Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 04.11.2019
Naslov: Vodenje zasebnega registra redkih genetskih bolezni
Številka: 0712-1/2019/2371
Vsebina: Ocene učinkov v zvezi z varstvom podatkov , Posebne vrste, Vgrajeno in privzeto varstvo podatkov
Pravni akt: Mnenje

pri Informacijskem pooblaščencu (IP) smo dne 8. 10. 2019 prejeli vaše zaprosilo za mnenje o tem, ali in kako zagotoviti zakonitost zbiranja podatkov o redkih genetskih bolezni. Podatke bi zbirali v okviru društva in sicer preko spletne strani. Zbirali bi naslednje podatke:

1. Podatki o obolelemu: ime in priimek; spol; datum rojstva, občina prebivališča,

2. Vitalni status: živ (D/N); datum smrti,

3. Diagnostične kode (glavna diagnoza): Orpha koda bolezni in ime bolezni,

4. Značilnosti (glavna diagnoza): tekstovni opis diagnoze in starost ob diagnozi,

5. Kontaktni podatki: e-naslov, telefon in ime kontaktne osebe.

Vpis podatkov bi bil popolnoma prostovoljen, vodstvo društva, ki bi imelo stik z osebnimi podatki, pa se bo zavezalo k zaupnosti.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

Mnenje je splošno, ker lahko zakonitost zbiranja osebnih podatkov na konkretni ravni presojamo le v inšpekcijskem postopku in ker so privolitev (oblika, vsebina…) in varnostni ukrepi odvisni od konkretnih okoliščin primera, ki jih ne poznamo.

 

 

1. Zbiranje zdravstvenih podatkov v okviru društvene (zasebne) zbirke osebnih podatkov je dopustno le na podlagi posameznikove pisne privolitve, ki mora izpolnjevati vse predpisane pogoje za veljavnost.

 

2. Če bodo nekatere osebe vpisovale podatke tudi za njihove svojce, morajo od svojcev predhodno pridobiti privolitev.

 

3. Vpisovanje zdravstvenih osebnih podatkov prek spletne strani je sicer dopustno, vendar mora biti izmenjava podatkov prek spletne strani šifrirana (HTTPS komunikacijski protokol).

 

4. Poleg ukrepa iz prejšnje točke mora upravljavec zagotoviti vse druge ukrepe za varnost osebnih podatkov, ki so glede na okoliščine konkretnega primera možne in primerne. 

 

5. Glede na vaše navedbe pa opozarjamo, da bi bilo smiselno v tem primeru narediti predhodno tudi oceno učinka v zvezi z varstvom podatkov, saj gre, kolikor je razumeti, za sistematično zbiranje posebnih vrst podatkov, kjer so lahko tveganja v primeru napak ali zlorab velika (konkretno podatkov v zvezi z zdravjem). Seznam primerov, ko je takšna ocena tudi obvezna na podlagi 35. člena Splošne uredbe je na voljo na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf .

 

 

O b r a z l o ž i t e v:

 

V zvezi s privolitvijo je na naši spletni strani že dostopnih več mnenj. V iskalniku si lahko ogledate mnenja s področja »privolitve« in »zavarovanja osebnih podatkov« ločeno za obdobje do začetka veljavnosti Splošne uredbe in za obdobje po začetku veljavnosti Splošne uredbe.

 

Na naslednjih povezavah so na voljo tudi smernice, ki lahko pridejo v poštev:  

 

(gre za splošne smernice, ki se tičejo tehnične oziroma organizacijske varnosti, ki jih mora zagotavljati vsak upravljavec)

 

(te smernice pridejo v poštev, če bi se podatki shranjevali v računalniškem oblaku)

 

(te smernice lahko pridejo v poštev, ker naj bi se v konkretnem primeru podatki zbirali prek spletne strani)

 

(v konkretnem primeru so namreč verjetno izpolnjeni pogoji za obvezno izvedbo predhodne ocene učinkov).

 

V zvezi s privolitvijo pojasnjujemo, da je treba upoštevati zlasti naslednje dele Splošne uredbe o varstvu podatkov:

  • 11. točka člena 4,
  • člen 7,
  • (a) točka prvega odstavka člena 6,
  • (a) točka  drugega odstavka člena 9,
  • člen 13,
  • uvodni recitali 32, 42 in 43.

Predlagamo vam tudi proučitev pojasnil na naslednji povezavi: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/.

Glede tehnične varnosti je treba upoštevati zlasti 24. in 14. člen ZVOP-1 ter člen 32 Splošne uredbe o varstvu podatkov.

Prijazen pozdrav,

 

 

Pripravil:
mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

 

 

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka