Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 18.10.2019
Naslov: Prevoz dokumentacije z osebnimi podatki in pogodbene obdelave osebnih podatkov
Številka: 0712-1/2019/2377
Vsebina: Pogodbena obdelava podatkov, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Prejeli smo vaše zaprosilo za mnenje glede prevoza zdravstvene dokumentacije iz zdravstvenih domov do vaših območnih enot (OE) in nazaj. Kot ste pojasnili navedeno storitev opravlja zasebna družba za varovanje, ki v skladu z Zakonom o zasebnem varovanju (ZZasV-1) in Pravilnikom o načinu prevoza in

varovanja gotovine ter drugih vrednostnih pošiljk razpolaga z veljavno licenco za prevoz in varovanje gotovine ter drugih vrednostnih pošiljk (npr. zdravstveni kartoni), izpolnjuje pa tudi preostale zahtevane pogoje v zvezi s posebej prirejenimi prevoznimi in tehničnimi sredstvi za zavarovanje navedenih pošiljk.

Naloga varnostnika v vašem primeru je, da prevzame kovček z zdravstveno dokumentacijo, ga odpelje in preda odgovorni osebi na drugi lokaciji. Kovček je zavarovan s kodo, varnostnik pa ni pooblaščen oziroma pod nobenim pogojem ni upravičen dostopati do zdravstvene dokumentacije in posledično občutljivih osebnih podatkov, ki so predmet prenosa. Varnostnik tudi ni seznanjen zdravstveno dokumentacijo katerih oseb prenaša, OE pa glede oddane zdravstvene dokumentacije vodi svojo evidenco, do katere varnostnik nima dostopa. Zanima vas, ali gre v navedenem primeru za pogodbeno obdelavo osebnih podatkov v skladu z GDPR?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Informacijski pooblaščenec (IP) je o ureditvi pogodbene obdelave izdal smernice, ki so na voljo na povezavi:

 

https://www.ip-rs.si/publikacije/prirocniki-in-smernice/smernice-o-pogodbeni-obdelavi/

 

 

V smernicah smo na str. 7 med primeri, ki sodijo med pogodbeno obdelavo osebnih podatkov navedli tudi » prevoz osebnih podatkov na uničenje in samo uničenje itd.« Čeprav ima določeni zunanji izvajalec storitev ustrezne licence in pooblaščeno osebje, je namreč treba upoštevati, da Splošna uredba ko obdelavo osebnih podatkov v 2. točki člena 4 definira kot pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje. V vašem primeru ne gre za prevoz dokumentacije z osebnimi podatki na uničenje, temveč za prevoz dokumentacije med zdravstvenimi zavodi in vašimi območnimi enotami, zato navedenega ne moremo šteti kot pogodbeno obdelavo osebnih podatkov, saj primarni namen te storitve ni obdelava osebnih podatkov (kot je npr. zbiranje, hramba ali uničenje), temveč je primarni namen storitve varen prevoz dokumentacije med zavezanci. Vzporednice bi lahko iskali pri ponudnikih poštnih storitev, ki jih ne štejemo za pogodbene obdelovalce.

 

Glede na navedeno menimo, da ne gre za pogodbeno obdelavo osebnih podatkov v smislu Splošne uredbe, je pa potrebno zagotoviti ustrezno varnost podatkov med prevozom, kar vključuje primerne tehnične in organizacijske ukrepe.

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka