Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 26.03.2020
Naslov: Obdelava zdravstvenih OP
Številka: 07121-1/2020/420
Vsebina: Posebne vrste, Pravne podlage, Pridobivanje OP iz zbirk
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Navajate, da ste bili v očesni ambulanti operirani zaradi sive mrene, zdaj pa so vas klicali iz druge optike, naj pridete na pregled oči. Zanima vas, ali je zakonito, da si očesne ambulante in optiki brez vednosti pacienta izmenjujejo izvide in na tak način pridobivajo stranke. Sprašujete, kako naj ukrepate.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Uvodoma IP poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. V mnenju lahko zato IP poda zgolj splošna pojasnila, ne more pa presojati ustreznosti oziroma zakonitosti konkretnega ravnanja posameznih upravljavcev.

 

Skladno s členom 4(15) Splošne uredbe o varstvu podatkov so podatki o zdravstvenem stanju osebni podatki, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju. V to kategorijo podatkov torej nedvomno sodi tudi izvid, ki ga posamezniku izda očesna ambulanta.

 

Razkritje osebnih podatkov s posredovanjem, razširjanje ali drugačno omogočanje dostopa pomeni obdelavo osebnih podatkov v smislu člena 4(2) Splošne uredbe o varstvu podatkov, za kar mora imeti upravljavec zakonito in ustrezno pravno podlago. Pravne podlage so določene v členu 6(1) Splošne uredbe o varstvu podatkov. Skladno s členom 9(1) Splošne uredbe o varstvu podatkov je obdelava posebnih vrst osebnih podatkov, kamor sodijo tudi podatki v zvezi z zdravjem posameznika, praviloma prepovedana, izjemoma pa je dopustna, če je izpolnjen eden izmed pogojev iz člena 9(2) Splošne uredbe o varstvu podatkov, npr. če je posameznik, na katerega se nanašajo osebni podatki, dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov (točka a) ali če je obdelava potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene oskrbe ali zdravljenja na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem (točka h).

 

Splošna uredba za varstvo podatkov v členu 4(11) predpisuje, da je za veljavno privolitev potrebna izjava ali jasno pritrdilno ravnanje, zahteve za izrecno privolitev pa so postavljene višje, pri čemer se izraz izrecno nanaša na način, kako je privolitev izražena. Posameznik mora dati izrecno izjavo, priporočljivo v pisni obliki. Izrecna privolitev ni nujno v obliki podpisane papirne izjave, lahko je tudi npr. izpolnjen spletni obrazec, sporočilo, poslano prek elektronske pošte, naložen skeniran dokument s podpisom ali dokument, podpisan z elektronskim podpisom. Več o pogojih za veljavno privolitev si lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/.

 

Pacientovi zdravstveni in drugi osebni podatki se lahko obdelujejo tudi na podlagi Zakona o pacientovih pravicah (Uradni list RS, št. 15/08 in 55/17; v nadaljevanju ZPacP) in drugih zakonov s področja varstva osebnih podatkov ali zdravstva. Pacient ima po prvem odstavku 44. člena ZPacP pravico do zaupnosti osebnih podatkov, vključno s podatki o obisku pri zdravniku in drugih podrobnostih o svojem zdravljenju. V skladu s tretjim in četrtim odstavkom 44. člena ZPacP lahko pacient privoli tudi v obdelavo osebnih podatkov pri izvajalcu zdravstvenih storitev, ki sicer ni predvidena v nobenem zakonu. Takšna privolitev se lahko da za potrebe zdravljenja ali za potrebe izven postopkov zdravstvene obravnave. Privolitev za uporabo in drugo obdelavo osebnih podatkov pa skladno s šestim odstavkom ZPacP ni potrebna:

  • če za namene epidemioloških in drugih raziskav, izobraževanja, medicinskih objav ali druge namene pacientova istovetnost ni ugotovljiva,
  • če za namene spremljanja kakovosti in varnosti zdravstvene obravnave pacientova istovetnost ni ugotovljiva,
  • kadar prijavo zdravstvenega stanja zahteva zakon,
  • kadar se zaradi potreb zdravljenja podatki posredujejo drugemu izvajalcu zdravstvene dejavnosti,
  • kadar to določa drug zakon.

 

Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je izključna obveznost upravljavca. IP glede na informacije, ki izhajajo iz vašega dopisa, meni, da bi morala očesna ambulanta za posredovanje vašega izvida določeni optiki za namen ponudbe očesnega pregleda in nakupa očal najverjetneje imeti pravno podlago v vaši (izrecni) privolitvi. Vendar, kot že pojasnjeno, IP izven postopka inšpekcijskega nadzora v okviru mnenja dokončnega odgovora na vaše vprašanje ne more podati. Bistveno je, da je obdelava osebnih podatkov zakonita zgolj, če so izpolnjeni zgoraj predstavljeni pogoji za obdelavo.

 

Glede neposrednega trženja IP še dodaja, da je pristojen le za področje izvajanja neposrednega trženja preko naslovljenih poštnih pošiljk. Področje izvajanja neposrednega trženja s pomočjo elektronskih komunikacij, kamor sodijo nenaročena e-sporočila, telefonski klici in SMS sporočila, pa je urejeno v Zakonu o elektronskih komunikacijah (Uradni list RS, št. 109/12 s spremembami in dopolnitvami; v nadaljevanju ZEKom-1), nad katerim izvaja nadzor Agencija za komunikacijska omrežja in storitve (AKOS). Izvajanje neposrednega trženja z uporabo govornih telefonskih klicev je primarno urejeno v 158. členu ZEKom-1, ki določa, da je opravljanje telefonskih klicev z namenom neposrednega trženja fizični osebi dovoljeno le s soglasjem naročnika ali uporabnika oziroma pod določenimi pogoji, če so podatki objavljeni v javnem imeniku, skladno s 150. členom ZEKom-1.

 

Sicer pa IP izpostavlja, da lahko vsak, ki meni, da kdo krši Splošno uredbo o varstvu podatkov ali ZVOP-1 (v delu, ki se še uporablja), vloži prijavo pri IP. Prijavo lahko pošljete po elektronski pošti na naslov gp.ipping@ip-rspong.si oziroma po navadni pošti na naslov Dunajska cesta 22, 1000 Ljubljana. Priporočamo, da prijavo pošljete na ustreznem obrazcu »Obrazec ZIN PRIJAVA«, ki je dostopen na spletni strani IP: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/. V prijavi čim bolj podrobno opišite okoliščine dogodka oziroma ravnanja, pri katerem naj bi prišlo do kršitve oziroma zlorabe osebnih podatkov. Zlasti je pomembno, da navedete, zakaj menite, da je prišlo do kršitve, način storitve, katera oseba je to storila, kateri osebni podatki so bili nezakonito obdelovani, posledice kršitve, ali obstajajo kakšni dokazi o kršitvi in podobno. IP nato po uradni dolžnosti izvede ustrezne inšpekcijske postopke.

 

Iz opisa vašega primera nadalje izhaja, da je bilo sporno posredovanje osebnih podatkov storjeno že leta 2014. Glede na to pa IP pripominja, da je upoštevaje 42. člen Zakona o prekrških (Uradni list RS, št. 29/11 – uradno prečiščeno besedilo, s spremembami in dopolnitvami) pregon morebitnega prekrška že zastaral.

 

Svetujemo, da si več o pravicah posameznika glede varstva podatkov preberete na naši spletni strani www.tiodlocas.si.

 

Vsa mnenja IP so objavljena in dostopna na naši spletni strani: https://www.ip-rs.si/vop/.

 

Prav tako pa so vsa ključna področja, kot jih ureja Splošna uredba o varstvu podatkov, predstavljena na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/, kjer lahko najdete veliko koristnih nasvetov glede bistvenih obveznosti podjetij in drugih organizacij za pravilno izvajanje ukrepov varstva osebnih podatkov.

 

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ. dipl. prav.,                                               

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov

 

 

To mnenje je nastalo v okviru projekta »Programa pravice, enakost in državljanstvo 2014-2020«, ki ga financira Evropska unija.

Vsebina tega mnenja predstavlja neobvezno mnenje Informacijskega pooblaščenca in je izključno njegova odgovornost. Evropska komisija ne sprejema odgovornosti glede uporabe informacij, ki jih mnenje zajema.