Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Raziskovalni projekt PaRIS

+ -
Datum: 29.10.2021
Številka: 07120-1/2021/551
Kategorije: Privolitev, Statistika in raziskovanje

Pri Informacijskem pooblaščencu (IP) smo dne 22. 10. 2021 prejeli vaše vprašanje o ustreznosti predvidene obdelave osebnih podatkov v okviru mednarodnega raziskovalnega projekta PaRIS »Izkušnje in izidi obravnave bolnikov s kroničnimi stanji v osnovnem zdravstvenem varstvu«. Priložili ste privolitveno izjavo za zdravnike, privolitveno izjavo za paciente, program dela, oceno učinkov raziskave na varstvo podatkov, pojasnila za paciente, dopis za zdravnike, soglasje komisije za medicinsko etiko, anketni vprašalnik za samo raziskavo in anketni vprašalnik za zdravnike. Sodelujočih subjektov je več, z vidika varstva osebnih podatkov pa je pomembno, da bodo ambulante družinske medicine izbrale paciente po določenih merilih, ti pa bodo podali privolitev za obdelavo odgovorov na vprašanja iz ankete ter s temi povezane osnovne podatke o pacientih. V določeni fazi bodo podatki psevdonimizirani, rezultati pa povsem anonimizirani.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

V nadaljevanju se opredeljujemo le do vprašanja pravnih podlag in s tem povezanih obveznosti udeležencev raziskave. Poleg tega pojasnjujemo, da IP ne daje konkretnih mnenj na interne akte upravljavcev, in da je dokončna presoja možna le v inšpekcijskem postopku.

 

 

Na podlagi pregleda priloženega gradiva in ob navezovanju na naše mnenje št. 07120-1/2021/14, z dne 29. 3. 2021 ugotavljamo naslednje pomanjkljivosti:

 

  1. V gradivu je neskladje glede tega, kdo bo izbranim pacientom poslal gradivo (anketne vprašalnike, pojasnila, privolitveni obrazec). Poleg tega za posredovanje seznama izbranih pacientov s strani ambulante držinske medicine raziskovalni organizaciji ni videti pravne podlage.

 

Brez privolitve je dopustno narediti izbor pacientov ter tem poslati vabilo in drugo pisno gradivo, če bi to izvedle ambulante DM za raziskovalno organizacijo. V priloženem gradivu pa je navedeno, da naj bi ambulante DM poslale raziskovalni organizaciji pripravljene poimenske sezname pacientov skupaj s kontaktnimi podatki; raziskovalna organizacija pa bi potem pošiljala gradiva pacientom. Za pridobitev seznama pacientov s strani raziskovalne organizacije – v fazi pred privolitvijo – ni pravne podlage in je zato tako posredovanje nedopustno. Seznam pacientov lahko raziskovlana organizacija pridobi le, če bodo pacienti v razkritje osebnega imena in kontaktnih podatkov privolili, torej šele v drugi fazi.

 

Zato vam predlagamo:

  • da vabljenje in pošiljanje gradiva pacientom izvedejo ambulante DM oziroma izvajalci zdravstvene dejavnosti, kjer te ambulante delujejo. Temu primerno je treba spremeniti tudi vsebino gradiv;
  • da paciente zaprosite za privolitev, če menite, da raziskovalna organizacija nujno potrebuje poimenski seznam pacientov s kontaktnimi podatki. V tem primeru morajo biti pojasnila za paciente ustrezno dopolnjena z navedbo o tem, kateri konkretni podatki se posredujejo, kdo jih posreduje (pacient ali ambulanta DM), komu in za kakšen namen, ter katerim sodelujočim organizacijam bodo podatki dostopni.

 

  1. Privolitvena izjava se izrecno ne navezuje na pojasnila za paciente.

 

Pacient mora prejeti pojasnila o obdelavi osebnih podatkov po 13. členu Splošne uredbe o varstvu podatkov. Ker ste pripravili pojasnila ločeno od privolitvene izjave, v tej pa pojasnila niso niti omenjena, pacient ne ve, v kaj privoli oziroma, katero od gradiv vsebuje obvezna pojasnila v zvezi s privolitvijo.

 

Zato vam predlagamo:

  • da v privolitveni izjavi jasno navedete zvezo s pojasnili ali
  • da pojasnila vključite oziroma združite s privolitveno izjavo.

 

  1. Pojasnila za paciente nimajo vseh obveznih elementov iz 13. člena Splošne uredbe o varstvu podatkov.

 

V pojasnilih za paciente manjkajo najmanj informacije:

  • o tem, kateri so »neposredni identifikatorji« in »demografski podatki«,
  • o tem, kako in v kateri fazi bodo podatki psevdonimizirani,
  • o osebi, ki je pooblaščena za varstvo osebnih podatkov (»DPO«) pri upravljavcu,
  • o času hrambe podatkov in dokumentov (gl. a. točka drugega odstavka 13. člena),
  • o pravicah, ki jih ima posameznik (gl. b. in d. točka drugega odstavka 13. člena),
  • o morebitnem avtomatiziranem odločanju in o morebitnem iznosu podatkov v tretje države,
  • o tem, katera konkretna organizacija nastopa kot upravljavec (ali katere organizacije so skupni upravljavci po 26. členu Splošne uredbe),
  • o tem, katera konkretna organizacija nastopa kot pogodbeni obdelovalec po 28. členu Splošne uredbe,
  • o tem, katera konkretna organizacija nastopa le kot zunanji uporabnik podatkov,
  • o poti osebnih podatkov, tj. kdo in kaj posreduje, komu ter zakaj.

 

Iz pojasnil za paciente ni jasno razvidno, kakšne so konkretne vloge posameznih udeleženih organizacij pri obdelavi osebnih podatkov/dokumentov (te so MZ, NIJZ, ZD LJ, UL MF, UM, v tujini IPSOS MORI, konzorcij in OECD) in kakšna je predvidena pot osebnih oz. psevdonimiziranih podatkov. Še več, za ZD LJ, NIJZ in UL MF so deloma navedene enake naloge, čeprav iz drugega gradiva to ne izhaja. Govora je tudi o raziskovalni ekipi, ni pa jasno, iz katerih organizacij prihajajo.

 

Brez, da so pacientu jasno predstavljene zgoraj naštete informacije ter naloge in razmerja med številnimi udeležnimi organizacijami glede osebnih oz. psevdonimiziranih podatkov, privolitev ne more biti veljavna, saj pacient ne ve, v kakšno obdelavo podatkov privoli. Iz prvega odstavka 12. člena Splošne uredbe morajo biti te informacije podane »v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku«.

 

Če določene organizacije sploh ne bodo obdelovale podatkov (npr. financer), jih v pojasnilih ni treba navajati.

 

  1. Določena organizacija ne more biti glede iste obdelave podatkov hkrati upravljavec in pogodbeni obdelovalec podatkov in uporabnik podatkov.

 

Zato vam predlagamo, da najprej ugotovite, kakšne so vloge in naloge MZ, NIJZ, ZD LJ, UL MF, UM in organizacij v tujini. Upravljavec je tisti, ki določa namene in metode obdelave podatkov, tj. tisti, ki izvaja temeljna opravila obdelave osebnih podatkov, odloča o njihovi obdelavi, ima »oblast« nad obdelavo (dostop, uporaba, hramba, uničenje, posredovanje podatkov…) in nosi temeljno odgovornost. Teh je lahko tudi več (26. člen Splošne uredbe). Uporabnik je organizacija, ki na podlagi privolitve prejme osebne (psevdonimizirane) podatke in jih uporablja za nek lasten namen (posledično postane tudi upravljavec, vendar na svojem področju). Pogodbeni obdelovalec je organizacija, ki v skladu s pogodbo (28. člen Splošne uredbe) izvaja določeno obdelavo osebnih podatkov za oziroma v imenu upravljavca, ter nima samostojne podlage za obdelavo osebnih podatkov za lasten namen.

 

Po razjasnitvi zgornjega vprašanja je treba spremeniti besedila gradiv, zlasti pojasnila za paciente ter skleniti ustrezne pogodbe, če je to potrebno.

 

  1. V pojasnilih je navedena napačna pravna podlaga za obdelavo osebnih podatkov.

 

Podlaga za obdelavo osebnih podatkov s strani raziskovalne organizacije ne bo (b) in (e) točka 6. člena ter (j) točka drugega odstavka 9. člena Splošne uredbe, temveč le privolitev, tj. (a) točka drugega odstavka 9. člena in (a) točka prvega odstavka 6. člena Splošne uredbe.

 

V skladu s tem predlagamo, da ustrezno spremenite pojasnila za paciente.  

 

  1. Privolitvena izjava za zdravnike nima potrebnih informacij glede obdelave osebnih podatkov in se ne razlikuje od privolitvene izjave za paciente.

 

Privolitveno izjavo za zdravnike je treba dopolniti s podatki o tem, kateri konkretni podatki ali dokumenti so predmet privolitve ter jo dopolniti smiselno enako kot je pojasnjeno v tretji točki zgoraj.

 

Še prej je treba ugotoviti, ali se »demografski podatki« nanašajo na paciente ali na zdravnike, ter v pojasnilih ali na izjavi ustrezno obrazložiti, kateri podatki to so.

 

Prav tako ni jasno, na katere zdravnike se nanaša izjava – raziskovalce, ambulantne zdravnike ali tretje udeležence.

 

Poleg tega pojasnila za zdravnike vsebujejo navedbe o psevdonimiziranih podatkih, pri čemer ni jasno kateri podatki to so in kaj se z njimi počne ter kdo jih obdeluje. Če se bodo obdelovali tudi osebni podatki zdravnikov DM, morajo ti prejeti smiselno enaka pojasnila kot pacienti. Ne morejo pa biti pojasnila za zdravnike enaka kot za paciente, saj imajo v raziskavi povsem drugačno vlogo in se njihovi podatki obdelujejo za drug namen in na drug način, zlasti pa gre za različne podatke. 

 

Glede predložene ocene učinkov boste prejeli ločeno mnenje.

 

Lepo vas pozdravljamo,

 

Pripravil:

mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka