Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 17.04.2019
Naslov: Pridobivanje podatkov o stanju upravne zadeve prek spleta
Številka: 0712-1/2019/898
Vsebina: Zdravstveni osebni podatki, Ocene učinkov v zvezi z varstvom podatkov
Pravni akt: Mnenje

pri Informacijskem pooblaščencu (IP) smo dne 28. 2. 2019 prejeli vaše zaprosilo za mnenje (povzetek), ali se podatki, ki bi jih zavarovanci glede stanja njihovih zadev pridobivali prek spleta štejejo za posebne kategorije podatkov in ali bi dostop lahko bil omogočen brez uporabe digitalnega potrdila.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

Konkretnega izbora metode avtentikacije in avtorizacije uporabnikov vam ne moremo predlagati, saj se ta presoja lahko izvaja le v inšpekcijskem postopku, poleg tega ne razpolagamo z vsemi informacijami, ko bi bile potrebne za presojo.

 

 

1. Če gre za povsem nevtralne splošne podatke o stanju prvostopenjskega ali drugostopenjskega postopka, ki ne razkrivajo nikakršnih podatkov o zdravstvenem stanju (torej tudi ne na primer podatkov o tem, za katero pravico gre), se ti podatki lahko posredujejo upravičenemu uporabniku v nešifrirani obliki.

 

Če gre za podatke v zvezi z zdravjem, se podatki še vedno lahko posredujejo upravičenemu uporabniku prek elektronskih komunikacij (tudi npr. prek spletne aplikacije), vendar morajo biti na poti šifrirani.

 

2. Pri vsakem dostopu do osebnih podatkov (ne glede na občutljivost osebnih podatkov in s tem ne glede na šifriranje) s strani zunanjih upravičenih uporabnikov je treba zagotoviti, da upravljavec podatke razkrije le tistim upravičenim uporabnikom, katerih identiteta je bila preverjena (postopek avtentikacije in avtorizacije).

 

Izbor zanesljivosti metode identifikacije je v rokah upravljavca. Vsekakor se priporoča, da se pri razkrivanju zdravstvenih podatkov izbere bolj zanesljiv pristop (npr. uporaba kvalificiranega digitalnega potrdila in dodeljenega gesla). Za nezdravstvene in tudi sicer manj pomembne podatke izvedba razkritja podatkov brez uporabe kvalificiranega digitalnega potrdila (na primer le z vnosom kombinacije nekaterih splošnih identifikatorjev), sicer sama po sebi ni nujno nezakonita, vendar lahko predstavlja določeno varnostno tveganje.

 

 

O b r a z l o ž i t e v:

 

Vprašanje narave osebnih podatkov je le posredno povezano z vprašanjem, kako ustrezno ugotavljati identiteto in s tem upravičenost posameznika do podatkov.

 

Definicija zdravstvenih podatkov je zelo široka – o tem gl. točka 15 člena 4 Splošne uredbe o varstvu podatkov in prvi odstavek 45. člena Zakona o pacientovih pravicah.

 

Glede šifriranja gl. člen 14 ZVOP-1.

 

Poleg mnenja IP št. 0712-1/2019/236 vam predlagamo še proučitev mnenj IP št. 0712-1/2015/1668, 0712-297/2008/2, 0712-76/2010/2, 0712-410/2009/2 in 0712-184/2009/2.

 

Načeloma menimo, da je za tovrstni projekt izpolnjeni pogoji obvezne zahteve za pripravo predhodne ocene učinkov po 35 členu Splošne uredbe o varstvu podatkov. Šele po izvedni analizi tveganj in možnih pristopov pri reševanju problematike, boste lahko ocenili vsa tveganja in se bo možno bolj konkretno opredliti do problematike, pod določenimi pogoji morda po potrebi tudi prek instituta predhodnega posvetovanja iz člena 36 Splošne uredbe o varstvu podatkov.

 

Več o oceni učinkov po 35 členu Splošne uredbe o varstvu podatkov je na voljo na naši spletni strani: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/ocena-ucinka-v-zvezi-z-varstvom-podatkov/ .

 

Prijazen pozdrav,

 

mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

 

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka