Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 12.02.2020
Naslov: Zavarovanje pri naročanju na preglede
Številka: 0712-1/2019/3038
Vsebina: Posebne vrste, Telekomunikacije in pošta, Zavarovanje osebnih podatkov, Zdravstveni osebni podatki
Pravni akt: Mnenje

Obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje. Pojasnjujete, da ste prejeli elektronsko napotnico na zdravniški pregled. Od zdravnika specialista ste nato prejeli poštno dopisnico na dvostranskem kartončku, brez ovojnice, na katerem so navedeni vaši podatki: ime in priimek, naslov, vse informacije o pošiljatelju, torej specialistični ambulanti, kot sporočilo na hrbtni strani pa lastnoročno napisana tudi ura in datum obravnave. Zanima vas, če je to ustrezno ravnanje z osebnimi podatki, saj se lahko kdorkoli od poštnih uslužbencev do lokalnih pismonoš seznani z občutljivimi informacijami o vas?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP pojasnjuje, da člen 5(1)(c) Splošne uredbe določa načelo najmanjšega obsega osebnih podatkov, v skladu s katerim morajo biti osebni podatki, ki se obdelujejo ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. V primeru pošiljanja poštnih pošiljk, to pomeni, da morajo biti podatki na ovojnici ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

 

Dalje IP pojasnjuje, da mora upravljavec osebnih podatkov (v konkretnem primeru izvajalec zdravstvene dejavnosti), poskrbeti tudi za ustrezno varnost ali zavarovanje osebnih podatkov osebnih podatkov, da se prepreči med drugim tudi nepooblaščena seznanitev z osebnimi podatki. Iz člena 32 Splošne uredbe izhaja, da upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje za pravice in svoboščine posameznikov. Tveganje je odvisno od več dejavnikov, pri čemer je treba poudariti, da podatek o naročilu na zdravstveno obravnavo pri specialistu lahko kaže na zdravstveno stanje posameznika, ki sodi med osebne podatke posebne vrste za kar je predpisan posebej strog režim varstva (člen 9 Splošne uredbe). Tveganje za škodljiv vpliv na pravice in svoboščine posameznikov je torej v primeru razkritja posebnih vrst osebnih podatkov nepooblaščenim osebam večje – zato bi morali biti tudi ukrepi za zavarovanje osebnih podatkov ustrezno visoki.

 

IP v okviru mnenja in brez poznavanja konkretnih okoliščin ne more podati zavezujočega stališča glede kršitve predpisov s področja varstva osebnih podatkov. Slednje lahko stori le v okviru konkretnega inšpekcijskega postopka, za kar lahko vložite prijavo (prijavo lahko vložite tudi na našem obrazcu: Prijava kršitve varstva osebnih podatkov (Obrazec ZIN PRIJAVA)).

 

Lep pozdrav,

 

                                                                                                                                 

Anže Novak, univ. dipl. prav.

Svetovalec Pooblaščenca za preventivo

 

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka