Posredovanje podatkov iz eRCO

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje, v katerem vas zanima, ali se za posredovanje podatkov iz Registra cepljenih oseb (eRCO) podatki posredujejo tretjim oseba na podlagi določb ZVOP-1 ali na podlagi ZZPPZ. Zanima vas tudi, komu se podatki posredujejo.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Elektronski register cepljenih oseb in neželenih učinkov po cepljenju (v nadaljevanju: eRCO) je podrobneje urejen v Zakonu o zbirkah podatkov s področja zdravstvenega varstva (Uradni list RS, št. 65/00, 47/15, 31/18, 152/20 – ZZUOOP, 175/20 – ZIUOPDVE, 203/20 – ZIUPOPDVE in 112/21 – ZNUPZ; v nadaljevanju: ZZPPZ). Gre za zbirko podatkov, ki jo vodi Nacionalni inštitut za javno zdravje (v nadaljevanju: NIJZ). ZZPPZ posebej ne določa uporabnikov podatkov oziroma tretjih oseb, ki bi lahko dostopale do podatkov iz eRCO. Do podatkov iz registra bi lahko dostopale le osebe, ki imajo za to podano pravno podlago iz člena 6(1) Splošne uredbe o varstvu podatkov, ob tem pa mora biti izpolnjen tudi eden izmed pogojev iz člena 9(2), saj gre v takem primeru za obdelavo zdravstvenih osebnih podatkov, ki sodijo med posebne vrste osebnih podatkov. Pravna podlaga bi lahko bila zakonska določba, ki določeni osebi ali javnemu organu omogoča dostop do osebnih podatkov iz eRCO.

IP pa ob tem pojasnjuje, da je podatek o cepljenju razviden tudi iz Centralnega registra podatkov o pacientih (v nadaljevanju: CRPP), ki predstavlja del zbirke eZdravje. CRPP vsebuje pacientovo zdravstveno dokumentacijo in povzetek podatkov o pacientu, s tem pa med drugim tudi podatek glede cepljenja (druga točka četrtega odstavka 15.b člena ZZPPZ). Do podatkov v zbirki »povzetek podatkov o pacientih«, ki vsebuje tudi podatek o cepljenju, lahko na podlagi prvega odstavka 14.c in tretjega odstavka 14.b členov ZZPPZ dostopajo vsi izvajalci zdravstvene dejavnosti (zlasti bolnišnice, zdravstveni domovi, zasebni izvajalci zdravstvene dejavnosti), ki so po zakonu uporabniki te zbirke, vendar le, če podatke v nekem konkretnem primeru potrebujejo za izvedbo zdravstvene oskrbe pacienta, ki ga imajo v obravnavi. Dodaten zakoniti uporabnik je še ZZZS. Zakon nobenemu uporabniku ne omogoča prostega dostopa do podatkov izven zakonitih namenov, opredeljenih v 14.b členu ZZPPZ.

Upravljavec osebnih podatkov (v danem primeru NIJZ) pa je dolžan posameznikom, katerih podatke bo obdeloval, zagotoviti jasne, razumljive in pregledne informacije, kako bo osebne podatke obdeloval. Med drugim je dolžan zagotoviti informacijo o identiteti in kontaktne podatke upravljavca, o namenih obdelave podatkov, o pravnih podlagah za obdelavo in o uporabnikih ali kategorijah uporabnikov osebnih podatkov (to urejajo členi 12, 13 in 14 Splošne uredbe o varstvu podatkov). Več o pravici do informiranosti si lahko preberete na spletni strani: https://tiodlocas.si/moram-biti-obvescen/.

Splošna uredba o varstvu podatkov (in ne več ZVOP-1) v členu 15 ureja pravico posameznika do seznanitve z lastnimi osebnimi podatki. Torej, na podlagi Splošne uredbe o varstvu podatkov bi posameznik lahko zahteval seznanitev s svojimi podatki, ki jih obdeluje konkretni upravljavec (npr. NIJZ), in določene informacije v zvezi z obdelavo osebnih podatkov. Splošna uredba o varstvu podatkov pa ne določa pravne podlage, ki bi omogočala tretjim osebam, da se seznanijo z osebnimi podatki posameznika iz eRCO. Lahko pa posameznik v okviru pravice do seznanitve med drugim od upravljavca zahteva, da ga seznani z informacijo glede uporabnikov oziroma kategorij uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, ki se nanašajo na posameznika. Več o pravici do seznanitve si lahko preberete na naši spletni strani: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/ in o tem, kako jo uveljavljati: https://tiodlocas.si/kako-uveljavim-svoje-pravice/.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                                informacijska pooblaščenka

Pripravila:                                                                                                                                

Neja Domnik, mag. prav.,

asistentka svetovalca pri IP