Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 24.06.2020
Naslov: Obdelava podatkov o zdravstvenem stanju
Številka: 07121-1/2020/1129
Vsebina: Posebne vrste, Pravne podlage, Zdravstveni osebni podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede seznanitve s  podatki o vašem zdravstvenem stanju.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. To pomeni, da IP v okviru izdaje mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za razkritje osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določeno razkritje osebnih podatkov zakonito. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov.

 

IP uvodoma pojasnjuje, da v skladu z drugo točko 4. člena Splošne uredbe o varstvu podatkov obdelava osebnih podatkov pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, med drugim tudi razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa. Za zakonito obdelavo osebnih podatkov je treba vselej imeti ustrezno pravno podlago. Splošna uredba o varstvu podatkov določa pravne podlage v prvem odstavku 6. člena, kjer določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

 

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

 

Iz vašega zaprosila za mnenje izhaja, da bi v konkretnem primeru lahko šlo za obdelavo osebnih podatkov v zvezi z zdravjem. Ti podatki v skladu s prvim odstavkom 9. člena Splošne uredbe o varstvu osebnih podatkov sodijo med posebne vrste osebnih podatkov (v skladu z ZVOP-1 so bili to občutljivi osebni podatki). Pri obdelavi tovrstnih osebnih podatkov je treba upoštevati tudi določbe drugega odstavka 9. člena Splošne uredbe o varstvu podatkov, v skladu s katerim je obdelava tovrstnih podatkov dopustna le pod določenimi pogoji. Ti pogoji so podrobneje navedeni na spletni strani IP:

https://www.ip-rs.si/varstvo-osebnih-podatkov/inspekcijski-nadzor/najbolj-pogoste-krsitve/zdravstveni-podatki/

 

V vsakem primeru je torej za zakonito obdelavo osebnih podatkov treba zagotoviti ustrezno pravno podlago, sicer obdelava osebnih podatkov ni zakonita. Zato vam predlagamo, da se za utemeljitev pravne podlage za razkritje vaših zdravstvenih osebnih podatkov v konkretnem primeru obrnete neposredno na zdravstveno ustanovo, kjer trenutno opravljate terapijo, kot upravljavca osebnih podatkov.

 

Ob tem IP pojasnjuje še, da Splošna uredba o varstvu podatkov v 77. členu določa, da ima brez poseganja v katero koli drugo upravno ali pravno sredstvo vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo. Nadzorni organ v RS je Informacijski pooblaščenec, ki je v skladu z 2. členom ZInfP samostojen in neodvisen državni organ, pristojen za inšpekcijski nadzor nad izvajanjem zakona in drugih predpisov, ki urejajo varstvo ali obdelavo osebnih podatkov oziroma iznos osebnih podatkov iz Republike Slovenije, ter opravljanje drugih nalog, ki jih določajo ti predpisi.

 

V kolikor menite, da so vam bile kršene vaše pravice v zvezi z varstvom osebnih podatkov, lahko pri IP vložite prijavo po elektronski pošti na naslov gp.ip@ip-rs.si, oz. po navadni pošti na naslov: Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana. To lahko storite tudi preko obrazca, ki je dostopen na spletni strani IP:

 

https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vlozitev-prijave

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka