Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 20.06.2019
Naslov: Dostop do podatkov ZZZS s strani zasebnih zdravnikov
Številka: 0712-1/2019/1494
Vsebina: Pravne podlage, Pridobivanje OP iz zbirk, Zdravstveni osebni podatki
Pravni akt: Mnenje

Pri Informacijskem pooblaščencu (IP) smo dne 31. 5. 2019 prejeli vaše zaprosilo:

- za dodatna pojasnila v zvezi z mnenjem IP št. 0712-348/2009 in

- za mnenje IP o vaši utemeljitvi razlogov za dopustnost uporabe profesionalne kartice in dostopa do podatkov pacientov ZZZS, s strani zdravnikov zasebnikov izven mreže javne zdravstvene službe.

V mnenju IP št. 0712-348/2009 je bilo do tega vprašanja zavzeto negativno stališče.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

 

Dostop zdravnikov zasebnikov zunaj mreže javne zdravstvene službe do podatkov iz zalednega sistema on line ZZZS, glede na stanje trenutne zakonodaje, ni dopustno.

 

 

O b r a z l o ž i t e v:

 

IP načeloma ne zanika potrebe »čistih zdravnikov zasebnikov« (ne glede na obliko in status izvajanja dejavnosti ali zdravniške službe) za dostop do pomembnih osnovnih in zdravstvenih podatkov v zalednem sistemu on line ZZZS. V konkretnem primeru so ovire za želeni dostop v neobstoječih pravnih podlagah, ki bi to omogočale.

 

Sistem varstva osebnih podatkov je praviloma zasnovan na dopustitvi določenih obdelav osebnih podatkov v zakonu ali višjem predpisu. Gre za obdelovalni ali dopustitveni model varstva osebnih podatkov, ki pomeni, da je vsaka obdelava osebnih podatkov, za katero ni določene podlage za obdelavo, avtomatično prepovedana. Zato tudi v konkretnem primeru ni problem v tem, da bi določen predpis določal izrecno prepoved, da bi zdravniki čisti zasebniki imeli omogočen dostop do podatkov ZZZS. Take prepovedi v predpisih ni; je pa taka obdelava podatkov nedopustna že samo iz razloga neobstoja ustrezne pravne podlage, ki bi to omogočala.

 

Po Zakonu o zdravstvenem varstvu in zdravstvenem zavarovanju (ZZVZZ) in Pravilniku o kartici zdravstvenega zavarovanja, profesionalni kartici in pooblastilih za branje in zapisovanje podatkov v zalednem sistemu (Pravilnik) je osnovni namen KZZ (in s tem namen dostopov s strani imetnikov profesionalne kartice - PK) dokazovanje lastnosti zavarovane osebe in dostopa do podatkov, ki so potrebni za uveljavljanje pravic iz zdravstvenega zavarovanja. Zato je vse določbe ZZVZZ in Pravilnika, ki se nanašajo na dostope do podatkov treba razumeti v skladu z osnovno omejitvijo, ki je v tem, da raba PK oziroma dostop do podatkov pri izvajanju zdravstvene dejavnosti, ki ni vezana na zdravstveno zavarovanje, praviloma ni dopustna. 

 

Po b točki prvega odstavka člena 5 Splošne uredbe o varstvu podatkov so osebni podatki zbrani za

določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni (načelo omejitve namena).

 

Sklicevanje na 4. člen ZZPPZ ni utemeljeno, ker niti posredno ne določa pravne podlage za dostop do podatkov ZZZS.

 

Sklicevanje na zbirko NIJZ 1.1. (priloga ZZPPZ) in četrti odstavek 4. člena ZZPPZ prav tako ne pride v poštev, ker gre za zbirko podatkov, ki v praksi ne obstaja, čeprav se imenuje »kartica zdravstvenega zavarovanja« (obstoječ sistem KZZ namreč nima podlage v prilogi NIJZ 1.1 ZZPPZ).

 

Dodatni problem je tudi privolitev pacientov. Tudi če bi pacienti privolili v dostop do podatkov ZZZS je taka privolitev vprašljiva glede na to, da se obdelava podatkov ZZZS praviloma ne sme izvajati (le) na podlagi privolitve. ZVOP-1 v prvem odstavku 9. člena še vedno določa, da se v javnem sektorju (tj. v ZZZS) osebni podatki lahko obdelujejo na podlagi privolitve le, če tako določa zakon.  Drug problem privolitve je v tem, da izdaje profesionalne kartice in tehnične izvedbe dostopa do zalednega sistema verjetno ne bi utemeljeno izvajati le za to, ker bodo nekateri pacienti kdaj v prihodnosti morda privolili v dostop do podatkov.

 

Vsi izvajalci zdravstvene dejavnosti imajo oziroma bodo imeli v skladu z ZZPPZ dostop do podatkov v CRPP, ki vsebuje oziroma bo vseboval vse bistvene osnovne in zdravstvene podatke o pacientih, in po vsebini celo presega oziroma bo presegal nabor podatkov v zalednem sistemu ZZZS. Podobno velja za informacijsko rešitev eRecept. Zato nezmožnost dostopa do podatkov ZZZS ne pomeni onemogočanja učinkovitega in uspešnega izvajanja zasebne zdravstvene dejavnosti.

 

Argument zakonsko odprtih dostopov do CRPP pa nikakor ne opravičuje dopustnosti dostopov do zalednega sistema ZZZS, ker gre za drugo pravno podlago, drugega upravljavca, druge pogoje, drugo zbirko in le za podobne namene in le za podobne podatke.

 

Poleg navedenega IP ugotavlja tudi, da v konkretnem primeru niso izpolnjeni pogoji za sklicevanje na katero od izjemnih splošnih podlag za obdelavo osebnih podatkov, na primer:

  • d točka prvega odstavka člena 6 Splošne uredbe o varstvu podatkov (»življenjski interesi posameznika« za osnovne podatke o pacientu), ker na splošni ravni podatki niso neizogibno potrebni za izvedbo zdravstvenih storitev in za varovanje življenja pacienta ali za preprečitev hudega poslabšanja zdravja. Zgolj posamični ali teoretični primer, ko bi tak pogoj lahko bil izpolnjen pa ne opravičuje splošne uvedbe oziroma splošnega odprtja dostopov do podatkov ZZZS;
  • c točka drugega odstavka člena 9 Splošne uredbe o varstvu podatkov (podobno kot zgoraj za posebne kategorije podatkov) iz enakih razlogov;
  • četrti odstavek 9. člena ZVOP-1, ker na splošni ravni ni izpolnjen pogoj nujnosti;
  • f točka prvega odstavka člena 6 Splošne uredbe o varstvu podatkov (zakoniti interesi zasebnega sektorja), ker ti interesi nujno ne prevladajo in ker ta podlaga ne pride v poštev za ZZZS (torej da ZZZS na tej podlagi omogoči dostop zdravnikom).

 

V zvezi z vprašanjem, ali sama izdaja PK zdravstvenemu delavcu pomeni obdelavo pacientovih osebnih podatkov, pojasnjujemo, da ne. Vendar to vprašanje ni bistveno za presojo zgornje problematike. 

 

Prijazen pozdrav,

 

 

Pripravil:
mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

 

 

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka