Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 14.05.2020
Naslov: Dostop zakonitega upravljavca registra raka do podatkov v zbirkah izvajalca zdravstvene dejavnosti
Številka: 07121-1/202/846
Vsebina: Posredovanje OP med upravljavci, Pravne podlage, Pridobivanje OP iz zbirk, Zdravstveni osebni podatki
Pravni akt: Mnenje

Pri Informacijskem pooblaščencu (IP) smo dne 7. 5. 2020 prejeli vaše vprašanje o tem, pod kakšnimi pogoji je Onkološki inštitut (OI), kot zakoniti upravljavec npr. registra raka po Zakonu o zbirkah podatkov s področja zdravstvenega varstva (ZZPPZ), upravičen do osebnih podatkov, s katerimi upravljajo izvajalci zdravstvene dejavnosti (obvezni poročevalci), in sicer na način informatiziranega dostopa do širših zbirk podatkov oziroma širšega obsega dokumentacije zato, da bi lahko iz teh zbirk strokovno izločil in prevzel podatke, ki so potrebni za vodenje zakonske zbirke podatkov po ZZPPZ. Tehnološko se omejenega dostopa pri vas kot izvajalcu ne da zagotoviti, do sedaj pa ste podatke pripravljali sami in jih OI pošiljali v papirni obliki.


Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

 

Po mnenju IP za dopustitev širšega dostopa do informatiziranih zbirk zdravstvenih podatkov, ki bi ga z aktivno registracijo izvajal uporabnik za namen izločanja in prevzemanja podatkov za vodenje zakonsko določene zbirke podatkov pri uporabniku, ni pravne podlage v smislu člena 9 Splošne uredbe (EU) o varstvu podatkov (prvi odstavek, točke b do j).

 

O b r a z l o ž i t e v:

 

Ker se v zakonsko določeni zbirki osebnih podatkov (npr. register raka) vodijo le v ZZPPZ taksativno našeteti podatki oziroma skupine podatkov, upravljavec te zbirke kot siceršnji zakoniti uporabnik ni upravičen od izvajalca (kot poročevalca) pridobiti drugih (presežnih, irelevantnih) osebnih podatkov pacientov, in sicer ne glede na to, ali jih izvajalec uporabniku posreduje sam ali uporabnik do njih prek informacijskih rešitev dostopa neposredno pri upravljavcu. Uporabnik bi moral dostopati le do končnih osebnih podatkov, torej do podatkov, ki se v skladu z ZZPPZ v lahko in morajo voditi v določeni zbirki osebnih podatkov. Po mnenju IP v konkretnem primeru niso izpolnjeni pogoji za sklicevanje na nobeno od podlag (točke b do j v drugem odstavku) člena 9 Splošne uredbe o varstvu podatkov, zlasti zato, ker ni videti, da bi šlo za edini možen način dostopa do podatkov za vodenje zakonske zbirke podatkov (torej ni elementa nujnosti) in ker ZZPPZ ni niti implicitno ali posredno dopustil širšega dostopanja do podatkov. Edina podlaga, ki seveda pride v poštev je privolitev pacientov (točka a).

 

Če torej s tehničnega vidika ni možno uporabniku zagotoviti omejenega dostopa do izvornih zbirk podatkov, mora izvajalec sam poiskati in pripraviti osebne podatke (predhodno obdelati) zato, da bi jih potem posredoval uporabniku oziroma, da bi mu omogočil dostop do njih.  

 

Zaradi pomanjkanja informacij in ker se IP kot nadzorni organ ne more izven inšpekcijskega postopka vnaprej konkretno opredeljevati do konkretnih rešitev pri obdelavi podatkov, vam ne moremo dokončno potrditi:

  • ali bi v konkretnem primeru vsaj deloma prišel v poštev 23. člen ZVOP-1, ki velja za umrle posameznike in
  • ali bi v konkretnem primeru uporabnik pri pripravi oziroma izločanju podatkov lahko nastopal kot pogodbeni obdelovalec v smislu člena 28 Splošne uredbe o varstvu podatkov.

 

Lepo vas pozdravljamo,

 

 

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka