Pojasnila glede zunanjega upravljanja informacijskega sistema
+ -Številka: 07120-1/2023/107
Kategorije: Zbirke osebnih podatkov, Zdravstveni osebni podatki
Pri Informacijskem pooblaščencu (IP) smo dne 1. 3. 2023 prejeli vaše zaprosilo za mnenje glede zunanjega upravljanja informacijskega sistema ZZZS. Navajate, da je Zavod za zdravstveno zavarovanje Slovenije (ZZZS) javni zavod, ki upravlja z informacijskim sistemom, v katerem se obdelujejo osebnih podatki (vključno z zdravstveni podatki), določeni v zakonu, ki ureja področje obveznega zdravstvenega zavarovanja. ZZZS ima vzpostavljene tudi druge zbirke osebnih podatkov, ki so namenjene izvajanju obveznega zdravstvenega zavarovanja ali drugim namenom, povezanim s poslovanjem ZZZS (npr. zbirke podatkov s kadrovskega področja, zbirke prometnih podatkov, dnevniki obdelav). Na IP ste naslovili več vprašanj glede hrambe zbirk podatkov v povezavi s 23. členom ZVOP-2. Poleg tega vas zanima, ali in pod katerimi pogoji lahko ZZZS za obdelavo podatkov uporablja oblačne storitve in pod katerimi pogoji.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
1. Pri obdelavi osebnih podatkov s strani ponudnikov oblačnih storitev, morajo biti upravljavci pozorni na določbe Splošne uredbe in ZVOP-2 glede pogodbene obdelava podatkov, zagotavljanja varnosti osebnih podatkov in prenosa osebnih podatkov v tretje države. Odgovornost za skladnost obdelave podatkov nosi upravljavec in jo mora biti sposoben tudi dokazati.
2. Obveznost poznavanja lokacije podatkov izhaja že iz zahtev Splošne uredbe glede zagotavljanja varnosti podatkov in zato ni omejena le na zbirke osebnih podatkov, opredeljene v 23. členu ZVOP-2, temveč velja glede vseh obdelav podatkov ne glede na njihovo občutljivost.
3. Zbirk podatkov, ki jih opredeljujejo zakoni na področju zdravstvenega varstva in obveznega zdravstvenega zavarovanja, se na podlagi četrtega odstavka 23. člena ZVOP-2 v povezavi s prvim odstavkom 23. člena ZVOP-2, ni dopustno hraniti izven ozemlja Republike Slovenije.
O b r a z l o ž i t e v:
IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za preverjanje zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo, zato tudi ne more presojati zakonitosti obdelave konkretnih zbirk podatkov, ki jih navajate v zaprosilu za mnenje. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašimi vprašanji.
a. Splošna pojasnila glede uporabe oblačnih storitev (računalništvo v oblaku)
V zaprosilu za mnenje navajate številne zbirke osebnih podatkov in računalniške programe, s katerimi jih obdelujete. Zanima vas, ali in pod katerimi pogoji bi jih lahko hrenili v oblaku ter ali in pod katerimi pogoji bi se ti podatki lahko obdelovali v drugih državah EU/EGS oziroma tretjih državah.
IP poudarja, da v skladu z načelom odgovornosti iz drugega odstavka 5. člena Splošne uredbe odgovornost za zagotavljanje skladnosti obdelave podatkov leži na upravljavcu, ki jo mora biti zmožen tudi dokazati. Vendar pa lahko upravljavec avtonomno izbira sredstva in ukrepe, s katerimi zagotavlja skladnost.
Glede uporabe oblačnih storitev (računalništva v oblaku) vas na splošno opozarjamo na tri področja, na katera mora biti upravljavec, ki jih želi uporabiti za hrambo podatkov, pozoren:
1. pogodbena obdelava podatkov;
2. zagotavljanje varnosti osebnih podatkov;
3. prenos osebnih podatkov v tretje države.
Temeljna zahteva glede obdelave podatkov pri ponudniku oblačne storitve, ki v tem primeru prevzame funkcijo obdelovalca podatkov, je sklenitev pisne pogodbe ali drugega pravnega akta, ki vsebuje najmanj ureditev vprašanj iz tretjega odstavka 28. člena Splošne uredbe. Upravljavec je odgovoren za izbiro ustreznega obdelovalca, ki osebne podatke obdeluje v skladu z določbami Splošne uredbe in ZVOP-2.
Upravljavec mora glede na konkretne okoliščine obdelave ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, oceniti tveganje za pravice in svoboščine posameznikov in v skladu s tem sprejeti ustrezne organizacijske in tehnične ukrepe za varno obdelavo osebnih podatkov. Med drugim lahko ti ukrepi vključujejo, vendar niso omejeni na:
a. psevdonimizacijo in šifriranje osebnih podatkov;
b. zmožnost zagotavljanja stalne zaupnosti, celovitosti, dostopnosti in odpornosti sistemov in storitev za obdelavo;
c. zmožnost pravočasne povrnitve razpoložljivosti in dostopa do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
d. postopek rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.
Posebej glede prenosov v tretje države IP izpostavlja, da je za hrambo podatkov pri ponudnikih oblačnih storitev značilna odsotnost vezave podatkov na natančno opredeljeno fizično lokacijo, zato je dolžnost upravljavca, da pred pričetkom hrambe v oblaku preveri, kje natančno se bodo podatki hranili, saj bo v vseh teh primerih prišlo do obdelave osebnih podatkov. Če tovrstna obdelava poteka v izven EU oziroma EGS, gre za prenos osebnih podatkov v tretjo državo, ki je dopusten le pod pogoji iz Poglavja V Splošne uredbe. Osnovno vodilo glede prenosov osebnih podatkov v tretje države zahteva, da se raven varstva osebnih podatkov in pravni položaj posameznikov zaradi prenosa ne sme poslabšati glede na določbe Splošne uredbe.
b. Pojasnila glede posebnih varnostnih zahtev v skladu s 23. členom ZVOP-2
V zaprosilu za mnenje poleg tega prosite za mnenje glede posebnih varnostnih zahtev iz 23. člena ZVOP-2, predvsem kako vplivajo na možnost uporabe različnih storitev oblačnih storitev pri zunanjih izvajalcih. Sprašujete, ali pojem zbirke osebnih podatkov iz četrtega odstavka 23. člena ZVOP-2 vključuje vse zbirke osebnih podatkov oziroma vse dejavnosti obdelave upravljavca, ki se obdelujejo v njegovem informacijskem sistemu, ali je pojem ožji in se nanaša le na določene zbirke.
IP pojasnjuje, da je zakonodajalec v 23. členu ZVOP-2 opredelil nekatere zbirke osebnih podatkov, ki zaradi narave podatkov, ki jih vsebujejo, velikosti zbirke ali drugih lastnosti zbirke ali vsebovanih podatkov predstavljajo posebej veliko tveganje za pravice in svoboščine posameznikov, zato jih je podredil posebnim varnostnim zahtevam. Kriteriji za določitev posebej tveganih zbirk so opredeljeni v prvem odstavku 23. člena.
Vendar pa se posebne varnostne zahteve, opredeljene v tretjem in četrtem odstavku navedenega člena, ne uporabljajo za vse zbirke iz prvega odstavka: tretji odstavek je omejen glede na naravo osebnih podatkov (biometrični, zdravstveni podatki, podatki iz kazenskih evidenc), četrti odstavek pa se uporablja le za določene zbirke osebnih podatkov, ki jih opredeljujejo zakoni na določenih področjih.
Tretji odstavek 23. člena ZVOP-2 prepoveduje hrambo, pri kateri fizična lokacija podatkov ni znana v vseh fazah obdelave. Prepoved se nanaša le na zbirke osebnih podatkov iz prvega odstavka 23. člena ZVOP-2, kadar jih obdelujejo državni organi, samoupravne lokalne skupnosti, javne agencije, javni zavodi, javna podjetja, izvajalci javnih služb ali nosilci javnih pooblastil, ob dodatnem pogoju, da gre za obdelavo biometričnih podatkov, zdravstvenih podatkov ali podatkov iz kazenskih in prekrškovnih evidenc. Ob tem IP izpostavlja, da obveznost poznavanja lokacije podatkov izhaja že iz zahtev Splošne uredbe glede zagotavljanja varnosti podatkov in zato ni omejena le na zbirke osebnih podatkov, opredeljene v 23. členu ZVOP-2, temveč velja glede vseh obdelav podatkov ne glede na njihovo občutljivost.
Četrti odstavek 23. člena ZVOP-2 se ne nanaša na vse zbirke osebnih podatkov iz prvega odstavka omenjenega člena, temveč določa, da zgolj zbirk iz 1. točke prvega odstavka tega člena ni dovoljeno hraniti izven ozemlja Republike Slovenije. Zbirke osebnih podatkov (informacijski sistemi), ki jih ni dovoljeno prenašati niti v druge države Evropske unije, temveč se morajo hraniti na ozemlju Republike Slovenije, so tiste zbirke, v katerih se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo naslednja področja:
1. upravnih notranjih zadev,
2. finančne uprave,
3. državljanstva,
4. Slovenske obveščevalno-varnostne agencije,
5. obrambe,
6. zdravstvenega varstva,
7. obveznega zdravstvenega zavarovanja,
8. uveljavljanja pravic iz javnih sredstev,
9. kazenskih in prekrškovnih evidenc.
Zbirke podatkov na področju zdravstvenega zavarovanja so opredeljene na primer v 79.b členu Zakona o zdravstvenem varstvu in zdravstvenem zavarovanju[1] (evidenca o zavarovanih osebah obveznega zdravstvenega zavarovanja, evidenca o zavezancih za prispevek, evidenca o izvajalcih zdravstvene dejavnosti, evidenca o zavarovanih osebah, ki so upravičene do plačila razlike do polne vrednosti) ali v Zakonu o zbirkah podatkov s področja zdravstvenega varstva[2].
V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.
Pripravila:
dr. Pika Šarf,
Svetovalka IP za mednarodne odnose
Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka
[1] Zakon o zdravstvenem varstvu in zdravstvenem zavarovanju, Uradni list RS, št. 72/06 – uradno prečiščeno besedilo, 114/06 – ZUTPG, 91/07, 76/08, 62/10 – ZUPJS, 87/11, 40/12 – ZUJF, 21/13 – ZUTD-A, 91/13, 99/13 – ZUPJS-C, 99/13 – ZSVarPre-C, 111/13 – ZMEPIZ-1, 95/14 – ZUJF-C, 47/15 – ZZSDT, 61/17 – ZUPŠ, 64/17 – ZZDej-K, 36/19, 189/20 – ZFRO, 51/21, 159/21, 196/21 – ZDOsk, 15/22, 43/22, 100/22 – ZNUZSZS in 141/22 – ZNUNBZ.
[2] Zakon o zbirkah podatkov s področja zdravstvenega varstva, Uradni list RS, št. 65/00, 47/15, 31/18, 152/20 – ZZUOOP, 175/20 – ZIUOPDVE, 203/20 – ZIUPOPDVE, 112/21 – ZNUPZ, 196/21 – ZDOsk, 206/21 – ZDUPŠOP, 141/22 – ZNUNBZ in 18/23 – ZDU-1O).