Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 06.05.2020
Naslov: Privolitev po Pravilniku o pooblastilih za obdelavo podatkov v CRPP
Številka: 07120-1/2020/339
Vsebina: Pravne podlage, Privolitev, Zdravstveni osebni podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Pojasnjujete, da ste s strani NIJZ prejeli vprašanje, ali se za privolitev, kot jo predvideva Pravilnik o pooblastilih za obdelavo podatkov v Centralnem registru podatkov o pacientih, lahko glede na določila zakonodaje uporabi tudi ustna privolitev pacienta. Prilagate dopis z vašim razumevanjem zakonodaje.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

***

 

V dopisu kot osnovno pravno podlago za dostop do osebnih podatkov navajate ZVOP-1. IP opozarja, da se je 25. 5. 2018 na področju varstva osebnih podatkov začela uporabljati Splošna uredba o varstvu podatkov, ki v veliki meri nadomešča določbe dosedanjega ZVOP-1. Glede na to, da Republika Slovenija še ni sprejela zakona, s katerim bi uredila izvajanje Splošne uredbe o varstvu podatkov in razveljavila določbe obstoječega ZVOP-1, pa sta v Republiki Sloveniji do uveljavitve takšnega zakona v uporabi dva predpisa, ki na sistemski ravni urejata področje varstva osebnih podatkov, in sicer Splošna uredba o varstvu podatkov ter ZVOP-1. Ker se Splošna uredba v članicah Evropske unije uporablja neposredno, ostajajo v Republiki Sloveniji po 25. 5. 2018 v veljavi le še tiste določbe ZVOP-1, ki jih Splošna uredba o varstvu podatkov ne ureja drugače in niso v nasprotju z določbami te uredbe.

 

Načelo sorazmernosti iz 3. člena ZVOP-1 tako sedaj ureja Splošna uredba o varstvu podatkov v členu 5(1)(c), skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (t.i. načelo najmanjšega obsega podatkov).

 

Pravne podlage za obdelavo osebnih podatkov določa Splošna uredba o varstvu podatkov v členu 6(1) in so za javni sektor naslednje:

  • posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov (točka a),
  • obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe (točka b),
  • obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca (točka c),
  • obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe (točka d),
  • obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu (točka e).

 

Skladno s členom 9(1) Splošne uredbe o varstvu podatkov je obdelava posebnih vrst osebnih podatkov (prej poimenovani občutljivi osebni podatki), kamor sodijo tudi podatki o zdravstvenem stanju posameznika, praviloma prepovedana, izjemoma pa je dopustna, če je izpolnjen eden izmed pogojev iz člena 9(2) Splošne uredbe o varstvu podatkov, npr. če je posameznik, na katerega se nanašajo osebni podatki, dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov (točka a) ali če je obdelava potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene oskrbe ali zdravljenja na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3 (točka h) oziroma če je obdelava potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije ali prava države članice, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti (točka i). Obdelava posebnih vrst osebnih podatkov je skladno s členom 9(2)(c) dovoljena tudi, če je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve.

 

IP poudarja, da mora biti vsaka obdelava osebnih podatkov o zdravstvenem stanju skladna z vsemi načeli iz člena 5 Splošne uredbe o varstvu podatkov in temeljiti na eni izmed pravnih podlagi ter predpisanih odstopanj iz členov 6(1) in 9(2) Splošne uredbe o varstvu podatkov. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca.

 

IP nadalje pripominja, da Zakon o pacientovih pravicah (Uradni list RS, št. 15/08 in 55/17; v nadaljevanju ZPacP) v 44. členu ne določa, da je uporaba in obdelava pacientovih osebnih podatkov dovoljena za potrebe zdravljenja, kot izhaja iz vašega dopisa. Tak zapis po oceni IP ni dovolj natančen. Pacientovi zdravstveni in drugi osebni podatki se namreč obdelujejo na podlagi različnih zakonov, npr. ZPacP, Zakona o zbirkah podatkov s področja zdravstvenega varstva, Zakona o zdravstvenem varstvu in zdravstvenem zavarovanju, Zakona o zdravniški službi, Zakona o zdravstveni dejavnosti, Zakona o duševnem zdravju in drugih zakonov s področja varstva osebnih podatkov ali zdravstva. V skladu s tretjim in četrtim odstavkom 44. člena ZPacP pa lahko pacient privoli tudi v obdelavo osebnih podatkov pri izvajalcu zdravstvenih storitev, ki sicer ni predvidena v nobenem drugem zakonu oziroma zanjo ni podana druga ustrezna pravna podlaga. Takšna privolitev se lahko da za potrebe zdravstvene oskrbe (tretji odstavek 44. člena ZPacP) oziroma za potrebe izven zdravstvene oskrbe (četrti odstavek 44. člena ZPacP). Šesti odstavek 44. člena ZPacP pa izrecno določa, da privolitev za uporabo in drugo obdelavo osebnih podatkov po tretjem in četrtem odstavku tega člena ni potrebna:

- če za namene epidemioloških in drugih raziskav, izobraževanja, medicinskih objav ali druge namene pacientova istovetnost ni ugotovljiva,

- če za namene spremljanja kakovosti in varnosti zdravstvene obravnave pacientova istovetnost ni ugotovljiva,

- kadar prijavo zdravstvenega stanja zahteva zakon,

- kadar se zaradi potreb zdravljenja podatki posredujejo drugemu izvajalcu zdravstvene dejavnosti,

- kadar to določa drug zakon.

 

Dostop oziroma obdelava osebnih in zdravstvenih osebnih podatkov v primeru nudenja nujne medicinske pomoči prav tako ne temelji več na 12. členu ZVOP-1, na katerega se sklicujete v dopisu, temveč na sedaj veljavnem členu 6(1)(d) v zvezi s členom 9(2)(c) Splošne uredbe o varstvu podatkov.

 

***

 

Pravilnik o pooblastilih za obdelavo podatkov v Centralnem registru podatkov o pacientih (Uradni list RS, št. 51/16; v nadaljevanju Pravilnik) v prvem odstavku 4. člena predpisuje, da lahko zdravnik v okviru zdravstvene oskrbe pacienta v Centralnem registru podatkov o pacientih (CRPP) v skladu s pooblastili iz Priloge tega pravilnika vpogleduje, pridobiva in uporablja zdravstveno dokumentacijo pacienta na podlagi:

-        pacientove privolitve,

-        izjave o izbiri izbranega osebnega zdravnika,

-        napotne listine,

-        izvajanja službe nujne medicinske pomoči ali

-        listine za napotitev na obdukcijo.

 

NIJZ vas sprašuje, ali je lahko privolitev, kot jo predvideva Pravilnik, tudi ustna privolitev pacienta.

 

V dopisu pojasnjujete, da v skladu s pravnimi podlagami za dostop do podatkov in dokumentov v CRPP, ki jih naštevate, pacient tudi pri zdravstveni obravnavi, kjer sam ni osebno prisoten, vendar ima izbranega osebnega zdravnika pri konkretnem izvajalcu zdravstvene dejavnosti in mu je pojasnjeno, da ga zaradi trenutnih razmer obravnava nadomestni zdravnik, s predajo svojih osebnih podatkov, vključno z opisom zdravstvenega stanja, nadomestnemu zdravniku podeli pravico tudi do vpogleda v osebne (zdravstvene) podatke in dokumente v CRPP. Menite, da se lahko privolitev poda ustno ali s telekomunikacijskim ali drugim ustreznim sredstvom oziroma je lahko privolitev dana na drug ustrezen način, iz katerega je mogoče nedvomno sklepati na posameznikovo privolitev. Ocenjujete, da je tak način lahko tudi podaja soglasja z zgoraj opisanim konkludentnim ravnanjem pacienta.

 

IP s tem zaključkom ne soglaša. Drži sicer, da veljavna zakonodaja na področju varstva zdravstvenih osebnih podatkov, ki jo citirate v dopisu, ne določa izrecne pisne privolitve v obdelavo osebnih podatkov. Vendar pa Splošna uredba o varstvu osebnih podatkov zahteva za dopustnost obdelave podatkov v zvezi z zdravjem v členu 9(2)(a) izrecno privolitev posameznika. Izrecna privolitev v Splošni uredbi o varstvu podatkov ni posebej opredeljena, se pa od »navadne« privolitve razlikuje po tem, na kakšen način je izražena. Vsaka privolitev mora skladno s členom 4(11) Splošne uredbe o varstvu podatkov obsegati posameznikovo prostovoljno, izrecno, informirano in nedvoumno izjavo volje. Bistvena razlika med navadno in izrecno privolitvijo pa je, da mora biti izrecna privolitev podana z izjavo (torej z besedami), ne pa tudi z drugim pritrdilnim dejanjem. Izrecna privolitev, kot jo predpisuje Splošne uredba o varstvu podatkov, je torej lahko ustna, ne more pa biti konkludentna. Se pa ob tem zastavlja vprašanje dokazljivosti takšne privolitve. Bistveno je, da pacient na ustrezen način, lahko tudi ustno ali s telekomunikacijskim ali drugim ustreznim sredstvom, poda izjavo (z besedami), s katero izrazi soglasje z obdelavo zdravstvenih podatkov, ki se nanašajo nanj.

 

IP se zato ne strinja, kot navajate v dopisu, da pacient že s predajo svojih osebnih podatkov ter z opisom zdravstvenega stanja nadomestnemu zdravniku podeli pravico tudi do vpogleda v osebne (zdravstvene) podatke in dokumente v CRPP. Na tem mestu se uvodno zastavlja že vprašanje, zakaj glede na definicijo nadomestnega zdravnika iz Pravil obveznega zdravstvenega zavarovanja ta za obdelavo pacientovih zdravstvenih podatkov sploh potrebuje njegovo privolitev glede na to, da osebnega zdravnika nadomešča v njegovi odsotnosti z vsemi njegovimi pooblastili.

 

IP na podlagi do sedaj navedenega meni, da lahko zdravnik, ki nima podlage za obdelavo pacientovih zdravstvenih v izjavi o izbiri osebnega zdravnika ali napotni listini oziroma izvajanju nujne medicinske pomoči, obdeluje pacientove podatke v zvezi z zdravjem iz CRPP na podlagi njegove privolitve, ki pa ne sme biti konkludentna, torej podana z določenim pritrdilnim dejanjem, temveč mora biti izrecna (pisna ali ustna) skladno s členom 9(2)(a) Splošne uredbe o varstvu podatkov.

 

 

Lep pozdrav,

 

                                                                                                     Mojca Prelesnik, univ. dipl. prav.,                                                

                                                                                                           informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov