Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 09.02.2018
Naslov: Zdravstveni podatki pacientov
Številka: 0712-1/2018/250
Vsebina: Zdravstveni osebni podatki, Občutljivi OP, Zavarovanje osebnih podatkov, Vpogled v lastne OP
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je 30. 1. 2018 prejel vaše elektronsko sporočilo, s katerim ste zaprosili za odgovore na naslednja vprašanja:

  • Ali je zdravstvenim študentom in praktikantom v bolnišnicah (npr. UKC Ljubljana) dovoljeno učenje na podlagi zdravstvene zgodovine pacientov/izvidov, ko je ime in priimek pacienta znan tem študentom? Mar ni po zakonodaji dovoljeno učenje zgolj, ko identifikacija pacienta ni določljiva?
  • S kakšnim razlogom ima medicinska sestra neomejen dostop do izvidov pacienta, še posebno pa izvidov iz drugih oddelkov? Navajate, da vam je študentka zdravstvene vzgoje, kateri je diplomirana sestra kazala zdravstveno zgodovino pacientov (tudi izvide iz drugih oddelkov na UKC Ljubljana) potrdila, da se veliko študentov (med prakso) uči na zdravstvenih primerih, kjer je identifikacija pacienta znana.
  • Kako kot pacient omejim, kdo vse (od osebja) lahko pogleduje v moje informacije? Ali sem upravičen do informiranja, če je kdo dostopal do mojih zdravstvenih podatkov in pojasnila, zakaj? Ali imam pravico zahtevati omejitev dostopa do teh podatkov osebju, ki ni moj trenutni zdravnik?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 - uradno prečiščeno besedilo; v nadaljevanju ZVOP-1) ter  2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

 

IP meni, da je podana pravna podlaga, na podlagi katere se lahko dijaki in študenti v času izvajanja praktičnega pouka ter študenti med kliničnim usposabljanjem seznanijo z zdravstveno dokumentacijo pacienta, pri zdravstveni obravnavi katerega sodelujejo. Dijaki in študenti so dolžni zdravstvene podatke pacientov, s katerimi se seznanijo v času praktičnega pouka in med kliničnim usposabljanjem, varovati kot poklicno skrivnost.

 

V zvezi s seznanitvijo medicinskih sester oziroma zdravstvenih delavcev z zdravstveno dokumentacijo posameznih pacientov IP meni, da se imajo prav tako pravico seznaniti s tisto zdravstveno dokumentacijo pacientov, pri zdravljenju katerih so neposredno vključeni.

 

Uporaba in druga obdelava pacientovih zdravstvenih in drugih osebnih podatkov izven postopkov zdravstvene obravnave je  dovoljena le s privolitvijo pacienta ali privolitvijo oseb, ki imajo pravico do privolitve v medicinski poseg ali zdravstveno obravnavo, če pacient ni sposoben odločanja o sebi. Ob tem pa je potrebno upoštevati še, da lahko uporabo pacientovih zdravstvenih in drugih osebnih podatkov izven postopkov zdravstvene obravnave določa zakon. Pacient ima sicer pravico določiti osebe, ki se lahko seznanijo z njegovo zdravstveno dokumentacijo, in osebe, katerim seznanitev z njegovo zdravstveno dokumentacijo prepoveduje, če to ni v nasprotju z zakonom.

 

Beleženje dostopov mora biti takšno, da omogoča naknadno preverjanje, kdo je, kdaj in do katerih osebnih podatkov dostopal. Zakonitost lahko preverja IP v okviru inšpekcijskega postopka.

 

Konkretne presoje primera IP tudi z vidika varstva osebnih podatkov izven inšpekcijskega postopka v nobenem primeru ne more narediti.

 

1. Splošno o podlagah za obdelavo občutljivih osebnih podatkov

 

Krovni zakon, ki določa pravice, obveznosti, načela in ukrepe, s katerimi se preprečujejo neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika pri obdelavi osebnih podatkov, je ZVOP-1.

 

ZVOP-1 šteje zdravstvene podatke za občutljive osebne podatke, obdelava občutljivih osebnih podatkov pa je glede na 13. člen ZVOP-1 dopustna le v naslednjih primerih: 

  1. če je posameznik za to podal izrecno osebno privolitev, ki je praviloma pisna, v javnem sektorju pa tudi določena z zakonom;
  2. če je obdelava potrebna zaradi izpolnjevanja obveznosti in posebnih pravic upravljavca osebnih podatkov na področju zaposlovanja v skladu z zakonom, ki določa tudi ustrezna jamstva pravic posameznika;
  3. če je obdelava nujno potrebna za varovanje življenja ali telesa posameznika, na katerega se osebni podatki nanašajo, ali druge osebe, kadar posameznik, na katerega se osebni podatki nanašajo, fizično ali poslovno ni sposoben dati svoje privolitve iz 1. točke tega člena;
  4. če jih za namene zakonitih dejavnosti obdelujejo ustanove, združenja, društva, verske skupnosti, sindikati ali druge nepridobitne organizacije s političnim, filozofskim, verskim ali sindikalnim ciljem, vendar le, če se obdelava nanaša na njihove člane ali na posameznike, ki so v zvezi s temi cilji z njimi v rednem stiku, ter če se ti podatki ne posredujejo drugim posameznikom ali osebam javnega ali zasebnega sektorja brez pisne privolitve posameznika, na katerega se nanašajo;
  5. če je posameznik, na katerega se nanašajo občutljivi osebni podatki, te javno objavil brez očitnega ali izrecnega namena, da omeji namen njihove uporabe;
  6. če jih za namene zdravstvenega varstva prebivalstva in posameznikov ter vodenja ali opravljanja zdravstvenih služb obdelujejo zdravstveni delavci in zdravstveni sodelavci v skladu z zakonom;
  7. če je to potrebno zaradi uveljavljanja ali nasprotovanja pravnemu zahtevku;
  8. če tako določa drug zakon zaradi izvrševanja javnega interesa.

 

Pravne podlage za obdelavo osebnih podatkov v zdravstvu tako predstavljajo 3., 5., 6. in 7. točka 13. člena ZVOP-1. Poleg določb ZVOP-1 določajo podlage za obdelavo osebnih podatkov v zdravstvu tudi nekateri drugi zakoni (v smislu prvega odstavka 9. člena ZVOP-1), npr. Zakon o pacientovih pravicah, Zakon o zbirkah podatkov s področja zdravstvenega varstva, Zakon o zavarovalništvu, in drugi.

 

K navedenemu IP navaja še splošno določbo četrtega odstavka 24. člena ZVOP-1, v skladu s katero so  funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog, dolžnost varovanja tajnosti osebnih podatkov pa jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave. Kot izhaja iz amandmaja Odbora za notranjo politiko k Predlogu zakona o varstvu osebnih podatkov (z dne 26. 04. 2004), je bila določba vnesena v predlog zakona z utemeljitvijo, da se na podlagi pripomb Evropske komisije s predlaganima določbama o dolžnosti varovanja tajnosti osebnih podatkov s strani funkcionarjev, zaposlenih in drugih posameznikov, ki opravljajo določena dela ali naloge (npr. študenti) pri upravljavcu osebnih podatkov, pogodbenem obdelovalcu ali uporabniku, izvršuje člen 16 Direktive 95/46/ES.

 

2. Podlaga za obdelavo osebnih podatkov v obravnavanem primeru

 

V obravnavanem primeru je potrebno upoštevati določbe Zakona o zdravstveni dejavnosti (Uradni list RS, št. 23/05 – uradno prečiščeno besedilo, 15/08 – ZPacP, 23/08, 58/08 – ZZdrS-E, 77/08 – ZDZdr, 40/12 – ZUJF, 14/13, 88/16 – ZdZPZD in 64/17; v nadaljevanju: ZZDej), pa tudi Zakona o pacientovih pravicah (Uradni list RS, št. 15/08 in 55/17; v nadaljevanju: ZPacP).

 

ZZDej v 33. členu določa, da je zdravstveni zavod, ki izpolnjuje pogoje iz 32. člena tega zakona, dolžan omogočiti praktični pouk učencev in študentov. Prav tako tudi Pravilnik o pogojih, ki jih mora izpolnjevati zavod za izvajanje praktičnega pouka dijakov zdravstvenih šol in študentov visokošolskih zavodov za podelitev naziva učni zavod (Uradni list RS, št. 103/05; v nadaljevanju: Pravilnik) določa, da je učni zavod dolžan sprejemati dijake in študente ter jim omogočiti praktični pouk v skladu s sprejetim izobraževalnim programom (12. člen). Pravilnik tako med drugim določa, da morajo imeti strokovne enote v času izvajanja praktičnega pouka najmanj 10 strokovnih primerov s področja, ki je predmet praktičnega izobraževanja in usposabljanja dijakov in študentov (2. člen). Klinično usposabljanje pa ureja Pravilnik o minimalnih pogojih usposobljenosti in pridobljenih pravic za poklice zdravnik, zdravnik specialist, zdravnik splošne medicine, doktor dentalne medicine, doktor dentalne medicine specialist, diplomirana medicinska sestra, diplomirana babica in magister farmacije (Uradni list RS, št. 4/17). Gre za nadzorovano usposabljanje, ki poteka z delom na oddelkih bolnišnic ali drugih učnih zavodih.

 

Opravljanje zdravstvene dejavnosti ureja ZZDej v določbah členov 45 in 46 ter 51 do 62. V skladu s 45. členom ZZDej zdravstveni delavci in zdravstveni sodelavci opravljajo zdravstveno dejavnost v skladu s sprejeto zdravstveno doktrino in s kodeksom medicinske deontologije oziroma z drugimi strokovnimi in etičnimi kodeksi, pri opravljanju svojega dela morajo obravnavati vse ljudi pod enakimi pogoji na enak način in spoštovati njihove ustavne in zakonske pravice, edino merilo prednosti je nujnost zdravstvenega posega. ZZDej nadalje v prvem odstavku 46. člena določa, da opravlja storitve s področja osnovne zdravstvene dejavnosti osebni zdravnik s svojimi sodelavci, le-ta pa lahko napoti bolnika tudi k drugim zdravnikom (napotni zdravniki) in usklajuje njihove nasvete, vodi pa tudi bolnikovo zdravstveno dokumentacijo. Izjemoma, kadar določena kronična bolezen na podlagi strokovnih kriterijev zahteva trajen nadzor na specialistični ravni, lahko napotni zdravnik prevzame bolnika v stalno zdravstveno oskrbo, o tem pa se mora dogovoriti z bolnikovim osebnim zdravnikom, ki ga mora tudi redno obveščati o bolnikovem zdravstvenem stanju in svojih ukrepih (drugi odstavek ZZDej). K navedenemu IP še dodaja, da poklicno skrivnost za zdravnike posebej ureja Zakon o zdravniški službi (Uradni list RS, št. 72/06 – uradno prečiščeno besedilo, 15/08 – ZPacP, 58/08, 107/10 – ZPPKZ, 40/12 – ZUJF, 88/16 – ZdZPZD, 40/17 in 64/17 – ZZDej-K).

 

Glede varovanja zdravstvenih podatkov bolnikov določa ZZDej v 51. členu naslednje:

»Zdravstveni delavci in zdravstveni sodelavci so dolžni varovati kot poklicno skrivnost podatke o zdravstvenem stanju posameznika in o vzrokih, okoliščinah in posledicah tega stanja.

Podatke iz prejšnjega odstavka so dolžne varovati kot poklicno skrivnost tudi osebe, ki so jim ti podatki dosegljivi zaradi narave njihovega dela.

Podatki iz prvega odstavka tega člena se ne smejo dajati drugim ljudem oziroma javnosti in tudi ne objavljati na način, ki bi omogočal razkriti posameznika, na katerega se nanašajo. Dolžnosti varovanja poklicne skrivnosti lahko zdravstvenega delavca ali zdravstvenega sodelavca razreši prizadeta oseba sama ali sodišče, za mladoletne osebe in za osebe pod skrbništvom pa starši oziroma skrbniki.

Podatke o zdravstvenem stanju bolnika lahko daje bolnikovim ožjim sorodnikom ali skrbniku le zdravnik, ki bolnika zdravi.

V primeru premestitve ali preselitve bolnika ali če bolnik izbere drugega zdravnika, je potrebno vso pomembno zdravstveno dokumentacijo o bolniku predati zdravniku, ki nadaljuje zdravljenje.«.

 

Upoštevaje navedeno IP meni, da imajo dijaki in študenti v času izvajanja praktičnega pouka ter študenti med kliničnim usposabljanjem pravno podlago, da se seznanijo z zdravstveno dokumentacijo pacienta, pri zdravstveni obravnavi katerega sodelujejo. Dijaki in študenti so dolžni zdravstvene podatke pacientov, s katerimi se seznanijo v času izvajanja praktičnega pouka in med kliničnim usposabljanjem, varovati kot poklicno skrivnost.

 

V zvezi z seznanitvijo medicinskih sester oziroma zdravstvenih delavcev z zdravstveno dokumentacijo posameznih pacientov pa IP prav tako meni, da se imajo pravico seznaniti s tisto zdravstveno dokumentacijo pacientov, pri zdravljenju katerih so neposredno vključeni.

 

Odgovore na vaša vprašanja pa ureja tudi ZPacP. Navedeni zakon ureja seznanitev z zdravstveno dokumentacijo v določbah členov 41 in 42. ZPacP tako v šestem odstavku 41. člena določa, da imajo pravico do seznanitve s pacientovo zdravstveno dokumentacijo pod pogoji in na način, določen v prejšnjih odstavkih tega člena, osebe, ki so po zakonu ali po pooblastilu pacienta upravičene do odločanja o pacientovi zdravstveni obravnavi, ampak le kadar imajo pravico odločanja o konkretni zdravstveni obravnavi pacienta in v obsegu, ki je potreben za odločanje. Pacient in druge upravičene osebe imajo ob kršitvi določbe tega člena pravico vložiti pritožbo pri Informacijskem pooblaščencu (deseti odstavek 41. člena ZPacP).

 

ZPacP nadalje ureja tudi pravico do varstva zasebnosti in varstva osebnih podatkov v določbah členov 43 do 46. V 44. členu tako glede obdelave osebnih podatkov določa:

»(1) Pacient ima pravico do zaupnosti osebnih podatkov, vključno s podatki o obisku pri zdravniku in drugih podrobnostih o svojem zdravljenju.

(2) S pacientovimi zdravstvenimi in drugimi osebnimi podatki morajo zdravstveni delavci in zdravstveni sodelavci ravnati v skladu z načelom zaupnosti in predpisi, ki urejajo varstvo osebnih podatkov.

(3) Uporaba in druga obdelava pacientovih zdravstvenih in drugih osebnih podatkov je za potrebe zdravljenja dopustna tudi na podlagi pacientove privolitve ali privolitve oseb, ki imajo pravico do privolitve v medicinski poseg ali zdravstveno obravnavo, če pacient ni sposoben odločanja o sebi.

(4) Uporaba in druga obdelava pacientovih zdravstvenih in drugih osebnih podatkov izven postopkov zdravstvene obravnave je dovoljena le z njegovo privolitvijo ali privolitvijo oseb, ki imajo pravico do privolitve v medicinski poseg ali zdravstveno obravnavo, če pacient ni sposoben odločanja o sebi. Po pacientovi smrti lahko dajo privolitev njegovi ožji družinski člani, razen če je pacient to pisno prepovedal.

(5) Ne glede na določbo prejšnjega odstavka lahko uporabo pacientovih zdravstvenih in drugih osebnih podatkov izven postopkov zdravstvene obravnave določa zakon.

(6) Privolitev za uporabo in drugo obdelavo osebnih podatkov po tretjem in četrtem odstavku tega člena ni potrebna:

- če za namene epidemioloških in drugih raziskav, izobraževanja, medicinskih objav ali druge namene pacientova istovetnost ni ugotovljiva,

- če za namene spremljanja kakovosti in varnosti zdravstvene obravnave pacientova istovetnost ni ugotovljiva,

- kadar prijavo zdravstvenega stanja zahteva zakon,

- kadar se zaradi potreb zdravljenja podatki posredujejo drugemu izvajalcu zdravstvene dejavnosti,

- kadar to določa drug zakon.

(7) Osebni podatki, ki se obdelujejo v skladu s tretjim, četrtim in petim odstavkom tega člena, morajo biti ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo.

(8) Pacient ima pravico določiti osebe, ki se lahko seznanijo z njegovo zdravstveno dokumentacijo, in osebe, katerim seznanitev z njegovo zdravstveno dokumentacijo prepoveduje, če to ni v nasprotju z zakonom. Pravica iz tega odstavka se uresničuje na način in pod pogoji, ki jih določa 45. člen tega zakona.«.

 

V zvezi z nedovoljeno obdelavo osebnih podatkov pa ZPacP v 46. členu določa, da morajo Izvajalci zdravstvene dejavnosti vsak ugotovljen ali sporočen primer nedovoljenega sporočanja ali druge nedovoljene obdelave osebnih podatkov o pacientu, ne glede na voljo pacienta, posebej raziskati in ugotoviti morebitno odgovornost zdravstvenih delavcev, zdravstvenih sodelavcev ali drugih oseb ter primer pisno dokumentirati, o tem pa morajo obvestiti pacienta, pristojnega zastopnika pacientovih pravic in Informacijskega pooblaščenca.

 

Iz navedenih določb izhaja, da je uporaba in druga obdelava pacientovih zdravstvenih in drugih osebnih podatkov izven postopkov zdravstvene obravnave dovoljena le s privolitvijo pacienta ali privolitvijo oseb, ki imajo pravico do privolitve v medicinski poseg ali zdravstveno obravnavo, če pacient ni sposoben odločanja o sebi (četrti odstavek 44. člena ZPacP). Ob tem pa je potrebno upoštevati še, da lahko uporabo pacientovih zdravstvenih in drugih osebnih podatkov izven postopkov zdravstvene obravnave določa zakon (peti in šesti odstavek 44. člena ZPacP). Pacient ima pravico določiti osebe, ki se lahko seznanijo z njegovo zdravstveno dokumentacijo, in osebe, katerim seznanitev z njegovo zdravstveno dokumentacijo prepoveduje, če to ni v nasprotju z zakonom (osmi odstavek 44. člena ZPacP).

 

Upravljavci zbirk osebnih podatkov so dolžni osebne podatke, ki jih obdelujejo, ustrezno zavarovati. Glede na zahteve ZVOP-1 se sledljivost obdelave osebnih podatkov nanaša na širok pojem »obdelava osebnih podatkov« po definiciji iz 3. točke 6. člena ZVOP-1, kar pomeni, da je glede na tveganje in naravo podatkov, ki se bodo obdelovali, potrebno zagotoviti popolno revizijsko sled, torej tudi beleženje vsakega dostopa do podatkov. Takšno raven sledljivosti morajo zagotoviti upravljavci, ki obdelujejo npr. občutljive osebne podatke, kot so zdravstveni podatki. Beleženje dostopov mora biti takšno, da omogoča naknadno preverjanje, kdo je, kdaj in do katerih osebnih podatkov dostopal.

 

Pacientove pravice, ki jih določa 5. člen ZPacP, so torej med drugim pravica do seznanitve z zdravstveno dokumentacijo, pravica do varstva zasebnosti in varstva osebnih podatkov, pa tudi pravica do obravnave kršitev pacientovih pravic. Pacient, ki meni, da so mu bile kršene pravice, določene s tem zakonom, ima pravico do obravnave kršitev v naslednjih postopkih, ki jih ureja ta zakon:

  • prva obravnava kršitve pacientovih pravic pred pristojno osebo izvajalca zdravstvene dejavnosti na podlagi pacientove pisne ali ustne zahteve,
  • druga obravnava kršitve pacientovih pravic v postopku pred Komisijo Republike Slovenije za varstvo pacientovih pravic na podlagi pacientove pisne ali ustne zahteve (47. člen ZPacP).


V primeru, da pride do nedopustnega posredovanja osebnih podatkov osebam, ki do teh podatkov niso upravičene, t.j. posredovanja brez zakonske podlage ali podlage v privolitvi, lahko govorimo o nezakoniti obdelavi osebnih podatkov. IP je v takem primeru pristojen, da na podlagi ZInfP in ZVOP-1 zoper upravljavca osebnih podatkov izvede inšpekcijski in prekrškovni postopek ter ukrepa skladno z zakonskimi pooblastili. Podrobnejša pojasnila in obrazec v zvezi s prijavo so dostopni na spletni strani IP.[1]

 

IP je pri svojem delu že obravnaval primere glede obdelave zdravstvenih podatkov. Predlagamo vam, da se z njimi seznanite. Priporočamo vam, da si v zvezi s tem preberete npr. mnenje št. 0712-1137/2007/2.[2] IP se do zdravstvenih podatkov opredeljuje na kratko na svojih spletni straneh[3], izdal pa je tudi smernice za zavarovanje osebnih podatkov v sistemih bolnišnic z naslovom »Smernice za zavarovanje osebnih podatkov v informacijskih sistemih bolnišnic«[4] in smernice za izvajalce zdravstvenih storitev »Kako ravnati s podatki pacientov in komu jih posredovati«, ki so prav tako javno dostopne na spletnih straneh IP[5].

 

Izpostavljamo, da Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), ki bo s 25. 5. 2018 »nasledila« ZVOP-1, določa nova pravila glede varstva osebnih podatkov. Splošna uredba o varstvu podatkov postavlja enotna pravila za varstvo osebnih podatkov v EU, nekatera vsebinska in postopkovna vprašanja pa lahko posebej uredijo države članice, kar bo v Republiki Sloveniji urejano z ZVOP-2. ZVOP-2 torej lahko uredi določena vsebinska področja (v tem delu pričakujemo, da v kratkem do sprememb področnih predpisov ne bo prišlo), kot so uporaba zdravstvenih, podatkov, nekatere postopkovne vidike (npr. postopek izrekanja sankcij in pravna sredstva) ter relacijo do drugih področij in pravic (npr. dostop do javnih informacij, uporaba osebnih podatkov v znanstvene in statistične namene), ne sme pa spreminjati določb Splošne uredbe o varstvu podatkov, saj se mora uredba uporabljati neposredno.

 

S spoštovanjem!

 

 

 

 

Pripravila:

Nataša Siter, univ.dipl.prav.,

svetovalka IP

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

 

 

 

 


[1] www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vlozitev-prijave/

[2] www.ip-rs.si/varstvo-osebnih-podatkov/iskalnik-po-odlocbah-in-mnenjih/

[3] www.ip-rs.si/varstvo-osebnih-podatkov/inspekcijski-nadzor/najbolj-pogoste-krsitve/zdravstveni-podatki/

[4] www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_za_zavarovanje_OP_v_IS_bolnisnic_15022008.pdf

[5] www.ip-rs.si/fileadmin/user_upload/Pdf/brosure/Smernice_za_izvajalce_zdr._storitev_net.pdf