Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Notranji vpogledi v zdravstvene osebne podatke drugih zaposlenih in ukrepanje v zvezi s tem

+ -
Datum: 08.04.2021
Številka: 07120-1/2021/168
Kategorije: Zdravstveni osebni podatki, Pravica do seznanitve z lastnimi osebnimi podatki

Pri Informacijskem pooblaščencu (IP) smo dne 6. 4. 2021 prejeli vaše zaprosilo za mnenje o tem:

  1. Ali lahko bolnišnica zaposlenemu, na podlagi spodaj navedenega obrazca, posreduje podatke o tem, kdo od zaposlenih (ime in priimek), kdaj in do katerih zdravstvenih podatkov je dostopal oziroma jih obdeloval?
  2. Ali lahko določbo 46. člena Zakona o pacientovih pravicah (ZPacP) smiselno uporabite tudi v primeru zaposlenih, ko ti sicer niso pacienti bolnišnice, so pa zavedeni v informacijskem sistemu Birpis, ker so se poslužili storitev v okviru izvajanja dejavnosti delodajalca, in se zato posledično lahko dostopa do njihovih zdravstvenih podatkov (tako podatkov o storitvah, ki so se jih poslužili v okviru izvajanja dejavnosti delodajalca, kot do podatkov v CRPP)?

 

Bolnišnica bi za zaposlene pripravila obrazec zahteve za seznanitev z vpogledi v lastne zdravstvene podatke z namenom zajezitve tveganja nepooblaščenih vpogledov v zdravstvene podatke s strani drugih zaposlenih v informacijskem sistemu Birpis, v katerem se nahajajo zdravstveni podatki zaposlenih, ki so (bili) pacienti bolnišnice oziroma so se poslužili storitev v okviru izvajanja dejavnosti delodajalca. Zato so zavedeni v sistemu, s tem pa je avtomatsko omogočen dostop tudi do njihovih zdravstvenih podatkov v CRPP.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

 

 

 

  1. V skladu z dosedanjo prakso IP, na podlagi zahteve za seznanitev z lastnimi osebnimi podatki po 15. členu Splošne uredbe o varstvu podatkov, ni mogoče pridobiti informacij o konkretnih osebah, ki so znotraj upravljavca obdelovale osebne podatke posameznika. To velja ne glede na to:

- da je posameznik zaposlen pri upravljavcu,

- do katerih sistemov in zbirk je zaposleni dostopal in

- ali je bil dostop zakonit ali nezakonit.

 

Glede vpogledov v CRPP (ki jih izvedejo zaposleni v imenu bolnišnice kot zunanje uporabnice) se mora posameznik praviloma obrniti na upravljavca – NIJZ.

 

  1. Ukrepanje po 46. členu ZPacP je potrebno v primeru, če je (domnevno) prizadeta oseba pacient. Tudi zaposleni pri izvajalcu zdravstvene dejavnosti so lahko pacienti, če so bili deležni kakršnekoli zdravstvene storitve (oskrbe) v skladu z definicijo iz ZPacP, na primer testiranje in cepljenje v zvezi s COVID-19, udeležba v raznih preventivnih zdravstvenih programih ali pregledi pri internem izvajalcu MDPŠ.

 

 

 

O b r a z l o ž i t e v:

 

  1. V podobni zadevi je IP že izdal mnenje št. 0712-1/2019/861, ki je dostopno na spletni strani IP.

 

V primeru suma nezakonite notranje obdelave osebnih podatkov lahko posameznik vloži inšpekcijsko prijavo. Pod določenimi zakonskimi pogoji (gl. ZIN in ZP-1) lahko posameznik pridobi podatke o kršitelju v inšpekcijskem oziroma prekrškovnem postopku pri IP.

 

Vpogled v podatke v CRPP se šteje kot zunanja uporaba podatkov, vendar o razkritju informacij ne more odločati izvajalec zdravstvene dejavnosti, temveč upravljavec CRPP (NIJZ).

 

Na mnenje IP ne vpliva dejstvo, da oziroma če je CRPP integriran v BIRPIS.

 

  1. Iz 2. člena ZPacP izhaja, da je pacient »bolnik ali drug uporabnik zdravstvenih storitev v odnosu do zdravstvenih delavcev in zdravstvenih sodelavcev oziroma izvajalcev zdravstvene dejavnosti ne glede na svoje zdravstveno stanje«. Zdravstvena obravnava so »medicinski in drugi posegi za preprečevanje bolezni in krepitev zdravja, diagnostiko, terapijo, rehabilitacijo in zdravstveno nego ter druge storitve oziroma postopki, ki jih izvajalci zdravstvene dejavnosti opravijo pri obravnavi pacienta«. Zdravstvene storitve so »storitve, ki jih v okviru dejavnosti izvajalcev zdravstvene dejavnosti za paciente opravljajo zdravstveni delavci in zdravstveni sodelavci«.

 

Zato je v posameznih primerih možno, da je tudi zaposlene v bolnišnici treba šteti za paciente, čeprav so bili obravnavani izven redne dejavnosti bolnišnice. Posledično je bolnišnica zavezana k ukrepanju ob zaznani nedovoljeni obdelavi osebnih podatkov teh oseb v skladu s 46. členom ZPacP.

 

IP izven inšpekcijskega postopka ni pristojen presojati, v kakšni vlogi so zaposleni nastopali pri koriščenju posameznih storitev bolnišnice.

 

Lepo vas pozdravljamo,

 

 

Pripravil:

mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka