Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 18.11.2019
Naslov: Slike zobnega rentgena
Številka: 0712-1/2019/2612
Vsebina: Informiranje posameznika, Pravne podlage, Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Privolitev, Zavarovanje osebnih podatkov, Zdravstveni osebni podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje glede pošiljanja in hranjenja slik v zobnem rentgenu. Pojasnjujete, da opravljate storitev dentalne diagnostike ter da je vsaka slika, ki jo naredite pacientom, označena z dozo sevanja, imenom in priimkom ter letnico rojstva pacienta. Navajate, da trenutno zobozdravnikom predajate slike preko USB ključka, ki ga v roke dobi pacient in tako odnese sliko h zobozdravniku. Zanima vas, ali bi lahko slike hranili v javnem oblaku in potem dostop delili z izbranim zobozdravnikom. Zanima vas tudi, koliko časa morate hraniti slike. Navajate, da ste se odločili, da arhiva ne boste imeli, ker slike hranijo zobozdravniki v kartotekah pacientov. Sprašujete še, ali obstajajo kakšne smernice, na katere morate paziti pri pripravi, morebitnem hranjenju in pošiljanju slik z osebnimi podatki.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma pojasnjuje, da konkretnih obdelav osebnih podatkov izven postopka inšpekcijskega nadzora ali upravnega postopka ne more dokončno presojati. Zato vam IP v okviru tega mnenja ne more podati dokončnega odgovora, ali je posredovanje slik zobozdravnikom z uporabo (javne) oblačne storitve v konkretnem primeru dopustna. Ta presoja je namreč naloga in odgovornost upravljavca. Kot bistveno pri tem pa IP izpostavlja, da morate ob uporabi računalništva v oblaku paziti na naslednje vidike:

  1. varovanje osebnih podatkov,
  2. pogodbena obdelava osebnih podatkov in
  3. prenos osebnih podatkov v tretje države.

 

Varnost osebnih podatkov pomeni zagotavljanje celovitosti, zaupnosti in razpoložljivosti takšnih podatkov. Glede varnosti osebnih podatkov Splošna uredba v členu 32 določa, da ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

(a) psevdonimizacijo in šifriranjem osebnih podatkov;

(b) zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;

(c) zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

(d) postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

 

Navedeni pogoji veljajo splošno za vse vrste osebnih podatkov in za vse oblike posredovanj oziroma obdelav. Dodatno pa v zvezi s prenosom občutljivih osebnih podatkov ZVOP-1 v drugem odstavku 14. člena določa, da se pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom. Občutljivi osebni podatki oziroma po Splošni uredbi posebne vrste osebni podatki pa so tudi podatki o zdravstvenem stanju posameznika (člen 9 Splošne uredbe).

 

Iz opisane ureditve torej izhaja, da mora upravljavec glede na konkretne okoliščine obdelave oceniti tveganje za pravice in svoboščine posameznikov, katerih osebni podatki se obdelujejo, in v skladu s tem sprejeti ustrezne ukrepe za varno obdelavo osebnih podatkov. Posebej pa glede elektronskega prenosa osebnih podatkov posebne vrste oziroma občutljivih osebnih podatkov ZVOP-1 vzpostavlja zahtevo po višji ravni varnosti. Več o varnosti osebnih podatkov si lahko preberete na spletnih straneh https://upravljavec.si/zagotovite-varnost/ in https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov/ ter v smernicah IP o zavarovanju osebnih podatkov, ki so dostopne na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf.

 

Če osebne podatke vaših strank zaupate v obdelavo ponudniku oblačne storitve, morate skladno s členom 28 Splošne uredbe z njim skleniti pisno pogodbo (ali drug pravni akt), ki vsebuje predpisan minimalni obseg sestavin. Kot upravljavec morate izbrati ustreznega obdelovalca, ki osebne podatke obdeluje skladno z določbami Splošne uredbe. Več o pogodbeni obdelavi si lahko preberete na spletni strani https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pogodbena-obdelava/ ter v smernicah IP o pogodbeni obdelavi, ki so dostopne na povezavi: https://www.ip-rs.si/publikacije/prirocniki-in-smernice/smernice-o-pogodbeni-obdelavi/.

 

Splošna uredba določa tudi posebna pravila in ukrepe pri prenosu podatkov v tretje države. Zato vam mora ponudnik oblačne storitve najprej pojasniti, v katerih državah bodo hranjeni podatki. Ena od temeljnih značilnosti (zlasti t.i. javnih oblik) računalništva v oblaku je odsotnost vezave podatkov na natančno opredeljeno fizično lokacijo. Do obdelave osebnih podatkov lahko pride v vseh tistih državah, v katerih se osebni podatki hranijo. To pomeni, da gre dejansko za prenos osebnih podatkov v vse države, kjer poteka katerokoli ravnanje z osebnimi podatki. Če med te države spadajo tudi države, ki niso članice EU ali EGP, govorimo o prenosu v tretje države. Več o prenosu v tretje države si lahko preberete na spletni strani https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-drzave-in-mednarodne-organizacije/ in v smernicah IP o prenosu osebnih podatkov, ki so dostopne na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_glede_prenosa_OP_v_tretje_drzave_in_mednarodne_organizacije_po_Splosni_uredbi.pdf.

 

Kontrolni seznam in več informacij o računalništvu v oblaku pa lahko najdete tudi v smernicah glede varstva osebnih podatkov pri računalništvu v oblaku, ki so dostopne na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_Varstvo_osebnih_podatkov_in_racunalnistvo_v_oblaku_2016.pdf.

 

Glede roka hrambe pa IP pojasnjuje naslednje. Splošna uredba v členu 5(1)(e) na splošno ureja rok hrambe osebnih podatkov enotno za vse vrste osebnih podatkov. Ta določa, da so osebni podatki lahko hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo. Po izpolnitvi namena obdelave se torej osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če zakon za posamezne vrste osebnih podatkov ne določa drugače.

 

Roke hrambe za nekatere upravljavce oziroma nekatere vrste osebnih podatkov natančneje določajo področni predpisi. V kolikor ti področni predpisi določajo poseben rok hrambe konkretnih osebnih podatkov, je potrebno upoštevati ta rok. Splošna pravila o hrambi zdravstvene dokumentacije so določena v Zakonu o zbirkah podatkov s področja zdravstvenega varstva (Uradni list RS, št. 65/00, 47/15 in 31/18, v nadaljevanju ZZPPZ). Po 1.a členu tega zakona je zdravstvena dokumentacija izvirno in reproducirano (pisano, risano, tiskano, fotografirano, filmano, fonografirano, magnetno, optično ali kako drugače zapisano) dokumentarno gradivo, ne glede na obliko zapisa in nosilec zapisa podatkov:

-        ki nastane ali je prejeto pri zdravstveni oskrbi,

-        ki je opredeljeno v Osnovni zdravstveni dokumentaciji v Prilogi 1 ali

-    ki je povezano z zdravstvenim stanjem in je nujno potrebno za izvajanje pravic ali obveznosti, priznanih ali določenih z zakonom.

Vrste in vsebina posameznih zbirk podatkov s področja zdravstvenega varstva, njihov namen, obdobna poročila, kdo mora posredovati podatke in kdaj, upravljavec zbirke, način dajanja podatkov in čas hranjenja podatkov, so opredeljeni v Prilogi 1, ki je sestavni del tega zakona. Za posamezne zbirke podatkov iz Priloge 1 (NIJZ 16, NIJZ 25, NIJZ 25.1, NIJZ 26, NIJZ 26.1, NIJZ 26.2, NIJZ 53.1 in NIJZ 53.2) so določeni upravičenci do podatkov iz zbirke (prvi odstavek 5. člena ZZPPZ).

 

IP meni, da ste kot izvajalec zdravstvene dejavnosti in posledično kot upravljavec zbirk podatkov s področja zdravstvenega varstva (glej tudi 3. in 4. člen ZZPPZ) dolžni hraniti rentgenske slike pacientov 15 let, kot je to določeno v Prilogi 1 ZZPPZ, NIJZ1 za ostalo osnovno zdravstveno dokumentacijo.

 

V zvezi z vašimi vprašanji pa vam priporočamo, da si preberete tudi smernice, ki jih je pripravil IP za izvajalce zdravstvenih storitev: https://www.ip-rs.si/fileadmin/user_upload/Pdf/brosure/Smernice_za_izvajalce_zdr._storitev_net.pdf.

 

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ. dipl. prav.,                                               

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov