Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 18.12.2019
Naslov: Obdelava osebnih podatkov pacientov za namen priprave magistrske naloge
Številka: 0712-1/2019/2805
Vsebina: Pravne podlage, Statistika in raziskovanje , Zdravstveni osebni podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski prejel vaš dopis, v katerem pojasnjujete, da ste zaposleni v enoti nujne medicinske pomoči in sedaj pripravljate magistrsko nalogo na temo srčnega zastoja. Za to potrebujete podatke glede nujnih intervencij, zvočne posnetke in čas nujnega klica, čas prihoda ekipe do pacienta, protokole nujnih intervencij in druge podatke. Pri raziskavi bi razpolagali z osebnimi podatki, ki bi jih naknadno odstranili in nekatere anonimizirali. Zanima vas, na kakšen način lahko zberete navedene osebne podatke.

 

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Obdelava osebnih podatkov pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, med drugim razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa (člen 4(2) Splošne uredbe). Za vsako obdelavo osebnih podatkov pa je treba imeti zakonito in ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe, v skladu s katerim je obdelava  zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Pri obdelavi posebnih vrst osebnih podatkov, med katere sodijo tudi osebni podatki v zvezi z zdravjem, pa je potrebno upoštevati tudi določbe člena 9(2) Splošne uredbe. V skladu z navedenim členom je dopustna obdelava zdravstvenih podatkov le pod določenimi pogoji, v nasprotnem primeru obdelava zdravstvenih podatkov ni dovoljena. Ti pogoji so podrobneje navedeni na naši spletni strani, na katero vas napotujemo: https://www.ip-rs.si/varstvo-osebnih-podatkov/inspekcijski-nadzor/najbolj-pogoste-krsitve/zdravstveni-podatki/.

 

V konkretnem primeru bi v razmerju do bolnišnice nastopali kot »zunanji raziskovalec«, ker ne gre za notranjo raziskavo, katere nosilec bi bila bolnišnica sama. Za zunanje raziskave je potrebna privolitev pacientov, če se raziskava izvaja na njihovih osebnih podatkih (glej točka a člena 9(2) Splošne uredbe). Privolitev pacientov ni potrebna le, če se raziskava izvaja na popolnoma anonimiziranih podatkih, kar pa bo v konkretnem primeru verjetno težko doseči (gl. npr. definicijo osebnega podatka v Splošni uredbi) in bi morala bolnišnica vnaprej pripraviti raziskovalno gradivo, ki bi bilo anonimizirano (torej bolnišnica bi del analize že sama opravila in bi vam poslale podatke v takšni obliki, da posamezniki ne bi bili več določljivi).

 

Če povzamemo, to pomeni, da bi lahko z osebnimi podatki pacientov operirali, v kolikor bi ti v takšno obdelavo predhodno izrecno privolili, ali pa bi vam bolnišnica navedene podatke posredovala v že anonimizirani obliki.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Neja Domnik, mag. prav.,

asistentka svetovalca pri IP