Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Pridobivanje podatkov o zdravnikih preko ankete

+ -
Datum: 04.08.2022
Številka: 07121-1/2022/818
Kategorije: Društva, Posredovanje OP med upravljavci, Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Privolitev, Skupni upravljavci, Svetovni splet

Pri Informacijskem pooblaščencu (IP) smo 20. 7. 2022 prejeli vaše zaprosilo za mnenje glede pravne presoje položaja zbornice in njenih dolžnosti z vidika varstva osebnih podatkov, ki bi jih imela v zvezi s predstavljenim sodelovanjem z društvom. Postavili ste naslednja vprašanja:

  1. Ali se glede na opisano sodelovanje zbornica in društvo štejeta za skupna upravljalca?
  2. Če je odgovor na prejšnje vprašanje negativen, ali je osnutek soglasja za obdelavo podatkov in obvestila po 13. členu Splošne uredbe o varstvu podatkov, ki bi ga prejel posameznik še preden bi začel z izpolnjevanjem ankete, po presoji IP ustrezen?
  3. Ali v zvezi z opisanim načinom sodelovanja obstojijo še kakšna druga tveganja z vidika varstva osebnih podatkov, na katera bi morala biti zbornica pozorna, zlasti vas zanima:

- ali bi morebitna kršitev varstva osebnih podatkov, storjena s strani društva, vplivala na zbornico, ki bi pridobljene podatke skladno s soglasjem posameznika posredovala društvu?

- ali bi moralo društvo skladno s pridobljenim soglasjem, v kateremu je določeno, da bo zbornica pridobljene osebne podatke izbrisala najkasneje v 1 letu od pridobitve, tudi izbrisati pridobljene osebne podatke?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

Glavno merilo za obstoj skupnega upravljanja je sodelovanje dveh ali več subjektov pri določitvi namenov in sredstev dejanja obdelave. Sodelovanje je lahko v obliki skupne odločitve, ki jo sprejmeta dva ali več subjektov, ali pa temelji na sovpadajočih odločitvah dveh ali več subjektov glede namenov in sredstev obdelave. Odločitve se lahko štejejo za sovpadajoče, če se dopolnjujejo in so potrebne za obdelavo tako, da imajo oprijemljiv vpliv na določitev namenov in sredstva za obdelavo.

 

Upravljavec je odgovoren za skladnost z načeli, ki se nanašajo na obdelavo osebnih podatkov, in je to skladnost tudi zmožen dokazati.

 

O b r a z l o ž i t e v:

 

Iz vašega opisa medsebojnega sodelovanja v bistvenem izhaja, da bi zbornica na predlog društva izvedla anketo preko aplikacije, pri čemer bi na podlagi privolitve od zdravnikov, ki so samozaposleni oz. zaposleni pri zasebnih izvajalcih zdravstvene dejavnosti s koncesijo ali brez nje, zbirala podatke o imenu in priimku, ambulanti, načinu naročanja ter opredeljevanju novih pacientov. Preden bi posameznik začel izpolnjevati anketo, bi bilo prvo polje, ki bi ga moral izpolniti, soglasje za obdelavo osebnih podatkov, katerega osnutek pošiljate v prilogi. Pojasnjujete, da bi po pridobitvi zbranih podatkov zbornica le-te enkratno posredovala društvu, ki bi pridobljene podatke o zdravnikih objavilo na svoji spletni strani. Menite, da zbornica in društvo vsak za sebe štejeta za ločena upravljalca osebnih podatkov.

 

Kot ste že sami izpostavili, IP izven inšpekcijskega postopka ne more presojati konkretnih obdelav osebnih podatkov. To pomeni tudi, da IP v okviru izdaje mnenja ne more potrjevati ustreznosti konkretnih obrazcev, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava osebnih podatkov zakonita. Zato IP v zvezi z vašimi vprašanji v nadaljevanju podaja zgolj splošna pojasnila in usmeritve.

 

Sedma točka člena 4 Splošne uredbe o varstvu podatkov opredeljuje pojem upravljavca in določa, da »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice.

 

Če je v obdelavo osebnih podatkov vključen več kot en akter, lahko pride do skupnega upravljanja, kjer so obveznosti, ki bi bile sicer naložene enemu upravljavcu, ustrezno porazdeljene na dva ali več upravljavcev. Pojem skupnih upravljavcev ni novost, saj je obstajal že v skladu z Direktivo 95/46/ES. Splošna uredba o varstvu podatkov je v tem okviru konkretnejša (člen 26 Splošne uredbe o varstvu podatkov), razjasnitev tega koncepta pa je postavila predvsem sodna praksa Sodišča Evropske unije v zadevah C-131/12 (Google Spain, 13. 5. 2014), C-25/17 (Jehovan todistajat, 10. 7. 2018), C-210/16 (Wirtschaftsakademie Schleswig-Holstein GmbH, 5. 6. 2018) in C-40/17 (Fashion ID GmbH & Co. KG, 29. 7. 2019).

 

Člen 26 Splošne uredbe o varstvu podatkov v prvem odstavku določa, da sta dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s to uredbo, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz členov 13 in 14, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom Unije ali pravom države članice, ki velja za upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki.

 

Smernice EDPB 07/2020 o pojmih upravljavec in obdelovalec iz Splošne uredbe o varstvu podatkov[1] navajajo, da je vsebina termina »skupaj« v praksi lahko različna, tj. ali v obliki skupne odločitve, ki jo sprejmeta dva (ali več) akterjev, lahko pa je posledica t.i. sovpadajoče odločitve (»converging decisions«) glede namenov in sredstev obdelave. Odločitve se lahko štejejo za sovpadajoče glede namenov in sredstev, če se dopolnjujejo in so potrebne za obdelavo tako, da imajo oprijemljiv vpliv na določitev namenov in sredstva za obdelavo. Pomembno merilo pri tem je, da obdelava ne bi bila mogoča brez sodelovanja vseh strani v smislu, da je obdelava vsakega subjekta neločljivo povezana. Če take povezave ni, potem upravljavci nastopajo kot samostojni. Ob tem je treba še poudariti, da vloga samostojnega oziroma skupnega upravljavca ne izhaja iz same vrste, oblike ali narave subjekta, ki obdeluje podatke, temveč iz njegovih konkretnih dejavnosti obdelave v določenem kontekstu. Isti subjekt lahko zato deluje tudi kot samostojni upravljavec za določene dejavnosti obdelave in kot skupni upravljavec ali celo obdelovalec za druge. Prav tako je udeležba skupnih upravljavcev pri določanju namenov in načinov konkretne obdelave lahko zelo različna. Opredelitev vloge posameznega subjekta je torej odvisna od posameznih dejavnosti obdelave podatkov. Smernice EDPB tudi poudarjajo, da je vsak skupni upravljavec dolžan poskrbeti za to, da imajo pravno podlago za obdelavo in da se podatki nadalje ne obdelujejo na način, ki ni združljiv z nameni, za katere jih je upravljavec, ki izmenjuje podatke, prvotno zbral. Tipični primeri skupnih upravljavcev so skupne oglaševalske akcije, nagradne igre, promocijske aktivnosti, skupne informacijske baze, dogodki in prireditve z več organizatorji ter podobne dejavnosti.

 

Upoštevaje obrazloženo IP pripominja, da je vaša utemeljitev medsebojnih vlog zbornice in društva v konkretnem primeru neprepričljiva. Najprej je treba upoštevati, da mora imeti upravljavec za vsako obdelavo osebnih podatkov zakonito in ustrezno pravno podlago, pri čemer pomeni »obdelava« skladno z drugo točko člena 4 Splošne uredbe o varstvu podatkov vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje. Glede na to že na samem začetku manjka opredelitev, na kateri pravni podlagi bi zbornica uporabila kontaktne podatke svojih članov za pošiljanje ankete. Kot je razbrati iz vašega zaprosila, bi namreč na podlagi privolitve obdelovali podatke, šele naknadno zbrane z anketo. 

 

Nadalje je nejasno, na kateri pravni podlagi bi društvo pridobilo in javno objavilo podatke, ki bi jih s privolitvijo posameznikov, na katere se nanašajo osebni podatki, zbrala in društvu posredovala zbornica. Društvo bi namreč moralo imeti samostojno pravno podlago, ki pa je, v kolikor štejeta za ločena in samostojna upravljavca, v imenu društva ne more določati oziroma privolitve pridobivati zbornica.

 

Kot izhaja iz priloženega obrazca, bi zbornica obdelovala zbrane podatke za namen posredovanja društvu, pri čemer pa se zdi, da nadalje opredeljen namen, tj. javna objava na spletni strani društva zaradi pomoči uporabnikom spletne strani, ni določen samostojno s strani zbornice. Iz nelogične opredelitve razmerja med zbornico in društvom pa izhajajo tudi vaša nadaljnja vprašanja glede vpliva morebitne kršitve varstva osebnih podatkov, storjene s strani društva, na zbornico, ter morebitnega različnega roka hrambe osebnih podatkov za zbornico in društvo.

 

Splošna uredba o varstvu podatkov temelji na načelu odgovornosti, na podlagi katerega je upravljavec odgovoren za skladnost z načeli, ki se nanašajo na obdelavo osebnih podatkov iz člena 5, in je to skladnost tudi zmožen dokazati. Ob tem IP opozarja na naloge pooblaščene osebe za varstvo podatkov po členu 39 Splošne uredbe o varstvu podatkov, med katere sodi tudi spremljanje skladnosti (npr. analiziranje in preverjanje skladnosti privolitvenih obrazcev in obrazcev za informiranje posameznika). IP zato priporoča, da medsebojni odnos med zbornico in društvom ponovno temeljito preučite v smislu pojasnil, podanih v tem mnenju, pomagate pa si lahko tudi z zgoraj navedenimi smernicami EDPB in priporočili IP glede skupnih upravljavcev[2]. IP v okviru mnenja namreč ne more namesto zbornice presojati, ali gre v konkretnem primeru za samostojna ali skupna upravljavca. Prav tako IP dodaja, da morajo upravljavci pri izbiri načina zbiranja osebnih podatkov preko spletnih obrazcev oziroma spletnih anket poskrbeti za skladnost z določbami poglavja V Splošne uredbe o varstvu podatkov glede prenosa osebnih podatkov v tretje države, če se pri tem osebni podatki prenašajo v tretje države.

 

Lepo vas pozdravljamo,

 

Pripravila:                                                                                                                                

Tina Ivanc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

 

[1] https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_sl.

[2] https://www.ip-rs.si/dokumenti/razno/Priporocila_Informacijskega_Pooblascenca_glede_skupnih_upravljavcev_21jan2019.pdf.