Nedovoljena obdelava osebnih podatkov pacientov

Pri Informacijskem pooblaščencu (IP) smo 1. 3. 2023 prejeli vaše zaprosilo za mnenje glede ustreznega postopanja v primeru nedovoljene obdelave osebnih podatkov pacientov na podlagi Zakona o pacientovih pravicah. Prejeli ste obvestilo, da je prišlo do razkritja osebnih podatkov pacientov neupravičeni osebi. Zanima vas, ali ste na podlagi tega obvestila dolžni uvesti interni postopek ugotavljanja odgovornosti ter primer pisno dokumentirati v skladu s 46. členom Zakona o pacientovih pravicah, kaj je pravna podlaga za obdelavo podatkov v tem postopku in ali ste vezani na rok iz 14. člena ZVOP-2.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1. Izvedba postopka ugotavljanja odgovornosti v skladu s 46. členom ZVOP-2 ni odvisna od volje pacienta, temveč ga mora izvajalec zdravstvene dejavnosti izvesti v vsakem primeru, ko sam ugotovi, da je prišlo do nezakonitega razkritja osebnih podatkov, ali pa ga s tem dejstvom seznani nekdo drug.

2. ZPacP v 46. členu ureja sui generis postopek ugotavljanja odgovornosti za kršitve varstva osebnih podatkov. Ker ne gre za postopek odločanja o pravicah posameznikov, na katere se podatki nanašajo, izvajalci zdravstvene dejavnosti glede obveščanja posameznikov niso vezani na rok iz 14. člena Splošne uredbe.

O b r a z l o ž i t e v:

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

V skladu s 46. členom Zakona o pacientovih pravicah (Uradni list RS, št. 15/08, 55/17, 177/20 in 100/22 – ZNUZSZS, v nadaljevanju: ZPacP) morajo izvajalci zdravstvene dejavnosti raziskati vsak ugotovljen ali sporočen primer nedovoljenega sporočanja ali druge nedovoljene obdelave osebnih podatkov o pacientu in ugotoviti morebitno odgovornost zdravstvenih delavcev, zdravstvenih sodelavcev ali drugih oseb ter primer pisno dokumentirati. Izvedba postopka ugotavljanja odgovornosti ni odvisna od volje pacienta, temveč ga mora izvajalec zdravstvene dejavnosti izvesti v vsakem primeru, ko sam ugotovi, da je prišlo do nezakonitega razkritja osebnih podatkov, ali pa ga s tem dejstvom seznani nekdo drug (lahko tudi pacient ali njegov svojec).

V primeru, ki ga navajate v zaprosilu za mnenje, ste bili s strani pacientovih svojcev obveščeni, da je domnevno prišlo do neupravičenega razkritja osebnih podatkov dveh pacientov. Na podlagi prejetega obvestila morate raziskati okoliščine dogodka, ugotoviti morebitno odgovornost zdravstvenih delavcev, zdravstvenih sodelavcev ali drugih vpletenih oseb, ter primer pisno dokumentirati. O zaključkih tega postopka in morebitni ugotovljeni odgovornosti ste dolžni obvestiti pacienta, pristojnega zastopnika pacientovih pravic in Informacijskega pooblaščenca.

Pravno podlago za obdelavo osebnih podatkov v internem postopku ugotavljanja odgovornosti za nedovoljeno obdelavo podatkov predstavlja 46. člen ZPacP, saj gre za zakonsko obveznost, ki velja za upravljavca v smislu 6(1)(c) člena Splošne uredbe.

Glede vezanosti na rok iz 14. člena ZVOP-2 IP pojasnjuje, da navedeni člen ureja poenostavljeni postopek obveščanja posameznikov v javnem in zasebnem sektorju, ki niso državni organi ali organi samoupravne lokalne skupnosti glede uveljavljanja pravic posameznikov na področju varstva osebnih podatkov. Kadarkoli takšen upravljavec obravnava zahtevke posameznika iz 15. do 22. člena Splošne uredbe in druge zahtevke posameznika s področja varstva osebnih podatkov, dostopa do osebnih podatkov, njihovega pridobivanja in obdelave po tem ali drugem zakonu, mora posameznika seznaniti z odločitvijo v roku iz Splošne uredbe.

ZPacP v 46. členu ureja sui generis postopek ugotavljanja odgovornosti za kršitve varstva osebnih podatkov, ki ga izvedejo izvajalci zdravstvene dejavnosti v primeru, da se seznanijo s primerom domnevne nedovoljene obdelave osebnih podatkov pacientov, ne pa postopka odločanja o pravicah posameznikov, na katere se podatki nanašajo. IP zato meni, da ne gre za postopek odločanja o drugih zahtevkih posameznika s področja varstva osebnih podatkov, dostopa do osebnih podatkov, njihovega pridobivanja in obdelave po tem ali drugem zakonu v skladu s 14. členom ZVOP-2, zato izvajalci zdravstvene dejavnosti glede obveščanja posameznikov o postopkih po 46. členu ZPacP niso vezani na navedeni rok iz Splošne uredbe.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila:

dr. Pika Šarf,

Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka