Šifriranje napotnice za preventivni zdravstveni pregled ter spričevala izvajalca medicine dela

Pri Informacijskem pooblaščencu (IP) smo dne 19. 7. 2023 prejeli vaše zaprosilo za mnenje o tem, ali mora biti:

-      napotnica za opravljanje predhodnega preventivnega zdravstvenega pregleda, ki jo delodajalec po e-pošti pošlje izvajalcu medicine dela, in

-      zdravniško spričevalo, ki ga izvajalec medicine dela po e-pošti pošlje delodajalcu

posredovano šifrirano.

Pri tem omenjate 32. člen Splošne uredbe o varstvu podatkov in 23. člen Zakona o varstvu osebnih podatkov (ZVOP-2).   

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena ZVOP-2, 58. členom Splošne uredbe o varstvu podatkov, 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Pojasnjujemo še, da se do konkretnih primerov obdelav osebnih podatkov IP lahko dokončno opredeljuje le v nadzornih postopkih.

Po mnenju IP pri posredovanju napotnic za obdobni preventivni zdravstveni pregled delavca prek e-pošte, načeloma ni nujno potrebno šifriranje vsebine napotnic, če te ne vsebujejo dodatnih podatkov o zdravstvenem stanju, na primer invalidnost, posebne zdravstvene zahteve, posebni delovni pogoji in delovna anamneza, na podlagi katere je možno sklepati na zdravstveno stanje.

Po mnenju IP je pri posredovanju napotnic za usmerjeni zdravstveni pregled in zdravniških spričeval na glede na vrsto pregleda, načeloma potrebno šifriranje vsebine e-pošte.

O b r a z l o ž i t e v:

Glede na široko definicijo podatkov o zdravstvenem stanju v prvem odstavku 34. člena Zakona o pacientovih pravicah (ZPacP) in v 15. točki 4. člena Splošne uredbe o varstvu podatkov, so podatki o zdravstvenem stanju tudi podatki o vrsti načrtovane ali vrsti izvedene zdravstvene storitve pri določnem izvajalcu zdravstvene dejavnosti. Sem spadajo tudi preventivni zdravstveni pregledi delavcev pri izvajalcih medicine dele (dejstvo načrtovan ali izvedene storitve, vrsta storitve, datum, izvajalec). Podatki o zdravstvenem stanju so tudi rezultati pregleda (ne glede na vsebino), posebni pogoji oziroma omejitve ter lahko tudi navedbe, ki jih na napotnico napiše delodajalec, pri čemer te navedbe neposredno ali posredno nakazujejo na zdravstveno stanje delavca. 

Novi ZVOP-2, za razlilo od starega ZVOP-1, ne določa izrecne zahteve po šifriranju elektronske pošte, ki vsebuje zdravstvene podatke ali ki vsebuje posebne kategorije podatkov. Vendar Splošna uredba v prvem odstavku 32. člena med primeroma naštetimi ukrepi za varnost obdelave osebnih podatkov, določa tudi šifriranje osebnih podatkov. Tu ne gre za absolutno zahtevo, ki bi prišla v poštev v vseh primerih obdelav in za vse vrste osebnih podatkov, pač pa mora vsak upravljavec za vsek konkretni primer presoditi, ali je to ustrezen ukrep za zagotavljanje varnosti. Pri tem mora upoštevati tehnološki razvoj (tehnične možnosti), stroške, obseg obdelave, namene obdelave in nasploh konkretne okoliščine pri obdelavi, zlasti pa možna tveganja za izgubo, nepooblaščeno spreminjanje ter nepooblaščen dostop do podatkov. 

Glede na zgoraj navedeno, so pri posredovanju napotnic – če te ne vsebujejo dodatnih zdravstvenih podatkov (gl. primere v mnenju), poleg golega dejstva, da je delavec napoten na prvi ali obdobni preventivni zdravstveni pregled – tveganja za razkritje posebej subtilnih zdravstvenih podatkov majhne. Gre namreč le za podatek o napotitvi (vrsta storitve, izvajalec in približen čas), ki velja kot obveznost za vsakega delavca pri kateremkoli delodajalcu in zato o konkretnem delavcu praviloma ne razkrije nič več, kar ne bi bilo možno logično sklepati brez napotnice. Zato šifriranje načeloma ni nujno potrebno.

Toda, če napotnica vsebuje dodatne zdravstvene podatke – kar je možno tako v primeru obdobnega pregleda, praviloma pa v primeru usmerjenih pregledov – je načeloma potrebno šifriranje. Seveda enako velja za pošiljanje zdravstvenih spričeval s strani izvajalca delodajalcu.

Dokončnega odgovora vam ne moremo podati, ker je odvisen od konkretnih okoliščin konkretnega primera. Zgolj načeloma ocenjujemo, da so za šifriranje v vašem primeru lahko podani utemeljeni razlogi, ker gre za zdravstvene podatke, ker je šifriranje dostopno in relativno enostavno izvedljivo (zlasti pri rednih komunikacijah z določenim izvajalcem), ker je obseg napotitev v vašem primeru precejšen, ker je šifriranje zelo učinkovita metoda za preprečitev hudih posledic varnostnih dogodkov, ker je treba upoštevati tudi nevarnost, da napotnico prejme napačen naslovnik in podobno.

Lepo vas pozdravljamo,

Pripravil:

dr. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka