Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 18.01.2019
Naslov: Nadzor nad zakonitostjo dostopov do podatkov
Številka: 0712-3/2018/2627
Vsebina: Zdravstveni osebni podatki, Pravica do seznanitve z lastnimi osebnimi podatki
Pravni akt: Mnenje

Prejeli smo vaš dopis, v katerem nas prosite za mnenje glede odgovorov Zavoda za zdravstveno zavarovanje Slovenije (ZZZS) na vaša vprašanja, kot sledi:

 

 

1. Vprašanje: Potrebujem konkreten dokaz, da ZZZS baze vsebujejo samo zakonsko predpisane podatke.

 

Odgovor: ZZZS baze vsebujejo zakonsko predpisane podatke. Pravna podlaga je Zakon o zdravstvenem varstvu in zdravstvenem zavarovanju. Podrobnejše  informacije lahko dobite tudi v Katalogu zbirk osebnih

podatkov, ki je objavljen na spletni strani ZZZS in ga skladno z zakonskimi spremembami dopolnjujemo.

 

2. Vprašanje: Dostopanje do mojih osebnih podatkov mora po mojem mnenju biti konkretizirano: kdo, kdaj, zakaj.

Odgovor: Do podatkov o zavarovanih osebah dostopajo pooblaščene osebe ZZZS. Konkretne podatke, kdo je dostopal do vaših podatkov, lahko posredujemo nadzornemu organu z ustreznimi pooblastili.

 

3. Vprašanje: V uporabi so številne aplikacije, ki dostopajo do mojih podatkov, in lastniki teh aplikacij so tudi zasebna/ne-zdravstena podjetja. Na misel mi pride npr. aplikacija o čakalnih vrstah pri zdravniku.

 

Odgovor:  Lastniki ZZZS aplikacij so vodje-direktorji, zaposleni v ZZZS.

 

4. Vprašanje: Pravilnost podatkov mora biti preverljiva ne samo osebno na ZZZS (število prevernikov in trajanje preverbe lahko povzročijo motnjo v delovnem procesu) ali pa elektronsko (saj nima vsak dostopa do računalnika in potrdila).

 

Odgovor: Pravilnost podatkov se zagotavlja tudi z drugimi oblikami kontrol in povezovanjem z uradnimi registri kot npr.: Centralni register prebivalstva, Poslovni register, Register teritorialnih enot,...

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Informacijski pooblaščenec (v nadaljevanju IP) meni, da so odgovori, ki vam jih je podal ZZZS korektni in pravilni in v zvezi s tem pojasnjuje:

 

  • Posameznik, ki meni, da mu upravljavec ni omogočil seznanitve z lastnimi osebnimi podatki oz. meni, da mu ni bil omogočen dostop do vseh osebnih podatkov, ki jih v zvezi z njem obdeluje upravljavec, se lahko v tem primeru obrne na pristojni nadzorni organ (Informacijskega pooblaščenca) in poda predlog za uvedbo inšpekcijskega postopka, v katerem lahko državni nadzornik za varstvo osebnih podatkov preveri ustreznost ravnanja upravljavca.
  • Posameznik je na podlagi pravice do seznanitve in dostopa do lastnih osebnih podatkov upravičen do svojih osebnih podatkov, kamor pa ne štejemo podatkov o osebah, ki do dostopale do njegovih osebnih podatkov (npr. imen in priimkov zaposlenih). Podobno kot smo navedli zgoraj lahko posameznik v primeru, da sumi, da je prišlo do nenamenske, nepooblaščene ali drugače nezakonite obdelave njegovih osebnih podatkov pri IP poda predlog za uvedbo inšpekcijskega postopka, v katerem lahko državni nadzornik za varstvo osebnih podatkov preveri zakonitost obdelave njegovih osebnih podatkov. Posameznik bi moral podati vsaj okvirne sume oz. indice, ki nakazujejo, da je do nezakonite obdelave prišlo (npr. da se o njegovih osebnih podatkih piše v medijih oz. da razpolaga z indici, da so njegovi osebni podatki prišli v roke nepooblaščenih oseb ipd.). Opozarjamo, da je namen inšpekcijskega postopka varovanje javnega interesa in da postopek inšpekcijskega nadzora ne bo nujno uveden, če ni nobenih indicev, da je do nezakonite obdelave tudi prišlo.
  • Glede dostopa do osebnih podatkov se mora posameznik z ustrezno stopnjo zaupanja izkazati upravljavcu – to lahko stori osebno, kjer se izkaže z osebnim dokumentom, v primeru elektronskega dostopa pa na način, s katerim lahko verodostojno izkaže svojo identiteto. V konkretnem primeru naslov e-pošte ne zadostuje nujno, saj upravljavec ne more biti prepričan, da za določenim naslovom e-pošte dejansko stoji oseba, za katero se izdaja – lahko pa zaupa kvalificiranemu digitalnemu potrdilu. V konkretnem primeru upravljavec omogoča več načinov dostopa, zato menimo, da njegovo ravnanje ni neustrezno.

 

 

Lep pozdrav,

 

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                                                                  

                                                                                               informacijska pooblaščenka

 

 

Pripravil:                                                                                                                                

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke