Informacijski pooblaščenec Republika Slovenija
    SLO | ENG
dekorativna slika

Iskalnik po mnenjih GDPR

+ -
Datum: 15.10.2020
Naslov: Dostop do seznama čakajočih pacientov
Številka: 07120-1/2020/549
Vsebina: Pogodbena obdelava podatkov, Posebne vrste, Posredovanje OP med upravljavci, Pravne podlage, Pridobivanje OP iz zbirk, Zdravstveni osebni podatki
Pravni akt: Mnenje

Pri Informacijskem pooblaščencu (IP) smo dne 5. 10. 2020 prejeli vaše vprašanje o možnosti dostopa do podatkov o pacientih, ki čakajo na zdravstvene storitve preko najdaljše dopustne čakalne dobe. Ministrstvo za zdravje (MZ) namreč načrtuje izvedbo nacionalnega razpisa za izboljšanje dostopnosti do zdravstvenih storitev in izbor najugodnejših ponudnikov za izvedbo izbranih zdravstvenih programov, in sicer v oktobru 2020, takoj po uveljavitvi Zakona o začasnih ukrepih za omilitev in odpravo posledic COVID-19 (interventni zakon).

 

V okviru nacionalnega razpisa se bo za namene obveščanja o krajših čakalnih dobah ter hkrati preverjanja, ali pacienti zdravstveno storitev še potrebujejo, obdelovalo podatke o pacientih, ki čakajo nad najdaljšo dopustno čakalno dobo. Izhajajoč iz navedenega in za izvedbo uspešnega nacionalnega razpisa se zahteva prečiščenje podatkov iz zbirke eNapotnica in eNaročilo, da bodo na čakalnem seznamu zgolj pacienti, ki na storitev čakajo najdlje in ki so glede na navedeno upravičeni do storitev na podlagi nacionalnega razpisa. Prečiščenje podatkov se bo izvajalo le za čakajoče na določene vrste zdravstvenih storitev.

 

V okviru aktivnosti prečiščevanja podatkov bi se dostopalo do podatkov iz zbirke eNapotnica in eNaročilo za čakajoče na določene vrste zdravstvenih storitev, ki glede na razpoložljive podatke čakajo nad najdaljšo dopustno dobo in nimajo označenega indikatorja želje po določenem zdravniku in indikatorja prestavitve termina na lastno željo, in sicer: - številka napotnice, - KZZ številka pacienta, - ime in priimek pacienta, - kontaktni podatki pacienta (naslov, telefon, elektronski naslov), - IDT (identifikator okvirnega termina/termina), - datum uvrstitve pacienta na čakalni seznam, - predvideni termin in okvirni termin izvedbe zdravstvene storitve, - izvajalec zdravstvene dejavnosti (šifra in naziv), kjer je uvrščen pacient, - vrsta zdravstvene storitve (šifra in naziv), - indikator morebitne večkratne umeščenosti na seznam za isto vrsto zdravstvene storitve - klinično relevantni podatki z napotnice (spol, starost, diagnoza, podatki iz »druge strani« napotnice).

 

V zvezi s 15. in 16. členom Zakona o pacientovih pravicah (ZPacP) vas zanima, (1) ali je na način sklenjene pogodbe o obdelavi osebnih podatkov z NIJZ dopustno, da MZ, za namen obveščanja pacientov o možnosti izvedbe zdravstvene storitve pri drugem izvajalcu, izvaja prečiščevanje seznama čakajočih in vzpostavlja stik s pacienti (prek svojega klicnega centra s svojimi zaposlenimi ali pogodbenimi izvajalci). Vprašanje je torej, ali je lahko MZ pogodbeni obdelovalec osebnih podatkov po drugem odstavku 16. člena ZPacP. Poleg tega vas zanima, (2) ali obstajajo kakšne omejitve pri morebitnem angažiranju podizvajalcev s strani MZ za obdelavo teh osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi vprašanji.

 

 

 

1. MZ ne more nastopati kot pogodbeni obdelovalec v smislu člena 28 Splošne uredbe o varstvu podatkov za prečiščevanje čakalnih seznamov in komuniciranje s pacienti za potrebe izvedbe zdravstvenih storitev pri drugih izvajalcih v okviru izvajanja posebnega programa za izboljšanje dostopnosti do nekaterih zdravstvenih storitev, za katere pacienti čakajo preko najdaljše dopustne čakalne dobe.  

 

2. Ker MZ že v izhodišču ne more biti pogodbeni obdelovalec, tudi nadaljnja oziroma podpogodbena obdelava podatkov ne pride v poštev.

 

 

 

O b r a z l o ž i t e v:

 

Bistvo pogodbene obdelave osebnih podatkov (člen 28 Splošne uredbe o varstvu podatkov) je v tem, da namesto upravljavca v njegovem imenu (tj. zanj) in na njegov račun določena opravila glede obdelave določenih osebnih podatkov izvaja druga oseba - obdelovalec, ki ni del notranje organizacijske strukture upravljavca.

 

V konkretnem primeru ni možna pogodbena obdelava osebnih podatkov oziroma že pojmovno ne gre za pogodbeno obdelavo osebnih podatkov tudi, če bi bila taka pogodba sklenjena, iz naslednjih razlogov:

  1. Nosilec izvajanja programa ni NIJZ, temveč MZ. To pomeni, da MZ ne bi izvajalo obdelav osebnih podatkov za oziroma namesto NIJZ, pač pa bi jih MZ izvajalo v svojem imenu (zase oziroma za svojo korist) torej za lasten namen. To je nezdružljvo s pojmom pogodbene obdelave;
  2. Ker NIJZ ni nosilec programa, za predvidene obdelave osebnih podatkov ne more biti upravljavec. NIJZ ne more prenesti na MZ tistih nalog, ki jih sam sploh nima;
  3. Namena in načina obdelave osebnih podatkov ne bi določal NIJZ temveč MZ. Zato NIJZ tudi ne bi mogel dajati navodil MZ ter izvajati nadzora;
  4. Namen obdelave osebnih podatkov s strani MZ je sicer podoben zakonskemu namenu iz 16. člena ZPacP, toda konkretni namen obdelave s strani MZ je v resnici dodatni namen, ker je vezan na poseben razpis oziroma program;
  5. Taka »pogodbena obdelava« bi učinkovala kot prenos osebnih podatkov MZ kot uporabniku, ki za obdelavo nima pravne podlage v členu 6 in 9 Splošne uredbe o varstvu podatkov. Namen pogodbene obdelave podatkov ni v saniranju odsotnosti pravne podlage s strani uporabnika osebnih podatkov.

 

Problem v konkretnem primeru torej ni, da MZ ne bi moglo zagotoviti zadostnih jamstev za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da bi obdelava izpolnjevala zahteve iz uredbe in zagotavljala varstvo pravic pacientov, temveč v tem, da predvideno razmerje med MZ in NIJZ že samo po sebi ne more imeti narave pogodbene obdelave.

 

Projekt oziroma razpis pa bi bilo možno z vidika varstva osebnih podatkov zakonito izvajati tako, da bi bile vse naloge glede obdelave osebnih podatkov dodeljene NIJZ, ki bi nastopal kot nosilec programa in bi osebne podatke obdeloval kot upravljavec na podlagi 16. člena ZPacP.

 

Druga možnost za zakonito izvajanje programa je pridobivanje predhodnih privolitev pacientov, ki pa je praktično težko izvedljiva (možni problemi so zlasti masovnost, delna neodzivnost pacientov, zagotovitev obveščanja pacientov po členu 13 oziroma 14 Splošne uredbe o varstvu podatkov, zagotavljanje dokazljivosti privolitev in čas procesiranja privolitev).

 

Lepo vas pozdravljamo,

 

 

Pripravil:
mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

 

 

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka