Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 22.06.2020
Naslov: Posredovanje podatkov po telefonu
Številka: 07120-1/2020/420
Vsebina: Posredovanje OP med upravljavci, Pravica do seznanitve z lastnimi osebnimi podatki, Pravne podlage, Zavarovanje osebnih podatkov, Zdravstveni osebni podatki
Pravni akt: Mnenje

Zahvaljujemo se vam za posredovana vprašanja glede ustreznosti oz. skladnosti osnutka Navodil za delo – Posredovanje osebnih podatkov s Splošno uredbo o varstvu podatkov.

 

Kot ste seznanjeni, Informacijski pooblaščenec (IP) ni pristojen za podajo soglasij ali odobritev o skladnosti posameznih internih aktov upravljavcev s predpisi s področja varstva osebnih podatkov. Vsekakor pa pozdravljamo vsako prizadevanje in napor upravljavcev, da (tudi) z internimi akti poskrbijo, da so postopki obdelave na praktični ravni urejeni tako, da so naslovljena vsa tveganja, do katerih v praksi lahko prihaja, ter da so zaposleni in drugi, ki v imenu upravljavca izvajajo posamezna dejanja obdelave osebnih podatkov (kamor vsekakor sodi tudi posredovanje podatkov tretjim), seznanjeni s predpisi s področja varstva podatkov.

 

V nadaljevanju vam glede na navedeno in na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov oz. Uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) podajamo nekatera splošna pojasnila, na katera morate biti med drugim pozorni, ko gre za posredovanje osebnih podatkov pacientov (gre za posebej občutljive, t.i. posebne vrste osebnih podatkov) tretjim. Pri tem pa mora biti upravljavec tisti, ki ustrezno opredeli vse oblike obdelave osebnih podatkov, ki jih izvaja, določi konkreten nabor osebnih podatkov in pravne podlage zanje, upravičene prejemnike podatkov ter v zvezi s tem prepozna vsa tveganja, do katerih v praksi in v konkretnih delovnih procesih prihaja ter jih ustrezno naslovi. Predvsem je pomembna organizacija teh delovnih procesov tako, da se možnost zlorab čim bolj prepreči oz. zmanjša ob učinkovitem izvajanju dela in nalog, ki so upravljavcu zaupane. Skladnost konkretnih obdelav pa lahko IP presoja zgolj v okviru inšpekcijskega postopka. Vedno je namreč treba upoštevati konkretne okoliščine posameznih primerov, zato enoznačen odgovor, ki bi veljal za vse konkretne primere ni mogoč.

 

V vašem primeru se zdi smiselno zlasti, da so navodila dovolj konkretno opredeljena glede na situacije, s katerimi se zaposleni v praksi srečujejo v vaši organizaciji. Kot ugotavljamo, so navodila v delu konkretna v delu pa dokaj splošna in morda ne opredeljujejo vseh konkretnih situacij, ki izhajajo iz pravnih podlag za posredovanje osebnih podatkov pacientov tretjim, kot jih opredeljuje področna zakonodaja npr. Zakon o pacientovih pravicah, Zakon o nalezljivih boleznih, Zakon o zbirkah podatkov s področja zdravstvenega varstva, drugi predpisi in kot se verjetno v praksi pojavljajo. Zato predlagamo, da na podlagi predpisov in v sodelovanju z konkretnimi zaposlenimi preverite, ali so naslovljene vse situacije, do katerih v praksi prihaja.

 

O različnih oblikah zavarovanja osebnih podatkov kot tudi do razkrivanju informacij (tudi po telefonu) so že bila izdana nekatera mnenja IP, ki so dostopna na spletni strani IP. Uslužbenec bolnišnice se je zlasti npr. upravičen in dolžan na primeren način prepričati o identiteti klicočega pacienta (izvesti avtentikacijo kot navajate), kar seveda velja le v primeru, da gre za pogovor, v katerem bo prišlo do razkrivanja konkretnih osebnih podatkov. Načinov ugotavljanja identitete klicočih pacientov je več in ena od njih je tudi preverjanje dodatnih identifikacijski podatkov. V mnenju se do učinkovitosti posameznih metod IP ne sme opredeljevati. 

 

Lepo vas pozdravljamo,

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

 

 

Pripravila:

Alenka Jerše, univ. dipl. prav.

namestnica informacijske pooblaščenke