Zahteva za seznanitev z uporabniki
+ -Številka: 07121-1/2022/685
Kategorije: Pravica do seznanitve z lastnimi osebnimi podatki, Zavarovanje osebnih podatkov, Zdravstveni osebni podatki
Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje, v katerem pojasnjujete, da je vaš znanec, ki ni zaposlen v UKC prišel do vaših zdravstvenih podatkov, ki jih hrani UKC. Zanima vas, ali je mogoče pridobiti informacijo glede tega, kdo je vpogledal v vaš zdravstveni karton, in kako preprečiti nadaljnje podobne vpoglede.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
Na podlagi 41. člena ZPacP ima vsak posameznik pravico seznaniti se z lastnimi zdravstvenimi osebnimi podatki. Izvajalec zdravstvene dejavnosti mora posamezniku omogočiti seznanitev takoj ali najpozneje pet delovnih dni po prejemu zahteve. Poleg tega ima posameznik pravico do seznanitve z lastnimi osebnimi podatki na podlagi člena 15 Splošne uredbe o varstvu podatkov, ki mu med drugim omogoča, da se lahko seznani z uporabniki ali kategorijami uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vendar je ob tem treba izpostaviti, da med uporabnike, s katerimi se lahko po členu 15 seznanite, ne sodijo zaposleni pri upravljavcu, temveč so tu mišljeni zunanji uporabniki. Svetujemo vam, da na UKC naslovite zahtevo za seznanitev z lastnimi osebnimi podatki, pri čemer pojasnite, s katerimi informacijami bi se radi seznanili (npr. lahko bi zahtevali podatek o uporabnikih, ki so v zadnjem mesecu dostopali do vaših osebnih podatkov).
O b r a z l o ž i t e v:
IP pojasnjuje, da imate po 41. členu Zakona o pacientovih pravicah (v nadaljevanju: ZpacP) pravico do seznanitve z zdravstveno dokumentacijo. Pacient ima ob prisotnosti zdravnika ali drugega zdravstvenega delavca oziroma zdravstvenega sodelavca pravico do neoviranega vpogleda in prepisa zdravstvene dokumentacije, ki se nanaša nanj. Fotokopiranje ali drugo reprodukcijo zdravstvene dokumentacije mora zagotoviti izvajalec zdravstvene dejavnosti. Verodostojno reprodukcijo slikovne dokumentacije, ki se ne hrani v elektronski obliki, je izvajalec zdravstvene dejavnosti dolžan zagotoviti, če razpolaga s tehničnimi sredstvi, ki to omogočajo. Izvajalec zdravstvene dejavnosti mora pravico do seznanitve pacientu omogočiti takoj ali najpozneje pet delovnih dni po prejemu zahteve. Pacient lahko pri istem izvajalcu zdravstvene dejavnosti vloži zahtevo največ dvakrat mesečno.
Pravico seznanitve posameznika, na katerega se nanašajo osebni podatki, ureja tudi člen 15 Splošne uredbe, ki določa, da lahko vsakdo zahteva seznanitev z lastnimi osebnimi podatki (v vašem konkretnem primeru do vpogleda dostopov do vaše zdravstvene dokumentacije) pri upravljavcu, za katerega meni, da obdeluje njegove osebne podatke (v vašem primeru je to UKC). Posameznik se lahko skladno s točko (c) člena 15 Splošne uredbe seznani z uporabniki ali kategorijami uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vendar je ob tem treba izpostaviti, da med uporabnike, s katerimi se lahko po členu 15 seznanite, ne sodijo zaposleni pri upravljavcu, temveč so tu mišljeni zunanji uporabniki. V tem primeru je rok za odločitev upravljavca na zahtevo za seznanitev z lastnimi osebnimi podatki en mesec od prejema zahteve. Upravljavec o vaši zahtevi odloči s pisnim obvestilom. Zoper molk upravljavca (tj. če posamezniku ne odgovori v enomesečnem oziroma v izjemoma podaljšanem roku) ali zoper zavrnilni odgovor upravljavca je mogoča pritožba, za reševanje katere je pristojen IP.
Predlagamo vam, da pri upravljavcu podatkov (tj. UKC) vložite zahtevo za seznanitev z uporabniki, ki so dostopali do vaših osebnih podatkov. Če vam izvajalec zdravstvene dejavnosti na vašo zahtevo v roku ne bo odgovoril ali pa vaši zahtevi ne bo ugodil, lahko na naslov IP pošljete pritožbo.
Vse potrebne informacije glede uveljavljanja pravice do seznanitve z lastnimi osebnimi podatki in (neobvezen) obrazec zahteve lahko najdete na naših spletnih straneh: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/ in https://tiodlocas.si/kako-uveljavim-svoje-pravice/.
IP na koncu tudi pojasnjuje, da je upravljavec podatkov dolžan zagotoviti, da so osebni podatki ustrezno zavarovani, kar med drugim pomeni, da mora zagotoviti, da nepooblaščene osebe ne morejo dostopati do osebnih podatkov. V primeru morebitnih razkritij osebnih podatkov tretjim nepooblaščenim osebam brez pravne podlage bi lahko šlo za kršitev določb Splošne uredbe.
V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.
Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka
Pripravila:
Neja Domnik, mag. prav.,
asistentka svetovalca pri IP