Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Vabljenje na cepljenje proti COVID-19 v ZD Ljubljana

+ -
Datum: 04.05.2021
Številka: 07121-1/2021/860
Kategorije: Zdravstveni osebni podatki

Pri Informacijskem pooblaščencu (IP) smo dne 23. 4. 2021 prejeli vaše zaprosilo za mnenje o ustreznosti zbiranja osebnih podatkov v okviru prijave in vabljenja na cepljenje proti COVID-19, ki poteka pri ZD Ljubljana. Pojasnjujete, da ste prejeli elektronsko pošto z obvestilom o terminu cepljenja. Na to e-pošto ni mogoče odgovoriti, v njej pa je predlagano, da se preko povezave potrdi prihod na cepljenje. S klikom na to povezavo se odpre spletna stran »Gospodarja zdravja« (podjetje), kjer je potrebna ponovna potrditev. Po drugi potrditvi se vzpostavi dodatna povezava, kjer je tudi gumb »prijava«. V zvezi s tem, bi nekdo lahko napačno sklepal, da se mora še prijaviti in tako podjetju posredovati podatke.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

 

  1. Ker v zvezi s tem sistemom že poteka inšpekcijski nadzor, ki še ni končan, se v tem trenutku žal ne moremo konkretno izreči o ustreznosti opisanega sistema prijavljanja oziroma potrjevanja prihoda na cepljenje.

 

  1. Zgolj načelno lahko pojasnimo, da elektronska potrditev prihoda na cepljenje prek zunanje aplikacije ni sporna, če je izvajalec zdravstvene dejavnosti z zunanjim upravljavcem aplikacije v razmerju pogodbene obdelave osebnih podatkov, ki mora ustrezati zahtevam 28. člena Splošne uredbe o varstvu podatkov.

 

     Poleg tega morajo biti pri taki obdelavi osebnih podatkov spoštovana vsa splošna načela (5. člen uredbe) in splošna pravila o varstvu podatkov (npr. informiranje pacientov po 13. in 14. členu uredbe, zagotavljanje tehnične varnosti podatkov iz 32. člena uredbe, prepoved nadaljnje obdelave podatkov brez pravne podlage iz 6. ali 9. člena uredbe).

 

 

 

O b r a z l o ž i t e v:

 

Ker ste se na cepljenje že prijavili prek izbranega osebnega zdravnika ali prek aplikacije »Gospodar zdravja«, je zdravstveni dom relevantne osebne podatke v zvezi s tem že vodil, vključno za potrebe vabljenja, ki je vključevala prošnjo po neobvezujoči potrditvi prihoda. To obdelavo osebnih podatkov lahko izvaja zdravstveni dom sam ali pa jo izvaja prek zunanjega specializiranega pogodbenika, ki mora v imenu zdravstvenega doma praviloma skrbeti le za tehnične vidike delovanja informacijske rešitve. V slednjem primeru je možno, da gre za pogodbeno obdelavo podatkov, ki jo ureja 28. člen Splošne uredbe o varstvu podatkov.

 

Glede pogojev in zahtev pogodbene obdelave osebnih podatkov, informiranja posameznikov, pravnih podlag za obdelavo podatkov, zagotavljanja varnosti podatkov in splošnih načel so na naši spletni strani že dostopna nekatera mnenja in smernice.

 

IP v tem mnenju ne more konkretno presojati ustreznosti ravnanja ZD in zunanjega izvajalca, ker je to možno le v inšpekcijskem postopku. Zato vam zgolj načeloma sporočamo, da bi bilo ravnanje lahko ustrezno oziroma zakonito, če so bili v konkretnem primeru izpolnjeni zgornji pogoji.  

 

Lepo vas pozdravljamo,

 

 

Pripravil:

mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka