Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 06.05.2020
Naslov: Odgovornost za razkritje in objavo zdravstvenih podatkov
Številka: 07121-1/2020/794
Vsebina: Inšpekcijski postopki, Pravne podlage, Zdravstveni osebni podatki
Pravni akt: Mnenje

Informacijski pooblaščenec RS (v nadaljevanju IP) je dne 4. 5. 2020 prejel vaše zaprosilo za pojasnilo. Navajate, da je medicinska sestra v zdravstvenem domu 'izdala' podatke o zdravstvenem stanju pacienta, ki so bili nato objavljeni na facebooku v skupini, ki ima 50.000 uporabnikov. Zanima vas ali je kdo odgovoren za izdajo podatkov in kako odgovarja?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma pojasnjuje, da se pravila varstva osebnih podatkov uporabljajo, kadar gre za obdelavo osebnih podatkov.

»Osebni podatki« so katerakoli informacija v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

»Obdelava« pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

 

Dalje IP pojasnjuje, da osebni podatki v zvezi z zdravjem sodijo v posebno kategorijo t.i. »posebne vrste osebni podatki«, za katere so predpisani strožji pogoji varstva. Podatki iz zdravstvene dokumentacije sodijo v navedeno kategorijo posebnih vrst osebnih podatkov.

 

Za vsako obdelavo osebnih podatkov mora obstajati ustrezna pravna podlaga, pri čemer se objava osebnih podatkov iz zbirke osebnih podatkov (npr. iz zdravstvene dokumentacije) šteje za obdelavo osebnih podatkov. Dopustne pravne podlage za obdelavo posebnih vrst osebnih podatkov so navedene v členu 9(2) Splošne uredbe – med drugim tudi: kadar je posameznik, na katerega se nanašajo osebni podatki, je dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali pravo države članice določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1 (določba 9(2)(a); ali če je obdelava potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3 (določba 9(2)(h);

 

Vsak upravljavec osebnih podatkov (npr. zdravstveni dom) mora poskrbeti tudi za varnost osebnih podatkov, ki jih obdeluje – med drugim tudi, da prepreči nepooblaščen dostop in razkritje nepooblaščenim osebam. Slednje zagotovi prek vzpostavitve notranjih pravil varnega ravnanja z osebnimi podatki in navodili zaposlenim.

 

IP v inšpekcijskem postopku preverja izpolnjevanje pogojev varstva osebnih podatkov za konkretni primer obdelave osebnih podatkov. Pri tem ugotavlja npr.:

  • Ali so bili obdelani osebni podatki (torej podatki, ki določajo posameznika ali je z njimi posameznik določljiv)?
  • Ali za obdelavo osebnih podatkov obstaja ustrezna pravna podlaga?
  • Ali so bila spoštovana pravila glede varne obdelave osebnih podatkov (npr. ali je prišlo do neupravičenega razkritja osebnih podatkov)?

 

Odgovornost in posledice za morebitno kršitev lahko nosi upravljavec zbirke (npr. zdravstveni dom), odgovorna oseba upravljavca (npr. medicinska sestra) ali uporabnik osebnih podatkov (npr. oseba, ki je objavila podatke na spletu). Odgovornost vsakega deležnika v tokokrogu obdelav osebnih podatkov preverja IP v konkretnem inšpekcijskem postopku.

 

Če menite, da je z ravnanjem medicinske sestre in objavo na spletnem omrežju, prišlo do kršitve pravil varstva osebnih podatkov, lahko podate inšpekcijsko prijavo na IP, v kateri navedete vse konkretne okoliščine, vključno z določitvijo kršiteljev in če je mogoče predložite tudi dokaze (npr. zaslonski posnetek objave na spletu). Za prijavo kršitev lahko uporabite tudi naš obrazec: Prijava kršitve varstva osebnih podatkov (Obrazec ZIN PRIJAVA). Prijavo lahko vložite tudi po elektronski pošti na gp.ipping@ip-rspong.si.

 

Lep pozdrav,

 

 

Informacijski pooblaščenec

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

 

Pripravil:

Anže Novak, univ. dipl. prav.

Svetovalec Pooblaščenca za preventivo