Informacijski pooblaščenec Republika Slovenija
    SLO | ENG
dekorativna slika

Iskalnik po mnenjih GDPR

+ -
Datum: 16.11.2020
Naslov: Vpogled v lastne osebne podatke kot kršitev
Številka: 07120-1/2020/592
Vsebina: Pravica do seznanitve z lastnimi osebnimi podatki, Pravne podlage, Zavarovanje osebnih podatkov, Zdravstveni osebni podatki
Pravni akt: Mnenje

Pri Informacijskem pooblaščencu (IP) smo dne 11. 11. 2020 prejeli vaše vprašanje o tem, kako z internega vidika obravnavati nepooblaščene vpoglede v bolnišnični informacijski sistem s strani zaposlenega, na katerega se zdravstvena dokumentacija nanaša. Pri izrednem internem nadzoru ste namreč ugotovili, da je določeni zaposleni večkrat vpogledal v lastno zdravstveno dokumentacijo, čeprav za svoje delo ni več potreboval uporabniških pravic za dostop do informacijskega sistema. Zaposlenemu je bilo med nadzorom to geslo odvzeto, saj za nove delovne zadolžitve dostopa ne potrebuje več. Zato vas zanima, ali je šlo za neupravičeno obdelavo osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

 

 

Ker je dokončna presoja zakonitosti in odgovornosti možna šele v inšpekcijskem postopku, ob upoštevanju vseh okoliščin konkretnega primera, vam posredujemo le splošni oziroma načelni odgovor.

 

Če delavec – pacient, ki mu je upravljavec v zvezi z določenimi delovnimi zadolžitvami dodelil uporabniške pravice, a jih zaradi spremembe delovnih zadolžitev delavcu ni odvzel, izvede vpogled v lastno zdravstveno dokumentacijo, s tem načeloma ne stori kršitve varstva osebnih podatkov v smislu obdelave osebnih podatkov brez pravne podlage ali brez zakonitega namena.

 

 

 

 

O b r a z l o ž i t e v:

 

V konkretnem primeru gre za izvrševanje pravice do seznanitve z lastno zdravstveno dokumentacijo iz 41. člena Zakona o pacientovih pravicah (ZPacP) ali pravice do seznanitve z lastnimi osebnimi podatki iz člena 15 Splošne uredbe o varstvu podatkov. Če se delavec in hkrati pacient seznani s podatki, do katerih je po zakonu ali višjem predpisu upravičen, osebnih podatkov ne obdeluje brez pravne podlage in tudi ne za nezakonit namen. Osebni podatki pri delodajalcu, ki se nanašajo na delavca kot pacienta niso varovani nasproti temu delavcu oziroma pacientu. Če ta izvede vpogled z uporabniškimi pravicami, ki jih po mnenju delodajalca naj ne bi več imel (a mu jih delodajalec po lastni krivdi še ni odvzel), je seznanitev še vedno izvedena z dejanskimi uporabniškimi pravicami, tj. z veljavnim tehničnim dostopom, saj ta velja dokler ga upravljavec ne odvzame oziroma prekliče ali izreče prepoved njegovega izvrševanja. V konkretnem primeru tehnična pooblastila načeloma niso bila zlorabljena, pač pa uporabljena za zakonit namen. Osnovni namen uporabniških pravic v internem bolnišničnem sistemu resda ni v dostopanju do lastnih osebnih podatkov (pač pa dostopanje in uporaba osebnih podatkov pacientov za potrebe zdravstvene oskrbe), vendar je izvrševanje seznanitve z lastnimi osebnimi podatki lahko priznan kot njihov dodatni ali sekundarni namen, ki je prav tako povsem zakonit in legitimen. Pooblastila bi delavec zlorabil, če bi izven delovnih potreb dostopal do zdravstvene dokumentacije drugih pacientov. Na tem mestu še opozarjamo, da je upravljavec tisti, ki mora z vidika zagotavljanja varnosti skrbeti, da imajo uporabniške pravice v internih zbirkah podatkov le tiste osebe, ki te potrebujejo zaradi opravljanja dela, in da se v primeru spremembe delovnih nalog uporabniške pravice ustrezno sproti in pravočasno prilagajajo.

 

Pravica do seznanitve z lastno zdravstveno dokumentacijo se praviloma izvršuje prek upravljavca kar pomeni, da naj bi posameznik zahtevo za seznanitev vložil pri upravljavcu, ta bi naj bi o zahtevi odločil (ji ugodil ali jo zavrnil) v skladu s procesnimi pogoji (npr. dokaz o identiteti) in materialnimi pogoji (npr. odsotnost posebnih zakonskih omejitev pravice do seznanitve). S postopkovnega vidika je načeloma prav, da o zahtevi oziroma želji za seznanitev z lastno zdravstveno dokumentacijo odloči in jo odobri upravljavec. Toda zgolj zaradi prikrajšanja upravljavca glede vodenja postopka, ne pride do kršitve varstva osebnih podatkov, ker subjekt varstva ni v ničemer prizadet. Vodenje prvostopenjskega postopka ni obveznost posameznika, temveč le pristojnost upravljavca. Za primerjavo, da vodenje prvostopenjskega postopka ni vedno nujno je primer, ko upravljavec svojo »pravico do odločanja« oziroma to pristojnost uresniči tudi vnaprej (še pred seznanitvijo) tako, da že vnaprej pod določenimi pogoji (npr. pod pogojem uspešne avtentikacije) posamezniku omogoči neposreden dostop do lastnih osebnih podatkov v upravljavčevih zbirkah podatkov s pomočjo informacijskih rešitev (npr. vpogled v lastne zdravstvene podatke prek platforme zVEM, prek sistema eDavkov in prek elektronskega bančništva).

 

Pri presoji vprašanja, ali gre za kršitev se je treba opreti tudi na namen samega ZVOP-1, ki v 1. členu določa, da se s tem zakonom določajo pravice, obveznosti, načela in ukrepi, s katerimi se preprečujejo neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika pri obdelavi osebnih podatkov. S tem, ko posameznik neposredno vpogleda v svoje osebne podatke, njegova informacijska zasebnost ni v ničemer okrnjena. Varstvo osebnih podatkov varuje posameznika, če drugi z njegovimi podatki ravnajo tako, da prizadenejo njegovo zasebnost in dostojanstvo med tem, ko tako varstvo ni smiselno, če posameznik po svoji prosti volji obdeluje svoje podatke v okviru zakonsko dopustnega obsega, v konkretnem primeru pri izvrševanju pomembne lastne pravice.

 

Drugače bi bilo treba obravnavati neposredni vpogled v lastno zdravstveno dokumentacijo v informacijskem sistemu, če bi posameznik vpogledal v osebne podatke, glede katerih zakonodaja določa omejitve ali pa bi hkrati vpogledal tudi v osebne podatke drugih oseb. Prav tako bi bilo treba drugače obravnavati primer, če bi posameznik neposredni vpogled izvedel na izvorno nezakonit način – z ukradenim geslom, s kako drugače nedovoljeno pridobljenim geslom, z grožnjo ali zvijačo prek druge osebe ali z vdorom v informacijski sistem.

 

IP je v le delno primerljivem primeru izdal tudi mnenje št. 0712-1/2011/3022, iz katerega izhaja, da je dopustno, če se posameznik z lastnimi osebnimi podatki seznani na kakršen koli način, tudi s fotografiranjem, če zakon ne določa jasne prepovedi.

 

Kljub zgornjim navedbam IP dopušča možnost, da konkretno ravnanje z vidika delodajalca lahko predstavlja kakšno drugo delavčevo kršitev (npr. nespoštovanje internih navodil in prepovedi), vendar to ne spada v pristojnost IP. 

 

Lepo vas pozdravljamo,

 

 

Pripravil:
mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

 

 

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka