Informacijski pooblaščenec Republika Slovenija
    SLO | ENG
dekorativna slika

Iskalnik po mnenjih GDPR

+ -
Datum: 12.02.2021
Naslov: Dostop do podatkov o rezultatih testiranja za COVID-19 v DSO
Številka: 07121-1/2021/286
Vsebina: Pravne podlage, Zdravstveni osebni podatki
Pravni akt: Mnenje

Pri Informacijskem pooblaščencu (IP) smo dne 5. 2. 2021 prejeli vaše pojasnilo o tem, da   informacijski sistem, v katerega se vnašajo rezultati testiranja za COVID-19, omogoča vsem registriranim zdravstvenim delavcem (torej tudi zaposlenim v domu za ostarele) izvajanje poizvedb o rezultatih za poljubnega posameznika. Menite, da zdravstveni delavci v domu za ostarele ne bi smeli videti občutljivih zdravstvenih podatkov ljudi, ki niso v njihovi oskrbi. Predlagate ureditev tega področja.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

Pri tem izhajamo iz predpostavke, da imate z informacijskim sistemom v mislih Centralni register podatkov o pacientih – CRPP, ki je kot del eZdravja v upravljanju NIJZ.

 

 

1. Dostop do podatkov v obeh delih CRPP je v skladu z Zakonom o zbirkah podatkov s področja zdravstvenega varstva (ZZPPZ) omogočen izvajalcem zdravstvene dejavnosti za namen izvajanja zdravstvene oskrbe pacientov. Dostopi do sistema interoperabilne hrbtenice so v skladu s podzakonskim aktom omejeni po strokovnih potrebah glede na posamezna medicinska področja, kar pa ne velja za dostop do podatkov v povzetku podatkov o pacientih. Na ravni izvajalca so osebe z uporabniškimi pravicami določene interno s strani izvajalca. Za posamezne vpoglede so praviloma odgovorni zaposleni.

 

 

2. Zdravstveni delavci, ki imajo uporabniške pravice v CRPP – kljub temu, da je dostop tehnično mogoč – ne smejo dostopati do pacientovih podatkov o rezultatih testiranja za COVID-19, če za tak dostop ni utemeljenega razloga, tj. če podatka ne potrebujejo v okviru izvajanja delovnih nalog pri izvajalcu in za namen zdravstvene obravnave pacienta, na katerega se podatek nanaša.

 

Vsak neutemeljen dostop do sicer razpoložljivih podatkov pomeni resno kršitev varstva osebnih podatkov. Vsak dostop se beleži tako, da je mogoče naknadno ugotavljanje kršitev.

 

 

O b r a z l o ž i t e v:

 

Glede predloga za ureditev pravnih podlag v zdravstveni zakonodaji vam priporočamo, da se obrnete na pripravljavca predpisov, ki je večinoma Ministrstvo za zdravje.

 

Glede inšpekcijskega nadzora pojasnjujemo:

  • da je bil nad delom informacijskih rešitev eZdravja že izveden splošen inšpekcijski nadzor, vendar takrat hujše kršitve niso bile ugotovljene;
  • da smo imeli in imamo še v obravnavi večje število kršitev, ki se nanašajo na nezakonite individualne vpoglede v osebne podatke v internih in drugih informacijskih sistemih s strani zaposlenih pri upravljavcih (npr. v zdravstvenih ustanovah). Inšpekcijski nadzor nad zakonitostjo posamičnih vpogledov v informatizirane zbirke podatkov se tako redoma izvaja in ima po našem mnenju tudi pomembne preventivne učinke;
  • da lahko pri nas kadarkoli vložite inšpekcijsko prijavo, če boste zaznali vpoglede v osebne podatke iz CRPP, ki se nanašajo na paciente, ki jih zdravstveni delavci nimajo v obravnavi oziroma, ki niso potrebni za izvajanje zdravstvene oskrbe pacientov. Pri tem si lahko pomagate z obrazcem »ZIN PRIJAVA«, ki je dostopen na naši spletni strani pod zavihkom »obrazci«. Prijava mora po možnosti vsebovati konkretna pojasnila o času in kraju dogodka, udeleženih osebah, podatke o upravljavcu podatkov in informacije o spornem ravnanju (npr. kateri osebni podatki ali dokumenti so predmet kršitve in kako so se neustrezno obdelovali).

 

CRPP v upravljanju NIJZ je primarno namenjen izvajalcem zdravstvene dejavnosti zato, da se jim omogoči dostop do podatkov in izmenjava podatkov za izvajanje zdravstvene oskrbe in mrliško pregledne službe ter z namenom ažuriranja podatkov zdravstvene dokumentacije (gl. npr. tretji odstavek 14.b člena in prvi odstavek 14.c ZZPPZ).

 

V zvezi s CRPP vam predlagamo še ogled naslednjih mnenj, ki so dostopna na spletni strani IP: št. 0712-1/2019/270, št. 07120-1/2020/291 in št. 07120-1/2020/339.

 

V zvezi z internimi uporabniškimi pravicami vam predlagamo mnenji št. 0712-1/2019/423 in št. 0712-1/2019/2018.

 

Podobna načela, kot veljajo za CRPP, veljajo tudi v sistemu kartice zdravstvenega zavarovanja ZZZS. V zvezi s tem si lahko ogledate mnenje št. 07121-1/2020/2096.

 

Prijazen pozdrav,

 

 

Pripravil:
mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

 

 

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka