Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 20.12.2017
Naslov: Omara za shranjevanje zdravstvenih datotek
Številka: 0712-1/2017/2507
Vsebina: Zavarovanje osebnih podatkov, Zdravstveni osebni podatki, Občutljivi OP
Pravni akt: Mnenje

Spoštovani,

 

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše elektronsko sporočilo, v katerem vas zanima, ali obstajajo kakšna posebna zakonska določila glede vrste omar za shranjevanje zdravstvenih kartotek. Namreč, obnavljate zobozdravstveno ambulanto in bi radi zamenjali stare omare z novimi, po meri narejenimi lesenimi omarami, ki se lahko zaklepajo.

 

V nadaljevanju vam na podlagi predstavljenega dejanskega stanja ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/2007 – uradno prečiščeno besedilo; v nadaljevanju ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/2005 in 51/2007-ZUstS) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP svetuje ognjevarno in protivlomno omaro za shranjevanje občutljivih zdravstvenih osebnih podatkov. Ne glede na to, je tudi lesena omara lahko zadovoljiv ukrep za varovanje zdravstvenih osebnih podatkov, vendar pod pogojem, da obstajajo ustrezni dodatni drugi ukrepi zavarovanja osebnih podatkov in so že prostori ambulante ustrezno tehnično varovani skladno s 24. členom ZVOP-1 (na primer pred požari, vlomi, izlivi tekočin in drugimi nevarnimi tveganji). Pomembno je tudi, da se zagotovijo ustrezni ukrepi, da omara ni prosto in nenadzorovano dostopna nepooblaščenim osebam.

 

 

Obrazložitev:

 

 

Osebni podatki, ki jih vsebuje zobozdravstvena kartoteka, spadajo med t.i. občutljive osebne podatke, za katere velja strožji režim njihove obdelave in ukrepov za njihovo zavarovanje. Zato 1. odstavek 14. člena ZVOP-1 določa, da morajo biti občutljivi osebni podatki pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njih. Na pomen zdravstvene dokumentacije kaže tudi zahteva Zakona o zbirkah podatkov s področja zdravstvenega varstva (Uradni list RS, št. 65/00; v nadaljevanju ZZPPZ) po trajni hrambi.

 

ZVOP-1 v 24. členu zahteva od upravljavcev osebnih podatkov izvedbo organizacijskih, tehničnih in logično-tehničnih postopkov in ukrepov, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov, kar se zagotavlja med drugim tudi z varovanjem prostorov in opreme. Podrobnejših postopkov in ukrepov ZVOP-1, kot splošen in sistemski zakon, ne določa, saj so ti odvisni od različnih okoliščin v katerih se osebni podatki v praksi obdelujejo. Tudi ZZPPZ ne opredeljuje tehničnih in organizacijskih ukrepov za zavarovanje podatkov v zbirkah podatkov. Pravilnik o tehničnih in organizacijskih ukrepih za zavarovanje podatkov v zbirkah podatkov, ki naj bi na podlagi ZZPPZ podrobneje uredil to materijo, pa po našem vedenju še ni bil sprejet.

 

Nadalje, ZVOP-1 v 25. členu določa, da mora vsak upravljavec osebnih podatkov v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov ter določiti osebe, ki so odgovorne za določene zbirke osebnih podatkov in njihovo obdelavo, a ne določa natančne vsebine notranjega akta - pravilnika. 

 

 

Glede tehničnega zavarovanja dokumentov z občutljivimi osebnimi podatki ZVOP-1 sicer ne predpisuje določenih minimalnih tehničnih standardov, morajo pa biti ti dokumenti ustrezno varovani glede na tveganje, ki ga predstavlja obdelava in narava teh osebnih podatkov, ki se obdelujejo, ter morajo biti ustrezno varovani glede na konkretne okoliščine delovnega procesa v vaši zobozdravstveni ordinaciji. Navkljub temu, da ni nikjer izrecno določeno, v kakšnih omarah naj se shranjuje občutljive zdravstvene osebne podatke, IP meni, da je, glede na občutljivost in pomen teh podatkov, takšne dokumente priporočljivo hraniti v zaklenjenih ognjevarnih omarah. V kolikor so stavba, kjer se nahaja vaša zobozdravstvena ambulanta, in sami prostori ambulante že kot taki zadovoljivo tehnično varovani pred požarom in vlomom in morebitnimi drugimi tveganji in obstajajo drugi ukrepi zavarovanja, potem dodatni ukrepi znotraj ordinacije praviloma niso potrebni. To pomeni, da bi v takšnem primeru zadostovala tudi lesena omara, ki jo omenjate v vašem elektronskem sporočilu. Ne glede na to, ali gre za kovinsko ognjevarno omaro ali leseno omaro, pa je zelo pomembno, da takšna omara ni prosto in nenadzorovano dostopna nepooblaščenim osebam - pacientom ali tretjim osebam.

 

V konkretnem primeru IP nima dovolj informacij o organizacijskih, tehničnih in logično-tehničnih ukrepih in postopkih v vaši ambulanti, da bi lahko podal enoznačen odgovor, saj lahko o tem dokončno presoja zgolj v okviru inšpekcijskega postopka. Glede na vaše vprašanje IP svetuje ognjevarno in protivlomno omaro za shranjevanje občutljivih zdravstvenih osebnih podatkov. Ne glede na to, je tudi lesena omara lahko zadovoljiv ukrep za varovanje zdravstvenih osebnih podatkov, vendar pod pogojem, da so že prostori ambulante z drugimi ukrepi ustrezno tehnično varovani (na primer pred požari, vlomi, izlivi tekočin in drugimi nevarnimi tveganji). IP še dodaja, da je za same prostore, kjer se takšni osebni podatki nahajajo, priporočljivo zagotoviti tudi varovanje z videonadzornim sistemom, alarmno napravo ter protipožarno zaščito.

 

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka