Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 10.04.2020
Naslov: Zacasna omejitev porocanja podatkov o okužbah s COVID-19 v CRPP
Številka: 07120-1/2020/291
Vsebina: Posebne vrste, Pravne podlage, Pridobivanje OP iz zbirk, Zdravstveni osebni podatki
Pravni akt: Mnenje

pri Informacijskem pooblaščencu (IP) smo dne 9. 4. 2020 prejeli vaše zaprosilo za mnenje (povzetek):

  1. o tem, ali je ob številnih zahtevah zunanjih uporabnikov od teh primerno zahtevati natančno obrazloženo pravno podlago za pridobitev osebnih podatkov, ali bi bilo v takih primerih bolj smotrno o zahtevah obveščati IP;
  2. o začasni omejitvi poročanja podatkov o okužbah s COVID-19 v CRPP oziroma v povzetek podatkov o pacientih (PPoP) zaradi preprečevanja neupravičenih dostopov do podatkov in možne stigmatizacije.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

 

1. Po mnenju IP je dopustno, da NIJZ kot upravljavec od zunanjih uporabnikov zahteva navedbo pravne podlage ter njeno obrazložitev (utemeljitev), zlasti če gre za splošne ali izjemne pravne podlage. Na IP se lahko obrnete s prijavo, če bi zaznali konkretne kršitve varstva osebnih podatkov s strani uporabnikov.

 

2. Po mnenju IP je - z vidika pravil o varstvu osebnih podatkov in nadzorne pristojnosti IP - dopustno, da se začasno omeji zapisovanje ali branje podatkov okužbah s COVID-19 v zbirki »povzetek podatkov o pacientu«.

 

 

 

O b r a z l o ž i t e v:

 

1. Upravljavčeva pravica in dolžnost je, da v zvezi z vsako zahtevo uporabnika za posredovanje osebnih podatkov preveri, ali je za posredovanje podatkov podana pravna podlaga. To pomeni da mora preveriti oziroma interpretirati, ali in kaj je določeno v relevantnem predpisu (tj. kakšni so materialnopravni in morebitni postopkovni pogoji za posredovanje podatkov) in ali dejstva opravičujejo uporabo interpretirane pravne podlage (tj. ali so podane konkretne okoliščine, zaradi katerih so izpolnjeni materialnopravni pogoji). Na koncu mora zahtevo preveriti še z vidika načela najmanjšega obsega podatkov v členu 5 Splošne uredbe o varstvu podatkov. Opisano preverjanje je pogosto odvisno od informacij, ki jih lahko upravljavcu poda le uporabnik podatkov.

 

Odločitev o tem, kakšna raven obrazložitve je primerna, je v rokah upravljavca in se je ne da vnaprej določiti. Pri enostavnih posredovanjih navajanje pravne podlage in njeno utemeljevanje sploh ni potrebno (npr. redna izmenjava podatkov med velikimi zbirkami ali kadar je pravna podlaga zelo določna in ozka). Drugače je, če gre za splošne in izjemne pravne podlage, npr. (c), (g) in (i) točka drugega odstavka čena 9 Splošne uredbe o varstvu podatkov. Priporočamo le, da se s pretiranimi zahtevami po obrazložitvi ne omejuje dostopa do podatkov s strani zakonitih uporabnikov.

 

Za vsako zahtevo ni smislelno posvetovanje z IP, ker bi se IP težko določno in vnaprej opredlil do konkretnih primerov brez poznavanja vseh relevantnih informacij. Če pa boste naleteli na primere zlorab osebnih podatkov, lahko pri IP podate inšpekcijsko prijavo. 

 

2. Začasna prekinitev beleženja ali dostopanja do posameznih zdravstvenih zapisov v zbirki »povzetek podatkov o pacientu« ima več vidikov. IP se lahko do vprašanja opredeli le z vidika svoje pristojnosti torej, ali je tak začasen režim dopusten z vidika varstva osebnih podatkov oziroma povedano drugače, ali bi ta predstavljal kršitev varstva osebnih podatkov. Ker z ZZPPZ ni predpisana sankcionirana oziroma absolutna obveznost NIJZ, da zagotavlja (stalno) beleženje vseh predvidenih zdravstvenih podatkov in da zagotavlja (stalni) dostop do teh podatkov, začasna uknitev ne bi predstavljala kršitve, za nadzor katere bi bil pristojen IP.  

 

Prijazen pozdrav,

 

 

Pripravil:
mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

 

 

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka