Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 22.06.2020
Naslov: Pridobivanje zdravstvenih podatkov o COVID-19 za znanstveno-raziskovalne namene
Številka: 07120-1/2020/419
Vsebina: Informiranje posameznika, Ocene učinkov v zvezi z varstvom podatkov , Posebne vrste, Pravne podlage, Statistika in raziskovanje , Zdravstveni osebni podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da je NIJZ zadolžen za spremljanje in obvladovanje nalezljivih bolezni v Republiki Sloveniji. Na inštitutu izvajate obsežno znanstveno raziskovanje v zvezi z omejevanjem COVID-19, pri čemer prihaja tudi do obdelave osebnih podatkov. Za konkretno raziskavo, povezano z izvajanjem karantene in testiranji, bi potrebovali podatke od laboratorijev, ki izvajajo testiranja. Podatke bi nato uparili z že obstoječimi podatki iz Evidence nalezljivih bolezni. Sami menite, da je podlaga za takšno obdelavo v točki (j) člena 9(2) Splošne uredbe (obdelava posebnih vrst osebnih podatkov za znanstveno- ali zgodovinskoraziskovalne namene)

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

Že uvodoma vas glede vseh vprašanj, povezanih z obdelavo posebnih vrst osebnih podatkov (natančneje podatkov o zdravstvene stanju, povezanem s COVID-19) za znanstveno-raziskovalne namene napotujemo na Smernice Evropskega odbora za varstvo podatkov (EDPB) št. 03/2020 o obdelavi podatkov o zdravstvenem stanju za namene znanstvenih raziskav v okviru izbruha COVID-19, sprejete 21. aprila 2020. Smernice so tudi v slovenskem jeziku dosegljiva prek te povezave: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_sl.pdf.

 

Prav tako vas že uvodoma napotujemo na morebitno obveznost izvedbe ocene učinka v zvezi z varstvom podatkov iz člena 35 Splošne uredbe, ki se skladno s točko (b) člena 35(1) zahteva v primeru obsežne obdelave posebnih vrst podatkov iz člena 9(1). Pri tem izhajajte tudi iz Seznama dejanj obdelav  osebnih  podatkov,  za  katere  velja  zahteva  po  izvedbi  ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku člena 35 Uredbe (EU) 2016/679 (https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf). Med drugim iz seznama izhaja, da je ocena učinka obvezna v primeru obdelave posebnih vrst osebnih podatkov, ko obdelava takšnih podatkov poteka za druge namene, kot za tiste, za katere so bili podatki zbrani. V zvezi z oceno učinka je Informacijski pooblaščenec pripravil tudi smernice, za katere priporočamo, da jih pred začetkom raziskave temeljito preučite. Dostopne so na naši spletni strani prek povezave: https://www.ip-rs.si/publikacije/prirocniki-in-smernice/ocene-ucinkov-na-varstvo-podatkov/

 

V nadaljevanju pa vam podajamo še nekatere odgovore na vaša vprašanja ter napotke za obdelavo osebnih podatkov pri izvajanju omenjene raziskave, ki pa le dopolnjujejo zgoraj omenjene Smernice glede na nacionalni kontekst, okoliščine in zakonodajo.

 

Iz Smernic EDPB izhaja, da je treba pri obdelavi osebnih podatkov o zdravstvenem stanju za namene znanstveno-raziskovalne dejavnosti v prvi fazi opredeliti, ali gre za »primarno« ali »sekundarno« uporabo osebnih podatkov. V primeru, ki ste nam ga predstavili, vse kaže, da gre za raziskavo na podlagi osebnih (zdravstvenih) podatkov, ki zajemajo nadaljnjo obdelavo podatkov, ki so bili prvotno zbrani za drug namen (t.i. sekundarna uporaba). Takšna opredelitev uporabe pa je pomembna za opredeljevanje pravne podlage za obdelavo, za opredelitev obveznosti obveščanja in za presojo načela omejitve namena v skladu s točko (b) člena 5(1) Splošne uredbe (gl tč. 11-14 Smernic).

 

Glede pravne podlage za obdelavo osebnih podatkov tudi Smernice izpostavljajo pravno podlago iz točke (j) člena 9(2) Splošne uredbe, vendar poudarjajo, da mora biti ta podlaga v kombinaciji s posebnim zakonom (nacionalnim pravom ali pravom Unije), ki opredeljuje pravno podlago za obdelavo  zdravstvenih  podatkov  za  namene  znanstvenih  raziskav.  Zato  se  pogoji  in  obseg  take obdelave razlikujejo glede na sprejeto zakonodajo posamezne države članice.

 

17. člen ZVOP-1, ki se uporablja kljub sprejemu Splošne uredbe, v prvem odstavku določa, da se lahko ne glede na prvotni namen zbiranja osebni podatki nadalje obdelujejo za zgodovinsko, statistično in znanstveno-raziskovalne namene. Drugi odstavek istega člena pa določa, da se osebni podatki posredujejo uporabniku za te namen obdelave v anonimizirani obliki, če zakon ne določa drugače ali če posameznik, na katerega se nanašajo osebni podatki, ni predhodno podal pisne privolitve, da se lahko obdelujejo brez anonimiziranja. 17. člen ZVOP-1 tako določa anonimizirano obdelavo podatkov, če zakon ne določa podlage za ne-anonimizirano obdelavo, torej obdelavo osebnih podatkov posameznikov (ali v primeru osebne privolitve posameznikov). Za konkretno pravno podlago moramo torej pogledati področne zakone, v vašem primeru Zakon o nalezljivih boleznih in Zakon o zbirkah podatkov s področja zdravstvenega varstva.

 

16. člen Zakona o nalezljivih boleznih (Uradni list RS, št. 33/06 – uradno prečiščeno besedilo in 49/20 – ZIUZEOP; v nadaljevanju ZNB) določa, da inštitut na podlagi prijav zdravnikov o diagnozi ali sumu nalezljive bolezni ter podatkov laboratorijskih preiskav o povzročiteljih nalezljivih bolezni spremlja gibanje nalezljivih bolezni in vodi evidence v skladu s posebnim zakonom ter o tem obvešča ministrstvo, pristojno za zdravje. Zakon, ki ureja vodenje navedenih evidenc, je Zakon o zbirkah podatkov s področja zdravstvenega varstva (Uradni list RS, št. 65/00, 47/15 in 31/18; v nadaljevanju ZZPPZ), ki se v 5. členu glede vodenja in vsebine evidenc sklicuje na Prilogo 1, v tej pa je opredeljena evidenca »NIJZ 48. Evidenca nalezljivih bolezni«. Iz slednje izhaja, katere podatke so NIJZ dolžni posredovati »JZZ ter druge pravne in fizične osebe v zdravstveni dejavnosti…« in jih je NIJZ dolžan in upravičen voditi. Namen evidence pa je »spremljanje pojava nalezljivih bolezni, njihovi značilnosti in ovrednotenje izvedenih ukrepov.«, kar se sklada s temeljnim namenom obstoja NIJZ, ki je med drugim spremljanje gibanja nalezljivih bolezni in opravljanje raziskav, ki služijo preprečevanju in omejevanju širjenja nalezljivih bolezni. 5. člen ZNB določa, da Inštitut spremlja in proučuje epidemiološke razmere nalezljivih bolezni v skladu z obveznostmi, sprejetimi z mednarodnimi sporazumi in v skladu s programi Svetovne zdravstvene organizacije ter na tej podlagi in v skladu s planom zdravstvenega varstva Republike Slovenije pripravi programe za preprečevanje, obvladovanje, odstranitev (eliminacijo) in izkoreninjenje (eradikacijo) nalezljivih bolezni.

 

Glede na navedeno IP meni, da bi pravno podlagp za obdelavo osebnih podatkov, ki bi jih prejeli od laboratorijev, lahko predstavljal 5. člen ZZPPZ v povezavi s Prilogo 1, v kateri je opredeljena evidenca NIJZ 48. Evidenca nalezljivih bolezni, v povezavi s točko (j) člena 9(2) Splošne uredbe. Pri vsem tem pa je bistvena zasnova raziskave in spoštovanje načel varstva osebnih podatkov, ki jih izpostavljajo tudi omenjene Smernice.

 

Med načeli varstva osebnih podatkov posebej izpostavljamo načelo transparentnosti (informiranja posameznikov), načelo sorazmernosti ter sprejem ustreznih zaščitnih ukrepov za varovanje osebnih podatkov, ki morajo biti pri obdelavi posebnih vrst osebnih podatkov zaradi povišanega tveganja še posebej strogi.

 

IP glede načela transparentnosti oz. obveznosti informiranja posameznikov o obdelavi njihovih osebnih podatkov na tem mestu zaznava konflikt med drugim odstavkom 4. člena ZZPPZ in obveznostjo obveščanja posameznika iz člena 13 in 14 Splošne uredbe. V ZZPPZ je namreč navedeno, da »[v] primerih posrednega zbiranja osebnih podatkov, posameznika ni potrebno predhodno seznaniti s tem, da se bodo podatki pridobili iz že obstoječe zbirke podatkov, če ni s tem zakonom drugače določeno.« Člen 14 Splošne uredbe pa določa obveznost informiranja posameznika o obdelavi njegovih osebnih podatkov, kadar ti niso bili pridobljeni od posameznika. Od navedenega pravila je sicer določena tudi izjema, ki v členu 14(5) ki določa, da posameznika ni treba informirati, če »je pridobitev ali razkritje izrecno določeno s pravom Unije ali pravom države članice, ki velja za upravljavca in s katerim so določeni ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki«. Vendar pa tudi Smernice EDPB opozarjajo, da se »mora tako pravo nanašati neposredno na upravljavca  podatkov,  zadevna  pridobitev  ali  razkritje  pa  bi  moralo  biti  obvezno  za  upravljavca podatkov. Pri  sklicevanju  na  to  izjemo  Evropski  odbor  za  varstvo  podatkov  opozarja,  da  mora  biti upravljavec  podatkov  zmožen  dokazati,  da  se  zadevno  pravo  nanaša  nanj  in  od  njega  zahteva,  da pridobi ali razkrije zadevne osebne podatke.« Glede na navedeno IP opozarja, da morate po temeljitem premisleku in preučitvi vseh pravnih virov, pravil in izjem ugotoviti, ali obstaja obveznost obveščanja posameznika. V dvomu (če torej pravila kolizije pravnih virov ter ostala pravila in izjeme pripeljejo do nejasnih ali nasprotujočih si rezultatov) vam svetujemo, da ravnate v korist zasebnosti posameznika in prevzamete obveznost obveščanja iz člena 14 Splošne uredbe. Nenazadnje ste kot upravljavec zbirk osebnih podatkov odgovorni za zakonito ravnanje in skladnost z zakonodajo s področja varstva osebnih podatkov, v katero je vgrajeno tudi previdnostno načelo in načelo ravnanja v korist posameznika.

 

Posebej pri obdelavi posebnih vrst osebnih podatkov za znanstveno-raziskovalne namene pa poudarjamo načelo minimizacije (najmanjšega obsega osebnih podatkov za dosego namena) ter nujnost uporabe vseh primernih in razpoložljivih zaščitnih ukrepov, med drugim tudi anonimizacijo in psevdonimizacijo. Ob tem opozarjamo na določbi tretjega in četrtega odstavka 17. člena ZVOP-1; v tretjem odstavku je namreč določeno, da se osebni podatki ob zaključku obdelave uničijo (če zakon ne določa drugače), o čemer uporabnik obvesti upravljavca (podrobneje gl. navedeno določbo). Četrti odstavek navedenega člena pa določa, da se morajo rezultati obdelave v primeru znanstveno-raziskovalnega namena objaviti v anonimizirani obliki, razen če zakon določa drugače ali če je posameznik, na katerega se nanašajo osebni podatki, za objavo v neanonimizirani obliki podal pisno privolitev ali če je za takšno objavo podano pisno soglasje dedičev umrle osebe po tem zakonu.

 

Vse navedeno boste po izvedeni oceni učinkov vgradili v zasnovo projekta oziroma raziskavo. Nenazadnje je temeljni postulat znanstvenega raziskovanja ravnanje skladno z etičnimi standardi, med katere sodi tudi varstvo zasebnosti in osebnih podatkov posameznikov (»subjektov« raziskave).

 

 

V upanju, da smo vam pomagali, vas lepo pozdravljamo.

 

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                               informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

mag. Polona Merc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov