Mnenje glede aplikacije za spremljanje zdravstvenega stanja
+ -Številka: 07120-1/2020/302
Kategorije: Delovna razmerja, Ocene učinkov v zvezi z varstvom podatkov, Posebne vrste, Pravne podlage, Zavarovanje osebnih podatkov, Zdravstveni osebni podatki
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš dopis, v katerem nas prosite za mnenje glede aplikacije, katere namen je spremljati zdravstveno stanje zaposlenih v zdravstvenih zavodih. Kot pojasnjujete morajo že sedaj zdravstveni delavci dnevno oddajati poročila o zdravstvenem stanju. To počnejo v papirnati obliki, aplikacija bi zadevo močno olajšala. Razvijalec aplikacije je določeno podjetje, uporabljali pa bi jo zaposleni v zdravstvenih ustanovah.
Izhodišča glede aplikacije v delu, ki se tiče varstva osebnih podatkov, naj bi bila naslednja:
- Upravljavci podatkov, ki jih uporabniki vnašajo v storitev, so posamezni zdravstveni zavodi.
- Uporabniki lahko pridobijo informacije o obdelavi osebnih podatkov pri upravljavcih osebnih podatkov. Ponudnik aplikacije podatke obdeluje kot obdelovalec v imenu in za račun upravljavcev.
- Podlaga za obdelavo je pogodba o zaposlitvi (6/I(b) GDPR). Verjetno tudi tč. d in f tega člena prideta v poštev, lahko se več podlag zapiše.
- Obdobje hrambe: mora biti omejeno; predlagano je še 30 dni po koncu testne uporabe (testna uporaba je do razglasitve konca epidemije, vendar ne dlje kot do 30. 6. 2020).
- Dostopne pravice: urediti, kdo ima dostop in kdo bo te pravice dal, a to določi zdravstveni zavod; če te obrazce obravnavajo vodje oddelkov, je smiselno, da ima vsak v osnovi dostop do svojih. Definitivno pa je treba omejiti znotraj posamezne zdravstvene ustanove.
Posredovali ste nam tudi predlog obvestila, ki bi se glasilo:
»Podatke o vašem zdravstvenem stanju zbira xxx ime zdravstvenega zavoda - delodajalca xxx izključno za potrebe organizacije dela ter varovanja zdravja pacientov in zdravstvenega osebja. Obdelava podatkov je potrebna za izvajanje pogodbe o zaposlitvi ter predpisov, ki urejajo varnost in zdravje pri delu. Podatke bodo za organizacijo dela uporabljale izključno pooblaščene osebe xxx ime zdravstvenega zavoda - delodajalca xxx. Več informacij o obdelavi podatkov vam je na voljo na spletnih straneh/dokumentu /zdravstvene ustanove (link). Storitev zdravstvenim ustanovam zagotavlja <družba> d.d. Pogoji uporabe storitve: link.«
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
IP uvodoma pojasnjuje, da izven inšpekcijskih postopkov ne moremo potrjevati zakonitosti in ustreznosti obdelav osebnih podatkov oziroma delovanja aplikacij, niti ne moremo izdajati potrdil, temveč lahko opozorimo na pomembne vidike glede varstva osebnih podatkov, podamo primerna opozorila in priporočila.
IP dalje pojasnjuje, da iz poslanega opisa ni razviden nabor osebnih podatkov, ki naj bi se vnašal v zadevno aplikacijo. Glede nabora osebnih podatkov pojasnjujemo, da mora biti vezan na namen obdelave osebnih podatkov (upoštevaje načelo namenskosti po točki (b) 1. odstavka člena 5 Splošne uredbe), pri določitvi nabora pa mora biti upoštevano načelo minimizacije (točka (c) 1. odstavka člena 5 Splošne uredbe).
Izhajajoč iz namena obdelave je podlaga za obdelavo lahko podana v točki 6(1)b Splošne uredbe, kolikor gre za podatke, katerih obdelava je potrebna zaradi značilnosti konkretnega delovnega razmerja. Kot tudi sami ugotavljate lahko prideta v poštev tudi pravni podlagi po točki 6(1)d Splošne uredbe (obdelava, ki je potrebna za zaščito življenjskih interesov posameznika), bolj kot podlaga po točki 6(1)f Splošne uredbe, kjer je treba upoštevati določbo, da se točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog, pa je možna podlaga v točki 6(1)e Splošne uredbe (obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu). Ko gre za obdelavo posebnih vrst osebnih podatkov, kot so podatki o zdravstvenem stanju, morajo biti upoštevane tudi določbe člena 9 Splošne uredbe. Brez znanega nabora osebnih podatkov glede na namene obdelave ne moremo vnaprej ocenjevati, katere podlage so lahko primerne, zato vam svetujemo, da za posamezne obdelovane osebne podatke opravite podroben premislek, katera pravna podlaga je najbolj ustrezna oziroma so ustrezne (teoretično jih je lahko tudi več).
Informiranje uporabnikov o obdelavi osebnih podatkov mora biti izvedeno skladno z zahtevami člena 13 Splošne uredbe in mora vsebovati vse predpisane točke oziroma informacije. V pomoč glede tega vam je lahko obrazec oziroma vzorec, ki je dostopen na naši spletni strani:
V primeru uporabe storitev zunanjih ponudnikov je treba upoštevati določbe glede pogodbene obdelave, kot jih predpisuje člen 28 Splošne uredbe. Več informacij o ustrezni ureditvi pogodbene obdelave najdete na naši podstrani:
Glede rokov hrambe je treba upoštevati načelo omejitve shranjevanja po točki (e) 1. odstavka člena 5 Splošne uredbe): osebni podatki so hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. IP se izven inšpekcijskega postopka ne more opredeliti glede konkretnega roka hrambe, vsekakor pa je treba rok določiti glede na namene obdelave in pri tem izbrati najkrajši rok, ki je potreben za doseganje zastavljenih namenov obdelave.
Pri oblikovanju, testiranju in samem delovanju aplikacije mora biti zagotovljena informacijska varnost, torej kombinacije tehničnih in organizacijskih ukrepi, ki, kot tudi sami omenjate, med drugim vključuje natančne postopke glede ravnanja z uporabniškimi pooblastili. Pri določanju dostopnih pravic bi morala te vsekakor biti omejene na posamezen zdravstveni zavod za svoje zaposlene, znotraj organizacije pa glede na t.i. potrebo po vedenju. Sam razvoj aplikacije mora upoštevati načeli vgrajenega in privzetega varstva podatkov skladno s členom 25 Splošne uredbe.
Brez konkretnih podatkov o predvidenem obsegu uporabe aplikacije sicer vnaprej ne moremo decidirano soditi, ali gre za takšno obdelavo, ki terja oceno učinka glede varstva osebnih podatkov, zelo verjetno pa je, da mora takšna ocena učinka biti izvedena, saj bo predvidoma to aplikacijo uporabljalo večje število zdravstvenih zavodov, s tem pa gre že za sistematično zbiranje osebnih podatkov, vključno s posebnimi vrstami osebnih podatkov, zato je izvedba predhodne ocene učinka po vsej verjetnosti obvezna in seveda tudi v interesu upravljavcev in posameznikov[1]. S predhodno oceno učinka se namreč pravočasno naslovijo tveganja, ki izhajajo iz predvidenih obdelav osebnih podatkov in zmanjša možnost, da bi z njeno uporabo prišlo do kršitev zakonodaje.
Vse informacije o ocenah učinka vključno s smernicami, kako jo izvesti, so na naši podstrani:
Oceno učinka mora izvesti upravljavec. Glede na to, da bo predvidoma pri aplikaciji pomembno vlogo imel pogodbeni obdelovalec, je smotrno, da z informacijami o predvidenem tehničnem delovanju in varnostnih vidikih pomaga upravljavcu z ustreznimi informacijami. V konkretnem primeru ni smiselno, da oceno učinka izvede vsak zdravstveni zavod posebej, če bo šlo za enotno aplikacijo, temveč se lahko oceno učinka izvede npr. v okviru ustrezne strokovne delovne skupine Združenja zdravstvenih zavodov. Ustrezna platforma za sodelovanje v tem primeru se lahko izkaže kot koristna tudi v bodoče, ko se bodo v zdravstvenih zavodih uvajale nove informacijske rešitve, ki bodo terjale izvedbe ocen učinka. Za kvalitetno izvedbo ocen učinka so namreč zelo pomembne izkušnje z obravnavo tveganja v povezavi z varstvom osebnih podatkov in tovrstne platforme lahko bistveno pripevajo k njihovi kvaliteti. Neizogibno je namreč, da se bodo v zdravstvu tudi v bodoče uvajale številne nove informacijske rešitve, ki bodo praviloma terjale izvedbe ocen učinka, zato je smiseln sistemski pristop k njihovi izdelavi.
Mnenje na oceno učinka morajo glede na določbo 2. točke člena 35 Splošne uredbe podati tudi pooblaščene osebe za varstvo osebnih podatkov, ki so jih zdravstveni zavodi praviloma že morali imenovati. Pod pogoji iz člena 36 Splošne uredbe lahko mnenje na izdelano oceno učinka poda tudi IP – šele to je namreč lahko točka vključitve IP, ki sicer ne more in ne sme vnaprej presojati ustreznosti posameznih aplikacij. Obenem vas vljudno prosimo, da vsakršna morebitna zaprosila za mnenja v bodoče pošiljate na uradni elektronski naslov Informacijskega pooblaščenca, saj nam to omogoča pravilno knjiženje dokumentov po Uredbi o upravnem poslovanju in enotno vstopno–izstopno točko za komunikacijo.
S spoštovanjem,
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka
Pripravil:
mag. Andrej Tomšič,
namestnik informacijske pooblaščenke
[1] Kriteriji, kdaj je ocena izvede učinka obvezna, so določeni s strani nadzornih organov (glej Prilogo 2 Smernic o ocenah učinka na varstvo osebnih podatkov: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf
Neizvedba ocene učinka predstavlja kršitev določb Splošne uredbe.