Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Posredovanje notranjih uporabnikov

+ -
Datum: 05.08.2019
Številka: 0712-1/2019/1828
Kategorije: Pravica do seznanitve z lastnimi osebnimi podatki

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem navajate, da ste prejeli zahtevo pacienta, ki se želi prepričati, da so bili vpogledi vaših zdravstvenih delavcev v njegove osebne podatke v zdravstvenem informacijskem sistemu v skladu s predpisi o varstvu osebnih podatkov. Želi, da mu posredujete seznam vseh zaposlenih v zavodu, ki so vpogledovali v njegove osebne podatke v določenem časovnem obdobju, vključno z vrsto vpogledanih podatkov (kdaj, na kakšni podlagi in za kakšen namen so bili vpogledi opravljeni).

Splošna uredba v 15. členu ureja pravico dostopa oz. seznanitve z osebnimi podatki in določa podatke, ki se smejo posredovati - vendar ne določa, da se smejo posredovati ti konkretni podatki, ki jih pacient želi. Zaposleni v zavodu dostopajo do osebnih podatkov le v dovoljenih mejah in spooblastili ter v primeru obravnave pacientov. Ker imate možnost pacientu posredovati tudi podatke, ki jih zahteva, prosite za mnenje, kako v dotičnih primerih ravnati. Zanima vas, če lahko posredujete  tudi te podatke ali sodi takšno preverjanje zakonitosti obdelave osebnih podatkov znotraj upravljavca le pod pristojnost IP v okviru inšpekcijskih postopkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju – Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 - v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 - v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

Po mnenju IP pravica do seznanitve z lastnimi osebnimi podatki iz člena 15 Splošne uredbe posamezniku ne omogoča pravice do pridobitve seznama zaposlenih oseb pri upravljavcu, ki so vpogledovale ali drugače obdelovale osebne podatke posameznika.

IP vam uvodoma pojasnjuje, da je posamezniku v skladu s tretjim odstavkom 38. člena Ustave Republike Slovenije (Uradni list RS, št. 33/91, s spremembami in dopolnitvami - URS) zagotovljena pravica do seznanitve z zbranimi osebnimi podatki, ki se nanašajo nanj (lastni osebni podatki). Ustavna pravica posameznika do seznanitve z lastnimi osebnimi podatki je zagotovljena vsakemu posamezniku v členu 15 Splošne uredbe. Postopkovna pravila so urejena v členu 11 in 12 omenjene uredbe. Splošna uredba v členu 15 določa, da mora upravljavec posamezniku na njegovo zahtevo:

  1. posredovati potrditev, ali se v zvezi z njim obdelujejo osebni podatki;
  2. omogočiti vpogled ali posredovati reprodukcijo teh osebnih podatkov, torej zagotoviti dostop do njihove vsebine, in
  3. če se osebni podatki posameznika pri upravljavcu res obdelujejo, tudi naslednje informacije:
    1. namene obdelave;                                                                                                     (b) vrste zadevnih osebnih podatkov;                                                                    (c) uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;                                       (d) kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;                                                              (e) obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;                                                  (f) pravico do vložitve pritožbe pri nadzornem organu;                                                (g) kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;                                                               (h) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

Več o seznanitvi z lastnimi podatki si lahko preberete na https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/seznanitev-z-lastnimi-osebnimi-podatki/.

Skladno s členom 15 Splošne uredbe ima torej posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti informacije o uporabniku ali kategorijah uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah (c točka). Splošna uredba v 9. točki člena 4 omenjene uredbe »uporabnika« definira kot fizično ali pravna osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Skladno z 10. točko člena 4 uredbe pa tretja oseba pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave. Tudi ZVOP-1 v delu, ki se nanaša na vsebino pravice do seznanitve z lastnimi osebnimi podatki in definicijo pojma uporabnik, ni zajemal zaposlenih znotraj upravljavca. ZVOP-1 je implementiral takrat veljavno Direktivo, ki je pojem uporabnika določala skoraj enako kot sedaj veljavna Splošna uredba, zato je mnenje tudi skladno z vso dosedanjo pritožbeno prakso, ki se je navezovala na 30. člen ZVOP-1. 

Razlogi, da po mnenju IP zaposleni ne sodijo med uporabnike tudi v smislu Splošne uredbe so:

  • vrsta obdelave, ki je vezana na definicijo uporabnika je »razkritje«. Razkritje pomeni ravnanje upravljavca (ali obdelovalca), s katerim se osebni podatki razkrijejo, posredujejo ali dajo na voljo navzven - izven prostorov, sredstev in oblasti upravljavca, torej se dajo drugemu. Zaposleni so intergralni del upravljavca, torej njegov nujni sestavni del (poenostavljeno »upravljavec = zaposleni + sredstva«) in ne druge osebe izven upravljavčeve oblasti. Zaposleni zato osebne podatke obdelujejo le znotraj upravljavca, uporabniki pa so v razmerju do upravljavca zunanje osebe. Le v zvezi z zunanjimi subjekti je moč govoriti o razkritju osebnih podatkov, ker se ta pojem navezuje zgolj na razmerja z zunanjimi subjekti;
  • v nasprotnem primeru bi morali tudi samega upravljavca šteti za uporabnika, ki so mu »razkriti« osebni podatki, ki jih ima v obdelavi, kar pa bilo samo s seboj v nasprotju in ni v skladu z zgoraj navedenimi določbami uredbe;
  • bistvo pojma uporabnik ni v tem, da je to le tisti, ki uporablja osebne podatke, temveč v tem, da je »prejemnik« osebnih podatkov. To še toliko bolj očitno izhaja iz angleške različice besedila uredbe, ki uporabnike v dobesednem prevodu imenuje »prejemnike«. Prejemnik je lahko le od upravljavca – z vidika obdelave osebnih podatkov – pravno ločena oziroma v razmerju do njega samostojna oseba;
  • tudi Splošna uredba o varstvu podatkov izrecno ne določa, da se zaposleni pri upravljavcu štejejo za uporabnike;
  • v primeru, da posameznik sumi na nezakonito notranjo obdelavo osebnih podatkov, zaradi obravnavane omejitve ni prikrajšan za pravno varstvo, saj lahko pri IP vloži prijavo zaradi domnevne kršitve varstva osebnih podatkov, pri čemer IP (le) v inšpekcijskem postopku ugotavlja, ali in kdo je znotraj upravljavca nezakonito obdeloval osebne podatke. Posameznik pa lahko pod določenimi pogoji od IP posredno pridobi tudi podatke o konkretnih kršiteljih, če je to pomembno za varstvo posameznikovih pravic.

V upanju, da ste dobili odgovore na svoja vprašanja, vas lepo pozdravljamo.

Pripravila:
mag. Nuša Kavšek, univ. dipl. prav.

svetovalka IP za varstvo osebnih podatkov

   

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka