Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 30.03.2020
Naslov: Posredovanje zdravstvene dokumentacije
Številka: 07121-1/2020/456
Vsebina: Posebne vrste, Zavarovanje osebnih podatkov, Zdravstveni osebni podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede prejemanja in pošiljanja zdravstvene dokumentacije.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa izven konkretnih inšpekcijskih postopkov posameznim poslovnim subjektom svetovati, kako organizirati konkretne poslovne procese in v tem okviru obdelovati osebne podatke, niti ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov.

 

IP uvodoma pojasnjuje, da v skladu z drugo točko 4.člena Splošne uredbe o varstvu podatkov obdelava osebnih podatkov pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, med drugim tudi razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa. Za zakonito obdelavo osebnih podatkov je treba vselej imeti ustrezno pravno podlago. Splošna uredba o varstvu podatkov določa pravne podlage v prvem odstavku 6. člena, kjer določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

 

Iz vašega zaprosila za mnenje izhaja, da nameravate obdelovati osebne podatke v zvezi z zdravjem. Ti podatki v skladu s prvim odstavkom 9. člena Splošne uredbe o varstvu osebnih podatkov sodijo med posebne vrste osebnih podatkov (v skladu z ZVOP-1 so bili to občutljivi osebni podatki). Pri obdelavi tovrstnih osebnih podatkov je treba upoštevati tudi določbe drugega odstavka 9. člena Splošne uredbe o varstvu podatkov, v skladu s katerim je obdelava tovrstnih podatkov dopustna le pod določenimi pogoji. Ti pogoji so podrobneje navedeni na spletni strani IP:

https://www.ip-rs.si/varstvo-osebnih-podatkov/inspekcijski-nadzor/najbolj-pogoste-krsitve/zdravstveni-podatki/

 

V vsakem primeru morate torej zagotoviti ustrezno pravno podlago za zakonito obdelavo osebnih podatkov. V kolikor bo le-ta temeljila na točki (a) člena 6(1) Splošne uredbe o varstvu podatkov, torej na privolitvi posameznikov (vaših strank), je treba pri tem upoštevati podrobnejša določila glede pogojev, po katerih se šteje, da je privolitev veljavna, ki so določeni v 7. členu Splošne uredbe o varstvu podatkov. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Molk, vnaprej označena okenca ali kakršnakoli nedejavnost tako ne pomenijo privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. IP poudarja, da mora biti privolitev v primerih, ko obdelava podatkov vključuje več različnih namenov, podana za vsak namen posebej (torej v konkretnem primeru za posredovanje izvida za izdelavo mnenja, za naročilo na pregled in še za druge morebitne namene). Upravljavec mora pridobiti več ločenih privolitev za vsako obdelavo posebej (granularnost oziroma razčlenjenost privolitev). Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

 

Več informacij o privolitvi lahko najdete lahko najdete tudi na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/

Predhodna informiranost posameznika o obdelavi njegovih podatkov je torej ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik svobodno odloči, ali bo to storil ali ne. Prostovoljnost je eden bistvenih elementov veljavne privolitve. Privolitev torej posameznik lahko poda in s tem privoli v obdelavo njegovih osebnih podatkov v določene namene ali pa tega ne stori, izbira mora biti v njegovih rokah.

 

Nadalje IP glede obveščanja posameznikov pojasnjuje, da so informacije, ki jih je treba zagotoviti posamezniku, na katerega se nanašajo osebni podatki, z vidika varstva osebnih podatkov na splošno urejene v členih 13 in 14 Splošne uredbe o varstvu podatkov. IP vam svetuje, da obvestilo oziroma pojasnilo, ki ga nameravate podati strankam (to lahko storite tudi z objavo na vaši spletni strani, npr. v obliki politike zasebnosti ali izjave o varovanju osebnih podatkov ali na drug podoben način), preučite v luči spodaj navedenih pojasnil.

 

Skladno z določbo 13. člena je dolžan upravljavec v primeru, kadar so bili osebni podatki  pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke, zagotoviti naslednje informacije:

  1. identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
  2. kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
  3. namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
  4. kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
  5. uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
  6. kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
  7. tudi nekatere druge informacije, opredeljene v drugem odstavku istega člena.

 

Dodatno drugi odstavek 13. člena zahteva med drugim tudi zagotovitev informacij o roku hrambe, obstoju pravic posameznika in možnosti pritožbe nadzornemu organu.

 

Informacije se posamezniku dajo na način, določen v 12. členu Splošne uredbe o varstvu podatkov. Opisana obveznost informiranja posameznika odpade le izjemoma, in sicer takrat, kadar posameznik, na katerega se nanašajo osebni podatki, že ima informacije.

 

Posamezniku je torej treba ob pridobitvi njegovih osebnih podatkov zagotoviti navedene informacije o obdelavi osebnih podatkov. IP je za pomoč upravljavcem pri seznanjanju svojih uporabnikov/strank glede obdelave osebnih podatkov pripravil tudi vzorec obvestila, ki je dostopen na spletni strani IP:

 

Vzorec obvestila posameznikom glede obdelave osebnih podatkov (člen 13 Splošne uredbe o varstvu podatkov)

IP nadalje pojasnjuje, da je zaradi občutljive narave posebnih vrst osebnih podatkov oziroma občutljivih osebnih podatkov predpisano njihovo posebno varstvo. Tako iz 14. člena ZVOP-1 izhajajo tudi posebna pravila za način obdelave navedenih podatkov. V skladu s prvim odstavkom tega člena morajo biti pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam prepreči dostop do njih. Drugi odstavek navedenega člena zaradi specifičnosti komunikacije preko telekomunikacijskih omrežij posebej ureja prenos občutljivih osebnih podatkov preko telekomunikacijskih omrežij, kjer se šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.

IP v praksi dopušča, da se prek elektronske pošte posredujejo dokumenti, ki so šifrirani in zavarovani s posebnim geslom za odpiranje z uporabo prosto dostopne programske opreme, ki navedeno omogoča.

Glede na inšpekcijsko prakso IP je bistveno zagotoviti, da so občutljivi osebni podatki med prenosom ustrezno šifrirani. IP konkretne rešitve oziroma programske opreme ne more označiti kot ustrezne, vsekakor pa je bistveno, da izpolnjuje naslednja priporočila:

  • Uporabljeni šifrirni mehanizmi morajo biti takšni, da se v času uporabe štejejo kot varni, t.j. da niso bile ugotovljene posebne ranljivosti (takšen šifrirni mehanizem je v času izdaje tega mnenja AES-256, ki ga podpira tudi večina orodij, ki izdeluje stisnjene datoteke, medtem ko so npr. za mehanizem MD5 že bile ugotovljene varnostne pomanjkljivosti in stroka odsvetuje njegovo uporabo);
  • geslo za odpiranje datotek, če se odločite za ta način posredovanja dokumentov, je treba posredovati po drugem kanalu (če se šifrirana datoteka pošlje po e-pošti, se geslo sporoči po telefonu, prek sms sporočila ali na drug ustrezen način, ne pa po e-pošti.);
  • gesla morajo ustrezati uveljavljenim standardom za varno izbiro gesel (nekaj koristnih priporočil najdete tu: https://www.varninainternetu.si/article/zavarujte-geslo/).
  • upoštevati je treba tudi vsa ostala klasična priporočila za varnost podatkov in opreme, kot je redno posodabljanje operacijskega sistema, protivirusnih programov ipd.

Poleg ustreznega načina pošiljanja posebnih vrst osebnih podatkov je treba zagotoviti tudi njihovo ustrezno obdelavo v okviru vašega podjetja, zlasti dostop do podatkov in njihovo hrambo. IP pojasnjuje, da v skladu z 32. členom Splošne uredbe o varstvu podatkov, ki ureja varnost obdelave, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

  1. psevdonimizacijo in šifriranjem osebnih podatkov;
  2. zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
  3. zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
  4. postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

 

Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani. Eno izmed orodij, s pomočjo katerih se pravočasno in predhodno naslovijo tveganja glede varstva osebnih podatkov, so tudi ocene učinka na varstvo osebnih podatkov. Več informacij o tem orodju ter situacijah, kadar je njihova izdelava obvezna oziroma priporočljiva, lahko najdete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/ocena-ucinka-v-zvezi-z-varstvom-podatkov/ ter v smernicah IP na to temo: https://www.ip-rs.si/publikacije/prirocniki-in-smernice/ocene-ucinkov-na-varstvo-podatkov/

Splošna uredba o varstvu podatkov torej v 32. členu primeroma navaja ukrepe, s katerimi se zagotavlja varnost osebnih podatkov, ZVOP-1 pa v prvem odstavku 24. člena določa predmet zavarovanja osebnih podatkov. Tako zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov na način, da se:

  1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
  2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
  3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
  4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
  5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

 

Navedeni pogoji veljajo splošno za vse vrste osebnih podatkov in za vse oblike posredovanj oziroma obdelav. Kot opisano zgoraj, pa je za posebne vrste osebnih podatkov zaradi njihove občutljive narave predpisano še dodatno varstvo.

 

Več o varnosti osebnih podatkov si lahko preberete na spletnih straneh:

https://upravljavec.si/zagotovite-varnost/ in https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov/ ter v smernicah IP o zavarovanju osebnih podatkov, ki so dostopne na povezavi:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf

 

IP opozarja tudi, da mora vsak upravljavec osebnih podatkov v skladu z določbami 30. člena Splošne uredbe o varstvu podatkov voditi tudi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti. Nenazadnje vas IP opozarja, da morate ustrezno urediti tudi vaše razmerje do zdravstvenih ustanov, s katerimi nameravate sodelovati, ter opredeliti vlogo in odgovornosti vseh vključenih subjektov pri obdelavi osebnih podatkov strank.

 

IP sklepno ponavlja, da v okviru mnenja ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov, niti ne more presojati, ali so v konkretnem primeru, za konkreten namen in podatke izpolnjeni pogoji za obdelavo osebnih podatkov. To je namreč naloga upravljavca. IP pa lahko o tem dokončno presoja zgolj v okviru inšpekcijskega ali upravnega postopka.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka