščen).  

3. IP meni, da je poziv Ministrstva za zdravje upravičen, saj se v zdravstvenih ustanovah še vedno prepogosto pojavljajo kršitve varstva osebnih podatkov pacientov.

76.a člen ZZDej med drugim določa, da notranji nadzor opravlja izvajalec zdravstvene dejavnosti in obsega:

-        nadzor nad strokovnostjo, kakovostjo in varnostjo dela pri izvajalcu zdravstvene dejavnosti,

-        nadzor nad izvajanjem predpisov s področja opravljanja zdravstvene dejavnosti in področja materialnega poslovanja,

-        nadzor poslovanja, ki se nanaša na sredstva javnih financ.

IP pojasnjuje, da podaja navodil, kako naj izvajalec zdravstvene dejavnosti izvede notranji nadzor oziroma kaj vse naj v okviru takega nadzora preveri, ni v njegovi pristojnosti, čeprav gre za nadzor, ki se nanaša na področje varstva osebnih podatkov. Kljub temu IP priporoča, da bolnišnica v okviru takega nadzora preveri osnove zagotavljanja varnosti osebnih podatkov v informacijskem sistemu, v katerem se obdelujejo osebni podatki pacientov, npr. ali ima sprejet ustrezen režim gesel in kakšne so dostopne pravice zaposlenih. Zaposlene bi bilo treba (ponovno) seznaniti s predpisi, ki določajo obdelavo osebnih podatkov pacientov ter jih opozoriti na dolžnost varovanja osebnih podatkov ter na posledice v primeru nezakonitih vpogledov v podatke in neustreznega zavarovanja gesla. Bolnišnica lahko preveri tudi zakonitost obdelave na način, da izbere nekaj “slavnih oziroma znanih” pacientov in na podlagi izpisov dnevnika sledljivosti za določeno obdobje preveri zakonitost obdelave njihovih osebnih podatkov.   

Lepo pozdravljeni,

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka