Evidentiranje pošte z občutljivimi osebnimi podatki
+ -Številka: 07120-1/2022/259
Kategorije: Telekomunikacije in pošta, Zavarovanje osebnih podatkov, Zdravstveni osebni podatki
Pri Informacijskem pooblaščencu (IP) smo 27. 7. 2022 prejeli vaše zaprosilo za mnenje glede evidentiranja pošte. Navajate, da v zavodu evidentirate prispelo pošto - pisemske pošiljke v papirni obliki, ki jih dostavi Pošta Slovenije. Po Uredbi o upravnem poslovanju bi se moralo odpreti vse kuverte, tudi tiste, kjer je kot prejemnik navedena konkretna oseba (zdravnik), in sicer ne glede, ali je oseba na kuverti navedena prva ali za imenom zavoda. Pojasnjujete, da drugi zdravstveni zavodi pošiljajo v zavod tudi dokumente, ki vsebujejo občutljive osebne podatke, vendar pa na njih ni vedno oznake »zaupno« ali »osebno«. Skladno z Uredbo o upravnem poslovanju bi morali tako pisemsko pošiljko oz. kuverto odpreti, kar se vam ne zdi ustrezno z vidika varstva osebnih podatkov pacientov. Sprašujete, kako naj evidentirate takšne pošiljke, da bo vaše ravnanje pravilno. Zanima vas tudi, komu se potem znotraj zavoda pošiljko izroči oz. preda v nadaljnje delo. Izpostavljate, da bi bila težava s pisanji, kjer je na kuverti kot prejemnik naveden samo zavod in če se kuverte ne sme odpreti, ker se oceni, da vsebina vključuje tudi občutljive osebne podatke, komu potem pisemsko pošiljko izročiti.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Če iz ovojnice ne izhaja, da se mora vročiti osebno naslovniku, temveč je kot naslovnik naveden le zdravstveni zavod, se po oceni IP lahko na podlagi z Uredbe o upravnem poslovanju javni uslužbenec, ki je določen za odpiranje pošte, seznani tudi z morebitnimi občutljivimi osebnimi podatki pacientov. Ob tem pa IP opozarja na dolžnost varovanja poklicne skrivnosti po 45. členu ZPacP.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa izven konkretnih inšpekcijskih postopkov posameznim subjektom svetovati, kako organizirati določene poslovne procese in v tem okviru obdelovati osebne podatke, niti ne more vnaprej potrjevati rešitev z vidika skladnosti s predpisi s področja varstva osebnih podatkov. Zato IP na vaša vprašanja v okviru tega mnenja ne more dokončno odgovoriti, temveč v nadaljevanju podaja zgolj splošna pojasnila.
Ravnanje s prejeto pošiljko ureja Uredba o upravnem poslovanju (Uradni list RS, št. 9/18, 14/20, 167/20, 172/21, 68/22 in 89/22). V četrtem in petem odstavku 37. člena te uredbe je določeno, da javni uslužbenec, ki je določen za odpiranje pošte, ne sme odpreti pošte, ki je naslovljena na organ in javnega uslužbenca tega organa z navedbo, iz katere izhaja, da se vroči osebno naslovniku (»osebno«, »v roke«, »naslovniku« in podobno). Če se izkaže, da taka pošta vsebuje dokumente, ki naj bi se evidentirali, naslovnik nemudoma poskrbi za njihovo evidentiranje. Pošte, za katero iz označb na ovojnici izhaja, da se ne odpira, javni uslužbenec, določen za odpiranje pošte, ne odpira, temveč na ovojnico zapiše datum in čas (ura, minuta) prejema ter ovojnico evidentira.
IP poudarja, da je za izvajanje in razlago Uredbe o upravnem poslovanju sicer pristojno Ministrstvo za javno upravo. Z vidika varstva osebnih podatkov pa pojasnjuje, da je treba tudi pri evidentiranju pošte paziti, da se zdravstveni in drugi osebni podatki pacientov razkrivajo le osebam, ki so do njih upravičene. Pacient ima namreč skladno s 44. členom Zakona o pacientovih pravicah (Uradni list RS, št. 15/08, 55/17, 177/20 in 100/22 – ZNUZSZS) pravico do zaupnosti osebnih podatkov.
Kdo od zaposlenih znotraj zdravstvenega zavoda je pristojen obdelovati določene zdravstvene podatke pacientov, je odvisno od organizacije delovnega procesa v konkretnem zavodu in drugih okoliščin, zato IP v okviru mnenja tega ne more presojati. Če pa iz ovojnice ne izhaja, da se mora vročiti osebno naslovniku oziroma da se ne odpira, temveč je kot naslovnik naveden zdravstveni zavod, se po oceni IP lahko na podlagi z Uredbe o upravnem poslovanju javni uslužbenec, ki je določen za odpiranje pošte, seznani tudi z morebitnimi občutljivimi osebnimi podatki pacientov, saj sicer po naravi stvari ne more zagotoviti ustreznega upravljanja z dokumentarnim gradivom. Ob tem pa IP opozarja, da so skladno s prvim odstavkom 45. člena Zakona o pacientovih pravicah (Uradni list RS, št. 15/08, 55/17, 177/20 in 100/22 – ZNUZSZS) zdravstveni delavci in zdravstveni sodelavci ter osebe, ki so jim zaradi narave njihovega dela podatki dosegljivi, dolžni kot poklicno skrivnost varovati vse, kar pri opravljanju svojega poklica ali dela zvedo o pacientu, zlasti informacije o njegovem zdravstvenem stanju, njegovih osebnih, družinskih in socialnih razmerah ter informacije v zvezi z ugotavljanjem, zdravljenjem in spremljanjem bolezni ali poškodb.
IP še pojasnjuje, da je zaradi občutljive narave posebne vrste osebnih podatkov, med katere sodijo tudi zdravstveni podatki (člen 9 Splošne uredbe o varstvu podatkov), zanje prepisano posebno varstvo. Iz še veljavnega 14. člena ZVOP-1 izhajajo tudi posebna pravila za zavarovanje tovrstnih podatkov. Prvi odstavek 14. člena ZVOP-1 tako na primer zahteva, da morajo biti občutljivi osebni podatki pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njih (razen v primeru iz 5. točke 13. člena tega zakona).
Zavod je dolžan ob evidentiranju pošte upoštevati tudi splošna pravila za varnost osebnih podatkov. Varnost osebnih podatkov se nanaša predvsem na to, kako s tehničnimi in organizacijskimi postopki ter ukrepi preprečiti, da bi osebni podatki prišli v roke nepooblaščenim osebam, se nepooblaščeno uporabljali, brisali, spreminjali ali izgubili. Več o varnosti osebnih podatkov si lahko preberete na spletnih straneh: https://upravljavec.si/zagotovite-varnost/ in https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov/ ter v smernicah IP o zavarovanju osebnih podatkov, ki so dostopne na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf.
Več o pravicah pacientov pa si lahko preberete tudi na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/pravice-pacientov.
Lepo vas pozdravljamo,
Pripravila:
Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka