Zavračanje e-sporočil pacientov s strani ZD

Pri Informacijskem pooblaščencu (IP) smo dne 13. 5. 2021 prejeli vaše zaprosilo za mnenje o tem, ali je ravnanje zdravstvenega doma ustrezno – ta se je namreč odločil, da e-sporočil, prejetih izven ordinacijskega časa ne bodo obravnavali in da se v času odsotnosti zdravnika elektronska pošta ne bere ter se briše. ZIRS je pristojen za nadzor po ZPacP, kjer je navedeno, da naročanje na zdravstvene storitve poteka nepretrgoma. Iz vsebine, ki je v priponki, pa izhajajo tudi druge vsebine, ne samo naročanje. Zanima vas tudi, katera institucija bi lahko ta problem uredila.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1. Na podlagi proučitve priloge ugotavljamo, da v konkretnem primeru IP ni pristojen za ukrepanje, ker odločitev izvajalca, da ne bo bral določenih e-sporočil pacientov ne predstavlja problematike s področja varstva osebnih podatkov.

2. Za kršitev varstva osebnih podatkov in s tem za pristojnost IP bi lahko šlo le v primeru, če bi bila hkrati izpolnjena pogoja:

- da je hramba vsebine predala dohodne e-pošte (inbox) po predpisih obvezna in

- da bi izvajalec določena e-poštna sporočila pacientov skupaj s prometnimi podatki, nepovratno izbrisal pred potekom predpisanega roka hrambe.

O b r a z l o ž i t e v:

1. Pristojnost IP (npr. inšpekcijski, prekrškovni in pritožbeni postopki) v zvezi z osebnimi podatki se, poenostavljeno povedano, razteza na naslednja področja:

• zagotavljanje tehnične varnosti podatkov (npr. zaščita pred uničenjem podatkov),
• zagotavljanje obdelave osebnih podatkov v skladu s pravnimi podlagami (podatki se lahko obdelujejo le, če je za to na voljo pravna podlaga v 6. ali 9. členu Splošne uredbe ali/in v nacionalni zakonodaji),
• zagotavljanje obdelave osebnih podatkov v skladu s splošnimi načeli varstva osebnih podatkov (npr. načelo omejitve shranjevanja in najmanjšega obsega podatkov),
• uresničevanje pravic posameznikov, ki se uveljavljajo na zahtevo (npr. pravica do seznanitve z lastnimi osebnimi podatki),
• spoštovanje posebnih obveznosti upravljavcev (npr. izdelava ocen učinkov, vodenje evidence dejavnosti obdelave, notifikacija kršitev, pridobitev določenih dovoljenj).

Če izvajalec zdravstvene dejavnosti vhodne pošte ne bere oziroma je ne obravnava, tako ravnanje ne spada v nobeno od omenjenih področij, zaradi česar IP v zvezi s tem ne more voditi nobenega od uradnih postopkov iz pristojnosti IP.  

V konkretnem primeru bi morda lahko šlo za kršitev Uredbe o poslovanju z uporabniki v javnem zdravstvu, in sicer v delu, ki se še uporablja (npr. 15. člen). Za nadzor nad tem predpisom IP ni pristojen.

2. Če je vodenje neke zbirke osebnih podatkov po predpisih obvezno (zbirka osebnih podatkov je lahko tudi predal dohodne e-pošte, če vsebuje osebne podatke) in še ni potekel predpisani rok hrambe, pa bi izvajalec kljub temu dokončno izbrisal ali uničil osebne podatke (prometne podatke, vsebino sporočil), bi šlo za obdelavo osebnih podatkov brez pravne podlage in s tem za kršitev varstva osebnih podatkov.

Iz priloge ne izhaja uradna informacija, da ZD vhodno e-pošto dejansko nepovratno izbriše.

Presoja zakonitosti ravnanja je na konkretni ravni je s strani IP možna le v inšpekcijskem postopku.

Lepo vas pozdravljamo,

Pripravil:

mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka