Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 26.03.2020
Naslov: Ppošiljanje zdravstvene dokumentacije
Številka: 07121-1/2020/427
Vsebina: Posebne vrste, Pravica do seznanitve z lastnimi osebnimi podatki, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Pojasnjujete, da v vašem podjetju, ki se ukvarja z zdravstveno dejavnostjo, medicinsko dokumentacijo pacientov pošiljate izključno priporočeno po pošti ali kriptirano po e-mailu. Opažate pa, da kar nekaj bolnišnic pošilja izvide pacientov po navadni pošti. Zato vas zanima, ali je tako pošiljanje dovoljeno in če je, pod katerimi pogoji. Izpostavljate, da je pošiljanje priporočeno po pošti povezano z dodatnimi stroški, pacienti pa temu načinu vročanja tudi v večini primerov niso naklonjeni.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Uvodoma IP poudarja, da lahko posamezne primere obdelave osebnih podatkov konkretno presoja le v okviru inšpekcijskega postopka. V mnenju lahko zato poda zgolj splošna pojasnila, ne more pa dokončno presojati ustreznosti konkretnega ravnanja določenega upravljavca.

 

Po členu 32 Splošne uredbe o varstvu podatkov, ki ureja varnost obdelave, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

(a)    psevdonimizacijo in šifriranjem osebnih podatkov;
(b)    zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
(c)    zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
(d)    postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

 

Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

 

Splošna uredba o varstvu podatkov v členu 32 torej primeroma navaja ukrepe, s katerimi se zagotavlja varnost osebnih podatkov, ZVOP-1 pa v še veljavnem prvem odstavku 24. člena določa predmet zavarovanja osebnih podatkov. Tako zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov na način, da se:

  1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
  2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
  3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
  4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
  5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

 

IP nadalje pojasnjuje, da so zdravstveni podatki občutljivi osebni podatki oziroma osebni podatki posebne vrste (člen 9 Splošne uredbe o varstvu podatkov), zaradi takšne narave pa je zanje prepisano posebno varstvo. Iz še veljavnega 14. člena ZVOP-1 izhajajo tudi posebna pravila za zavarovanje navedenih podatkov. Prvi odstavek 14. člena zahteva, da morajo biti občutljivi osebni podatki pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njih. Drugi odstavek istega člena pa zaradi specifičnosti komunikacije prek telekomunikacijskih omrežij posebej ureja še prenos občutljivih osebnih podatkov prek telekomunikacijskih omrežij, kjer se šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.

 

V zvezi s pošiljanjem zdravstvenih podatkov po klasični pošti IP izpostavlja, da ni sicer nikjer izrecno predpisano, da se morajo zdravstveni osebni podatki pošiljati priporočeno. Je pa takšen način pošiljanja nedvomno bolj varen, saj se pošiljka izroči osebno naslovniku, s tem pa je podana večja verjetnost, da se prepreči dostop nepooblaščenim osebam. IP ob tem opozarja, da morajo biti predvsem zdravstvene institucije pri varovanju zdravstvenih podatkov posameznikov še posebej skrbne.

 

Za izvajanje ustreznega in učinkovitega načina pošiljanja zdravstvene dokumentacije pa je izključno pristojen in odgovoren upravljavec. Za ohranitev varnosti osebnih podatkov in preprečitev obdelave, ki bi pomenila kršitev predpisov s področja varstva osebnih podatkov, mora upravljavec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja (tako tudi uvodna izjava št. 83 Splošne uredbe o varstvu podatkov). Te ukrepe, ki morajo zagotavljati ustrezno raven varnosti, vključno z zaupnostjo, pa lahko IP preverja zgolj v konkretnem inšpekcijskem postopku.

 

Več o varnosti pri pošiljanju zdravstvene dokumentacije si lahko preberete tudi v že izdanih mnenjih IP, ki so objavljena na naši spletni strani, npr. mnenje št. 07121-1/2020/132 z dne 3. 2. 2020, mnenje št. 0712-1/2019/1861 z dne 9. 8. 2019 in mnenje 0712-937/2007/2 z dne 23. 10. 2007. Vsa mnenja IP so objavljena in dostopna na naši spletni strani: https://www.ip-rs.si/vop/.

 

Svetujemo, da si več o pravicah posameznika glede varstva podatkov preberete na naši spletni strani www.tiodlocas.si.

 

Prav tako pa so vsa ključna področja, kot jih ureja Splošna uredba o varstvu podatkov, predstavljena na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/, kjer lahko najdete veliko koristnih nasvetov glede bistvenih obveznosti podjetij in drugih organizacij za pravilno izvajanje ukrepov varstva osebnih podatkov.

 

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ. dipl. prav.,                                               

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov

 

To mnenje je nastalo v okviru projekta »Programa pravice, enakost in državljanstvo 2014-2020«, ki ga financira Evropska unija.

Vsebina tega mnenja predstavlja neobvezno mnenje Informacijskega pooblaščenca in je izključno njegova odgovornost. Evropska komisija ne sprejema odgovornosti glede uporabe informacij, ki jih mnenje zajema.