Razkritje osebnih podatkov o pacientih ZIRS

Pri Informacijskem pooblaščencu (IP) smo dne 16. 4. 2021 prejeli vaše zaprosilo za mnenje o tem, kako naj zdravstveni dom ravna v primeru zaprosila Zdravstvenega inšpektorata RS (ZIRS), ki po elektronski pošti prosi, da se navedejo bolezni oziroma diagnoze in opis, zakaj oseba X spada pod točko 4. Strategije za cepljenje proti COVID-19 in enako za osebo Y, ki spada v točko 8 Strategije. Zanima vas torej, ali je zdravstveni dom te podatke dolžan posredovati oziroma ali jih sploh lahko razkrije ZIRS.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. Pri tem še dodajamo, da IP ni pristojen presojati splošnih pristojnosti oziroma pravic in obveznosti, ki jih imajo drugi inšpekcijski organi. Zato se spodnje mnenje navezuje le na področje varstva osebnih podatkov ter izven konkretnega primera.

1. ZIRS ima ustrezno pravno podlago za pridobivanje pacientovih (zdravstvenih) osebnih podatkov od izvajalcev zdravstvene dejavnosti, če so ti podatki potrebni za vodenje konkretnega inšpekcijskega ali prekrškovnega postopka.

2. Pri posredovanju zdravstvenih osebnih podatkov po e-pošti, morajo biti ti na poti šifrirani. Geslo za dešifriranje se prejemniku posreduje po ločeni poti.

O b r a z l o ž i t e v:

Za posredovanje ali pridobivanje osebnih podatkov (npr. v razmerju izvajalec – inšpektorat) mora biti podana ena izmed podlag v 6. ali 9. členu Splošne uredbe o varstvu podatkov. V konkretnem primeru sta to določbi točke (c) in (e) prvega odstavka 6. člena. Prva določa, da je obdelava osebnih podatkov (npr. pridobivanje in uporaba) dopustna, če obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca. Druga pa določa, da je obdelava osebnih podatkov dopustna, če je obdelava potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu. Če gre za posebne kategorije podatkov (npr. zdravstveni podatki), je relevantna (g) točka drugega odstavka 9. člena Splošne uredbe o varstvu podatkov. Ta določa, da je obdelava dopustna, če je potrebna iz razlogov bistvenega javnega interesa na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki.

Vse zgoraj omenjene podlage iz 6. in 9. člena Splošne uredbe o varstvu podatkov so izpeljane v slovenski nacionalni zakonodaji, in sicer:

1. v 13. členu Zakona o zdravstveni inšpekciji (ZZdrI), ki določa, da ima pri opravljanju nadzora inšpektor pravico pregledati objekte, prostore, naprave, priprave, opremo, blago, delovno okolje, snovi, opraviti zaslišanje, pregledati dokumentacijo, zapise meritev in listine, s katerimi se ugotovi istovetnost oseb, brezplačno odvzeti vzorce, opraviti meritve in druga dejanja, ki so v skladu z namenom inšpekcijskega nadzora. Pri opravljanju nadzora ima inšpektor pravico opraviti pogovor z nosilcem dejavnosti oziroma zaposlenimi z namenom zbiranja podatkov za potrebe izvajanja nadzora na posameznem področju;

2. v 19. členu Zakona o inšpekcijskem nadzoru (ZIN), ki določa, da ima inšpektor pri fizični ali pravni osebi, pri kateri opravlja inšpekcijski nadzor, pravico med drugim pregledati prostore, objekte, postroje, naprave, delovna sredstva, napeljave, predmete, blago, snovi, poslovne knjige, pogodbe, listine in druge dokumente ter poslovanje in dokumentacijo državnih organov, gospodarskih družb, zavodov, drugih organizacij in skupnosti ter zasebnikov; pregledati poslovne knjige, pogodbe, listine in druge dokumente ter poslovanje in dokumentacijo, kadar se vodijo in hranijo na elektronskem mediju ter zahtevati izdelavo njihove pisne oblike, ki mora verodostojno potrjevati elektronsko obliko; brezplačno pridobiti in uporabljati osebne in druge podatke iz uradnih evidenc in drugih zbirk podatkov, ki so potrebni za izvedbo inšpekcijskega nadzora. Pravne in fizične osebe, zoper katere se ne vodi inšpekcijski postopek, in ki razpolagajo z domnevnimi dokazi oziroma drugimi, tudi osebnimi podatki, potrebnimi za izvedbo inšpekcijskega nadzora, morajo na zahtevo inšpektorja posredovati dokaze in druge, tudi osebne podatke, oziroma morajo omogočiti zaslišanje prič za pridobitev teh dokazov ali drugih, tudi osebnih podatkov, najkasneje v treh dneh od prejema njegove zahteve;

3. v Zakonu o splošnem upravnem postopku (ZUP -a člen), ki se prav tako subsidiarno uporablja v inšpekcijskih nadzorih. Omenjeni člen določa, da »so upravljavci zbirk osebnih podatkov, ki razpolagajo s podatki, ki so potrebni za ugotovitev dejstev v zvezi z vodenjem in odločanjem v upravnem postopku, dolžni na podlagi obrazložene zahteve organa, brezplačno, najkasneje v roku 15 dni, posredovati zahtevane podatke. Zahteva mora vsebovati navedbo zahtevanih podatkov, pravno podlago za posredovanje, namen njihove uporabe in številko upravne zadeve«.

V zvezi z obveznostjo šifriranja (kriptiranja) zdravstvenih osebnih podatkov, če se ti posredujejo po e-pošti, je na spletni strani IP že na voljo več mnenj.

Lepo vas pozdravljamo,

Pripravil:

mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka