Informacijski pooblaščenec Republika Slovenija
Iskalnik po spletni strani   Priredbe v znakovni jezik  
dekorativna slika

Dolžnost samoprijave po ZPacP

+ -

Opozorilo: Mnenje je bilo izdano na podlagi določb Zakona o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati in ga je nadomestil nov Zakon o varstvu osebnih podatkov (ZVOP-2, Uradni list RS, št. 163/22), zato mnenje ni več nujno aktualno. Mnenja po ZVOP-2 so na voljo tukaj.

Datum: 05.05.2019
Številka: 0712-1/2019/1057
Kategorije: Zavarovanje osebnih podatkov, Zdravstveni osebni podatki

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem ste med drugim navedli, da se je na vas obrnil predstojnik enega izmed oddelkov in vam predstavil primer, pri katerem ne gre za namerno obdelavo/vpogled v medicinske podatke, ampak za preprosto napako. Navedel je: »Danes sem hotel vpogledati v dokumentacijo sprejete …. Vstopil sem v …, našel gospo … (izmed … drugih z enakim imenom in priimkom) in vstopil v njene podatke. Že na prvi strani se mi je pokazal izvid iz ambulante, ki ni povezan z zdravljenjem na … oddelku. Ugotovil sem, da sem odprl napačno ...«

IP sprašujete, ali ste v takšnem primeru dolžni narediti samoprijavo po 46. členu Zakona o pacientovih pravicah.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 57. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/2007-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/2005) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

_____

Zakon o pacientovih pravicah (Uradni list RS, št. 15/2008 in 55/2017, v nadaljevanju ZPacP) v 46. členu določa, da morajo izvajalci zdravstvene dejavnosti vsak ugotovljen ali sporočen primer nedovoljenega sporočanja ali druge nedovoljene obdelave osebnih podatkov o pacientu, ne glede na voljo pacienta, posebej raziskati in ugotoviti morebitno odgovornost zdravstvenih delavcev, zdravstvenih sodelavcev ali drugih oseb ter primer pisno dokumentirati. O tem morajo obvestiti pacienta, pristojnega zastopnika pacientovih pravic in IP.

IP se strinja z vami, da lahko pri delu pride do nenamernih »klikov na paciente« oziroma do napačnih obdelav osebnih podatkov (npr. zaradi preobremenjenosti zdravstvenega osebja, v urgentnih situacijah). Takšnih obdelav načeloma, če gre res za nenamerno napako, zato ni mogoče šteti kot nedovoljenih, ki jih je skladno s 46. členom ZPacP treba posebej raziskati in o ugotovitvah obvestiti v istem členu navedene subjekte. Vendar pa IP meni, da ne bi bilo prav, če bi takšne napake ignorirali, saj bi lahko hitro prišlo do zlorab in bi se zaposleni tudi pri namernih nezakonitih vpogledih sklicevali na napake. Zato morate zaposlenim naložiti, da o napačnih obdelavah obvestijo pooblaščeno osebo oziroma da jih evidentirajo (s ciljem notranjega nadzora in potrebnega nadaljnjega ukrepanja, če bi se ocenilo, da gre za sistemski problem ali da so tovrstne napake pogoste). IP priporoča, da občasno preverite določene napačne obdelave in da zaposlene opozorite na to, da morajo znati obrazložiti vsako napako (npr. da so v času napake obravnavali pacienta z enakim ali podobnim priimkom). Če pri nadzoru ugotovite, da je šlo v določenem primeru za nedovoljeno obdelavo osebnih podatkov pacientov, jo morate skladno s 46. členom ZPacP raziskati in o njej obvestiti IP.

Lepo pozdravljeni,

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka