Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Omejitev branja podatkov pri uporabi kartice zdravstvenega zavarovanja

+ -
Datum: 09.05.2022
Številka: 07120-1/2022/146
Kategorije: Zdravstveni osebni podatki

Pri Informacijskem pooblaščencu (IP) smo dne 28. 4. 2022 prejeli vaše vprašanje o tem, ali je nujno, da so pri uporabi kartice zdravstvenega zavarovanja zaposlenim pri izvajalcih zdravstvene dejavnosti na voljo podrobnosti o zavarovanju – zaposlitev in prejemanje socialne pomoči. Menite, da bi bilo dovolj, če bi bil na voljo zgolj podatek o urejenosti zavarovanja. V praksi ste zaznali konkretne primere, ko so bili pacienti zaradi tega slabše obravnavani, zlasti pri ustni komunikaciji.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje.

 

 

V zvezi z naborom predpisanih podatkov, ki se vodijo v sistemu kartice zdravstvenega zavarovanja vam predlagamo, da se obrnete na ZZZS, ki je upravljavec sistema. Ker je primeren obseg oziroma vrsta razpoložljivih osebnih podatkov v prvi vrsti strokovno vprašanje s področja zdravstva in zdravstvene ekonomike, se IP izven konkretnih uradnih podatkov ne more spuščati v presojanje ustreznosti ureditve.

 

Ni dopustna nadaljnja uporaba sicer zakonito pridobljenih osebnih podatkov na način, ki ni skladen z namenom vodenja teh podatkov v sistemu KZZ. V primeru neprimernih komentarjev oziroma neprofesionalne komunikacije, pacientom priporočamo, da se najprej poslužijo internih pritožbenih poti po Zakonu o pacientovih pravicah. V primeru nadaljnje uporabe osebnih podatkov, ki bi pomenila obdelavo podatkov brez pravne podlage, pacientom priporočamo, da pri IP vložijo inšpekcijsko prijavo.

 

 

O b r a z l o ž i t e v:

 

Osebni podatki, ki jih vodi ZZZS so določeni z Zakonom o zdravstvenem varstvu in zdravstvenem zavarovanju (ZZVZZ). Izmed teh so podatki, ki so izvajalcem na voljo na kartici ZZ in v zalednem sistemu on-line, določeni s Pravilnikom o kartici zdravstvenega zavarovanja, profesionalni kartici in pooblastilih za branje in zapisovanje podatkov v zalednem sistemu. To pomeni, da bi bilo treba za spremembo obsega podatkov, ki so na voljo izvajalcem, verjetno spremeniti tudi pravilnik. Ali je obstoječ sistem primeren, je odvisno od vrste okoliščin, ki jih pri IP ne poznamo in jih izven uradnih postopkov ne moremo presojati, zlasti je pomembno, ali so podrobnosti glede zavarovanja pomembne za obračunavanje zdravstvenih storitev.

 

V vašem primeru gre bolj za problem neprofesionalne komunikacije s pacienti, kot za problem, da so osebni podatki v zvezi zavarovanjem na voljo zdravstvenim delavcem. Zdravstveni delavec, ki zakonito pridobi podatek iz sistema je v vsakem primeru dolžan podatek varovati tako z vidika upoštevanja pravnih podlag za njegovo morebitno nadaljnjo uporabo kot tudi z varnostnega vidika. Prav tako se je v razmerju do pacienta dolžan vzdržati komentarjev, ki lahko prizadenejo čast in dobro ime pacienta, pravico do nediskriminatorne obravnave in druge pravice pacienta. Slednja ravnanja ne spadajo v pristojnost IP. Taka sporna ravnanja se lahko rešuje prek t.i. zahteve za prvo obravnavo kršitev pacientovih pravic iz Zakona o pacientovih pravicah (ZPacP), in kasneje na drugi stopnji pri Komisiji za varstvo pacientovih pravic. Le v primeru kršitve pravil o varnosti podatkov ali nezakonitega razkritja ali druge nezakonite obdelave podatkov, bi šlo za kršitev varstva osebnih podatkov. V predstavljeni primerih ni šlo za tak primer, saj osebni podatki niso bili neposredno razkriti drugim osebam. Če bi šlo za tak primer, lahko pacient pri IP vloži inšpekcijsko prijavo. Pri tem si lahko pomaga z obrazcem »ZIN PRIJAVA«, ki je dostopen na spletni strani IP, pod zavihkom »obrazci«. Med nezakonito obdelavo osebnih podatkov spada tudi ravnanje v nasprotju z načelom omejitve namena iz 5. člena Splošne uredbe o varstvu podatkov.

 

Pojasnjujemo še, da ima pacient po petem odstavku 45. člena ZPacP pravico zahtevati izvedbo drugih (tj. poleg izrecno predpisanih) primernih in razumnih ukrepov za varstvo njegove zasebnosti pri zdravstveni obravnavi. Zasebnost je širok pojem, ki ne zajema le varstva osebnih podatkov.

 

Lepo vas pozdravljamo,

 

 

Pripravil:

mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka