Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 24.03.2020
Naslov: Mnenje glede on-line psihoterapevtske terapije
Številka: 07121-1/2020/393
Vsebina: Društva, Posebne vrste, Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Zbirke osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš dopis, v katerem nas prosite za mnenje in sicer kot pojasnjujete zaradi korona virusa prehajajo psihološke in psihoterapevtske storitve na telekomunikacijska orodja. V okviru Društva psihologov Slovenije pripravljate smernice, ki jih želite čim prej posredovati strokovnjakom. Pri tem vas zanima, kaj bi v slovenskem prostoru predlagali kot ustrezno orodje/program/aplikacijo preko katere lahko za kliente/paciente varno izvajamo naše storitve in ali predlagamo še kakšna dodatna soglasja pri izvajanju psihoterapij in svetovanj na ta način.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da glede posamezne programske opreme ne more vnaprej soditi, ali je njena uporaba skladna z zakonodajo o varstvu osebnih podatkov, oziroma dovoljevati njene uporabe, saj je nenazadnje poleg samih tehnoloških vidikov skladnost odvisna tudi od samega načina uporabe, informiranja oseb in drugih zahtev. Naše mnenje je zato lahko le načelne narave; (glede na vaše zaprosilo predvidevamo, da imate v mislih predvsem izvajanje video-klicev in ne telefonskih klicev).

 

V vsakem primeru je nudenje ustrezne zdravstvene oskrbe tako glede fizičnega kot glede psihičnega zdravja, vključno z nudenjem ustreznih informacij, v času širjenja nalezljivih bolezni, ki imajo prav gotovo na posameznike tudi močan psihološki učinek, bistvenega pomena, zato je poseganje po različnih oblikah nudenja pomoči legitimen, če ne celo nujen ukrep, zlasti v izjemnih okoliščinah, ko se priporoča izogibanje ne nujnim stikom. Zakonodaja o varstvu osebnih podatkov prav gotovo ne prepoveduje uporabe spletnih orodij in načinov komuniciranja, je pa pri njihovi uporabi potrebno zagotoviti varnost in zaupnost podatkov, saj gre za obdelavo posebnih varstvo osebnih podatkov, katerih prenos po javnih telekomunikacijskih omrežjih mora potekati na šifriran način.  Na strani upravljavca podatkov, torej v vašem primeru zdravstvenega zavoda, je tako treba preveriti, ali posamezno orodje omogoča varovanje zaupnosti, predvsem z omogočanjem šifrirane komunikacije, ki nepooblaščenim osebam preprečuje seznanitev z vsebino komunikacije, na strani posameznika pa je odgovornost za varno namestitev in uporabo posameznega tovrstnega orodja.

 

Svetujemo vam, da pred uporabo preverite možnosti, ki jih določena rešitev omogoča za zagotavljanje zaupnosti komunikacije ter o načinu delovanja ustrezno informirate posameznike, ki bi se odločili za tovrsten način nudenja pomoči. Posebno soglasje za spletno komuniciranje ni potrebno, opozarjamo pa, da je treba posameznike ustrezno informirati – jasno in razumljivo  jim mora biti predstavljeno, kateri osebni podatki bodo obdelovani, za katere namene, kakšne so njihove pravice itd., kot to zahteva in določa člen 13 Splošne uredbe. Glede informiranosti posameznika skladno z določbami člena 13 imate na spletni strani IP obrazec, ki vam je lahko v pomoč – ustrezno izpolnjen obrazec je smiselno posredovati zadevnim posameznikov:

 

https://www.ip-rs.si/fileadmin/user_upload/doc/vzorci/VZOREC_OBVESTILA_POSAMEZNIKOM_GLEDE_OBDELAVE_OSEBNIH_PODATKOV.docx

 

 

Večina najbolj uveljavljenih orodij za spletno komuniciranje, omogoča t.i. šifriranje od vira do ponora komunikacije (angl. »end-to-end encryption«), ne pa nujno v vseh primerih (to najverjetneje npr. ne bo zagotovljeno, če je klic (deloma) opravljen preko navadne telefonske linije in ne preko podatkovnega prenosa) in ne nujno kot privzeto nastavitev, razlike med aplikacijami pa obstajajo tudi glede drugih vidikov varnosti in zasebnosti, zato vam priporočamo, da se glede teh vidikov pred uporabo posvetujete z vašimi sodelavci s področja informacijskih tehnologij.

 

Pregled različnih vidikov varnosti in zasebnosti pri aplikacijah za spletno komuniciranje je med drugim dostopen tu:

 

https://www.securemessagingapps.com/

 

Pozornost je treba nameniti tudi morebitnemu prenosu osebnih podatkov v tretje države[1], saj številni ponudniki tovrstnih rešitev prihajajo iz ZDA. Priporočamo, da preverite, ali je ponudnik rešitve na seznamu certificiranih organizacij po dogovoru Privacy Shield med EU in ZDA[2]:

 

https://www.privacyshield.gov/welcome.

 

V primeru potreb po pošiljanju občutljivih osebnih podatkov po elektronski pošti opozarjamo, da 2. odstavek 14. člena ZVOP-1 določa, da se  pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom. Glede na inšpekcijsko prakso IP je bistveno zagotoviti, da so občutljivi osebni podatki med prenosom ustrezno šifrirani, konkretne rešitve oz. programske opreme pa ne moremo označiti kot ustrezne, temveč je bistveno, da izpolnjuje naslednja priporočila:

 

  • Uporabljeni šifrirni mehanizmi morajo biti takšni, da se v času uporabe štejejo kot varni, t.j. da niso bile ugotovljene posebne ranljivosti (takšen šifrirni mehanizem je v času izdaje tega mnenja AES-256, ki ga podpira tudi večina orodij, ki izdeluje stisnjene datoteke, medtem ko so npr. za mehanizem MD5 že bile ugotovljene varnostne pomanjkljivosti in stroka odsvetuje njegovo uporabo). Izogibati se je treba uporabi »lastniških« šifrirnih rešitev, katerih trdnost ni bila javno preverjena.
  • Geslo za odpiranje datotek, če se odločite za ta način posredovanja dokumentov, je treba posredovati po drugam kanalu (če se šifrirana datoteka pošlje po e-pošti, se geslo sporoči po telefonu, prek sms sporočila ali na drug ustrezen način, ne pa po e-pošti.).
  • Upoštevati je treba tudi vsa ostala klasična priporočila za varnost podatkov in opreme, kot je redno posodabljanje operacijskega sistema, protivirusnih programov ipd.

 

 

Izven izjemnih okoliščin, kot so trenutne, pa odločitev o uporabi tovrstnih storitev prav gotovo terja izvedbo ocene učinka na varstvo osebnih podatkov, s pomočjo katere se pravočasno in predhodno naslovijo tveganja glede varstva osebnih podatkov.

 

Vse informacije o ocenah učinka so na voljo na naši spletni strani:

 

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/ocena-ucinka-v-zvezi-z-varstvom-podatkov/

 

 

 

S spoštovanjem,

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka

 

Pripravil:                                                                                                                                 

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke        

                                   

 


[1] Več o prenosu osebnih podatkov v naši infografiki: https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/Prenos_osebnih_podatkov_po_Uredbi_v_dveh_korakih.pdf

[2] Več  o tem: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-drzave-in-mednarodne-organizacije/iznos-osebnih-podatkov-v-zda/