Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 10.03.2015
Naslov: Pošiljanje občutljivih osebnih podatkov
Številka: 0712-1/2015/686
Vsebina: Občutljivi OP, Zavarovanje osebnih podatkov, Zdravstveni osebni podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel dopolnitev vašega vprašanja, v zvezi s posredovanjem zdravniških navodil po elektronski pošti, v katerem sprašujete »če lahko zdravstvena institucija pošlje podatke brez metod za zaščito teh podatkov, če se morebitni prizadeti s tem izrecno strinja.«

 

Ker lahko avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

ZVOP-1 za posredovanje občutljivih osebnih podatkov po elektronski pošti ne dopušča možnosti, da bi se posameznik lahko odrekel varstvu, ki ga nudi zahteva za posebno zavarovanje v 2. odstavku 14. člena ZVOP-1. Kljub temu IP v praksi dopušča možnost, da se prek elektronske pošte posredujejo dokumenti, ki so šifrirani in zavarovani s posebnim geslom za odpiranje z uporabo prosto dostopne programske opreme, ki navedeno omogoča. Takšen način obdelave osebnih podatkov po našem mnenju na upravljavce ne nalaga nesorazmernega bremena za zagotavljanje varnosti pri posredovanju občutljivih osebnih podatkov.

 

Obrazložitev:

 

Uvodoma pojasnjujemo, da določbe glede zavarovanja osebnih podatkov na podlagi 14. člena ZVOP-1 zavezujejo upravljavce osebnih podatkov, v konkretnem primeru zdravstveni dom. Pojasnjujemo tudi, da je posredovanje osebnih podatkov prosilcem, ki se nanje ne nanašajo (npr. sorodnikom, organom pregona…), s strani upravljavca dopustno, ko za posredovanje obstaja podlaga v zakonu ali osebni privolitvi (8. člen ZVOP-1).

 

IP ponovno poudarja, da občutljivi osebni podatki zaradi svoje občutljive (subtilne) narave spadajo na področje, kjer je prepisano posebno varstvo. 13. člen ZVOP-1 določa osem pravnih podlag, ki dopuščajo obdelavo občutljivih osebnih podatkov. Slednje pomeni, da morajo upravljavci osebnih podatkov (v konkretnem primeru zdravstveni dom), da imajo sploh možnost obdelave takšnih podatkov, zadostiti vsaj enemu od kriterijev predvidenih v 13. členu ZVOP-1. Navedena podlaga omogoča vsebinsko obdelavo podatkov (določi kdo lahko takšne podatke obdeluje in kaj lahko z njimi počne).

 

Zaradi opisane narave občutljivih osebnih podatkov, pa iz 14. člena ZVOP-1 izhajajo tudi posebna pravila za način obdelave navedenih podatkov. 1. odstavek 14. člena zahteva, da morajo biti občutljivi osebni podatki pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njih, razen v primeru iz 5. točke 13. člena tega zakona. Drugi odstavek navedenega člena pa zaradi specifičnosti komunikacije prek telekomunikacijskih omrežij posebej ureja še prenos občutljivih osebnih podatkov prek telekomunikacijskih omrežij, kjer se šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom. Na podlagi navedenega IP pojasnjuje, da glede načina obdelave občutljivih osebnih podatkov pri prenosu le-teh prek telekomunikacijskih omrežij, zakon ne dopušča možnosti, da bi se posameznik lahko odrekel varstvu, ki ga nudi zahteva za posebno zavarovanje, saj je to tehtanje opravil zakonodajalec.

 

Čeprav gre za na videz togo in neživljenjsko stališče, je z vidika varstva posameznika razumljivo, da so strožji pogoji predpisani za komunikacijo v sistemih, ki dopuščajo večjo možnost zlorab s strani upravljavcev osebnih podatkov. Pogoji iz 2. odstavka 14. člena se nanašajo na (1) kriptiranje in (2) elektronski podpis. Zaradi zavedanja togosti ureditve IP v praksi šteje za zadostno zavarovanje in s tem tudi za izpolnitev navedenih zakonskih pogojev, če so prek elektronske pošte posredovani dokumenti, ki so predhodno obdelani s programsko opremo, ki omogoča (1) šifriranje z uporabo uveljavljenih varnih algoritmov (npr. AES 256) in (2) določanje gesel za odpiranje dokumenta. Geslo za odpiranje dokumenta mora biti na dogovorjen naslov posredovano ločeno od posredovanega dokumenta in po drugem mediju (npr. osebno), ustrezati pa mora minimalnim kriterijem za izbiro varnega gesla (npr. vsaj 6 mest itd.). Programi, ki ustrezajo navedenim zahtevam (za šifriranje in uporabo gesel) so tudi prosto dostopni na spletu, zato menimo, da takšen način obdelave osebnih podatkov, na upravljavce ne nalaga nesorazmernega bremena za zagotavljanja varnosti pri posredovanju občutljivih osebnih podatkov.  

 

IP za posredovanje zdravstvenih informacij dopušča tudi možnost telefonskega posvetovanja. Pogoji za posredovanje zdravstvenih podatkov sorodnikom po telefonu so opisani v našem neobvezujočem mnenju št. 0712-964/2007/2 (http://bit.ly/1MkrNQX).

 

Upamo, da smo vam z našimi pojasnili uspeli pomagati.

 

 

S spoštovanjem,

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka