Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 20.04.2020
Naslov: Testiranje za okužbo s korona virusom za namene raziskave
Številka: 07121-1/2020/651
Vsebina: Informiranje posameznika, Posebne vrste, Pravne podlage, Statistika in raziskovanje , Zdravstveni osebni podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem navajate, da vas je zmotil članek v spletnem časopisu, da naj bi s strani vlade »trkali na stanovanja in jemali brise« ljudi, da bi ugotovili okužbo z novim koronavirusom.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim dopisom.

 

Informacijski pooblaščenec je nadzorni organ za varstvo osebnih podatkov in nadzira zakonitost obdelave osebnih podatkov posameznikov ter s tem skrbi za zaščito pravice do (informacijske) zasebnosti. Za vsako obdelavo osebnih podatkov mora biti podana ustrezna pravna podlaga; splošne podlage za obdelavo osebnih podatkov so določene v členu 6 Splošne uredbe, in sicer so to (na kratko): privolitev, izvajanje pogodbe, zakon, zaščita življenjskih interesov posameznika, javni interes in zakoniti interesi upravljavca.

 

Kadar gre za posebne vrste osebnih podatkov, med katere sodijo tudi zdravstveni osebni podatki, pa velja celo načelo prepovedi obdelave, razen če ni podana katera od posebnih podlag, zapisanih v členu 9 Splošne uredbe, ki med drugim omenja tudi privolitev posameznika.

 

Iz poročanja v medijih ter novinarske konference svetovalne skupine, ki deluje v okviru ministrstva za zdravje, izhaja, da naj bi na reprezentativnem vzorcu več kot 1000 prebivalcev po vsej Sloveniji opravili testiranja o razširjenosti novega koronavirusa v populaciji. Reprezentativni vzorec populacije bosta pripravila Statistični urad RS (v nadaljevanju SURS) in Fakulteta za družbene vede, sámo testiranje pa naj bi izvedel Inštitut za mikrobiologijo, v sodelovanju z nekaterimi fakultetami in infekcijsko kliniko UKC Ljubljana.[1]

 

Testiranje bo po zagotovilih strokovne skupine prostovoljno (ljudje bodo k testiranju povabljeni) in anonimno.

 

SURS torej, kolikor je razbrati, nastopa v vlogi pripravljavca podatkov na podlagi 2. odstavka 41. člena Zakona o državni statistiki: za namene anketiranja sme SURS posredovati registriranim znanstveno raziskovalnim organizacijam in registriranim raziskovalcem posameznikom samo naslednje osebne podatke: ime in priimek, njegovo prebivališče, leto rojstva, spol in poklic.

V praksi se to, kolikor je znano IP, izvede na način, da SURS pripravi naključni vzorec in na podlagi pogodbe posreduje podatke raziskovalni organizaciji – kot navajajo mediji, je to Inštitut za mikrobiologijo. Ta gre na teren in zbere preostale podatke na podlagi privolitve posameznika za sodelovanje v raziskavi (v konkretnem primeru je to najprej anketa, nato pa še odvzem brisa in krvi). Pri tem je treba razlikovati privolitev za sodelovanje v sami raziskavi, ki mora biti skladna s standardi stroke in etike, ki veljajo v primeru medicinskih raziskav, od privolitve za obdelavo osebnih podatkov. IP ni nadzorni organ za nadzor zakonitosti izvedbe medicinskih raziskav, ampak lahko nadzoruje zgolj vidike obdelave osebnih podatkov.

 

Pravna podlaga za takšno testiranje pa bo glede na opisani verjetno točka j člena 9(2) Splošne uredbe, ki ureja obdelavo posebnih vrst osebnih podatkov v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, v povezavi s predpisi, ki urejajo medicinske raziskave v Sloveniji. Ob tem je pomembno, da mora izvajalec ankete sprejeti zaščitne ukrepe, kot to določa člen 89(1) Splošne uredbe in seveda spoštovati tudi ostala načela iz člena 5, kar vključuje tudi posredovanje ustreznih informacij vključenim posameznikom ob samem zbiranju podatkov (kot to določa člen 13 Splošne uredbe).

 

 

Poudariti moramo, da bi bilo mnenje IP lahko povsem nasprotno, če sodelovanje v raziskavi ne bi bilo prostovoljno, saj bi bilo treba natančno preučiti druge možne pravne podlage za neprostovoljno testiranje za namene raziskave o okuženosti s COVID-19 v Sloveniji in s tem povezano obdelavo osebnih podatkov ter druge morebitne posege v pravice posameznikov. Kot izhaja iz medijskih objav pa zaenkrat ni videti razloga za skrb, da bi raziskovalci brez vaše privolitve vstopili v stanovanje in vam proti vaši volji odvzeli bris.

           

Drug pomemben element raziskave naj bi bila anonimnost. IP s podrobnostmi ni seznanjen, zato ne more z gotovostjo trditi, ali bo dejansko mogoče zagotoviti popolno anonimnost, pri kateri posameznik ni nikomur in na noben način določljiv. V raziskavah, pri katerih se uporabljajo zdravstveni podatki, pridobljeni z osebnim stikom ter z jemanjem vzorcev biološkega materiala, se raziskovalci bolj pogosto naslanjajo na uporabo t.i. psevdonimiziranih osebnih podatkov. Razlika med anonimiziranimi in psevdonimiziranimi podatki je v tem, da se za prve (torej povsem anonimne podatke) Splošna uredba sploh ne uporablja, pri drugih (psevdonimiziranih podatkih) pa se Splošna uredba v celoti uporablja, vendar pa je varnost obdelave zaradi uporabe psevdonimov ustrezno večja. Kot rečeno pa več o tem aspektu raziskave IP ne more komentirati.

 

IP tudi meni, da bi bilo pred izvedbo raziskave, pri kateri bi prišlo do obdelave osebnih podatkov, glede na posebne okoliščine vsaj priporočljivo (če že ne obvezno) izvesti oceno učinka v zvezi z varstvom podatkov, ki jo predvideva člen 35 Splošne uredbe, v primeru obsežne obdelave posebnih vrst podatkov pa jo zapoveduje točka b člena 35(3). Ocena učinka v zvezi z varstvom podatkov zajema vsaj:

  1. sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;
  2. oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;
  3. oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1, ter
  4. ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

 

Kot velja za vse večje, resnejše ali z etičnega vidika bolj tvegane raziskave, bi bilo verjetno ustrezno, da bi izvajalci omenjene raziskave raziskovalni načrt predložili v obravnavo ustrezni komisiji za etiko (te navadno delujejo v okviru raziskovalnih institucij), ki bi raziskavo preverila tudi z vidika varstva osebnih podatkov glede na vse zasnovane podrobnosti. IP pa nima podatkov, ali in kako je bil ta vidik v omenjeni raziskavi naslovljen, niti ni seznanjen z drugimi vidiki te raziskave. Ob tem poudarjamo, da IP same izvedbe raziskave z vidika zagotavljanja strokovnih in etičnih standardov znanosti in medicinske stroke niti ni pristojen komentirati, ampak lahko komentira le vidike obdelave osebnih podatkov.

 

Za konec naj poudarimo še, da morajo posamezniki v primeru obdelave njihovih osebnih podatkov prejeti ustrezne informacije o takšni obdelavi, s čimer se zagotovi transparentnost obdelave in možnost preverjanja njene zakonitosti. Tako člen 13 Splošne uredbe določa nabor informacij, ki jih mora upravljavec osebnih podatkov zagotoviti posamezniku, med drugim identiteto in kontaktne podatke upravljavca; namene in pravno podlago za obdelavo; uporabnike ali kategorije uporabnikov osebnih podatkov ter nadalje tudi obdobje hrambe osebnih podatkov; obstoj pravic posameznika; obstoj pravice do preklica privolitve; pravico do vložitve pritožbe pri nadzornem organu.

 

Svetujemo, da si več o pravicah posameznika glede varstva podatkov preberete na naši spletni strani www.tiodločaš.si.

 

Vsa mnenja IP so objavljena in dostopna na naši spletni strani: www.ip-rs.si/vop/.

 

Prav tako pa so vsa ključna področja, kot jih ureja Splošna uredba o varstvu podatkov predstavljena na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/, kjer lahko najdete veliko koristnih nasvetov glede bistvenih obveznosti podjetij in drugih organizacij za pravilno izvajanje ukrepov varstva osebnih podatkov.

 

Lep pozdrav,

 

Mojca Prelesnik

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

mag. Polona Merc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov

 

 

 

 

           

To mnenje je nastalo v okviru projekta »Programa pravice, enakost in državljanstvo 2014-2020«, ki ga financira Evropska unija.

 

Vsebina tega mnenja predstavlja neobvezno mnenje Informacijskega pooblaščenca in je izključno njegova odgovornost. Evropska komisija ne sprejema odgovornosti glede uporabe informacij, ki jih mnenje zajema.

 

 


[1] https://www.rtvslo.si/slovenija/slovenija-bo-od-gorickega-do-pirana-iskala-koliko-je-bilo-okuzenih/520681.