Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 29.07.2019
Naslov: Pravica do seznanitve z LOP in prenosljivost
Številka: 0712-1/2019/1759
Vsebina: Pravica do prenosljivosti podatkov, Pravica do seznanitve z lastnimi osebnimi podatki, Zdravstveni osebni podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem sprašujete, če obstaja posebna pravna podlaga za medicinske podatke v sklopu Splošne uredbe. Laboratorij oz. izvajalec zdravstvenih storitev v Nemčiji vam je namreč zavrnil izstavitev osebnih podatkov, in sicer računa in izvida v elektronski obliki, ko ste jih za to prosili po emailu in ko ste se skliceval na tretji odstavek 15 člena Splošne uredbe. Zanima vas, ali laboratorijski izvid in račun za ta izvid predstavljata osebne podatke v smislu 4. člena Splošne uredbe in ali imate pravico dobiti te podatke na zahtevo v elektronski obliki. Menite, da bi lahko dobili te podatke tudi po mailu zaščitene z vašim rojstnim datumom kot geslom. Zanima vas, ali zakon določa kakšen drug specifičen način. Za vas je pomembno, da račun dobite v elektronski obliki, saj bo sicer prišel prepozno in boste morali plačati zamudnino. Zanima vas še, če lahko ocenimo, kakšno bi bil primerno nadomestilo, ki vam ga lahko zaračunajo za posredovanje podatkov za plačilo računa v elektronski obliki, če jih za to zaprosite 2-3krat letno in se sklicujete na 15. in 20. člen Splošne uredbe.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju – Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 - v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 - v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora ali upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

 

IP vam uvodoma pojasnjuje pojem “osebni podatek”, ki ga Splošna uredba v členu 4(1) opredeljuje kot „katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Na računu za zdravstveno oziroma laboratorijsko storitev, ki so vam jo opravili, in na zdravniškem izvidu so najverjetneje vaši osebni podatki, do seznanitve s katerimi ste upravičeni.

Pravica do seznanitve z lastnimi osebnimi podatki je v Sloveniji zagotovljena vsakemu posamezniku v tretjem odstavku 38. člena Ustave Republike Slovenije in členu 15 Splošne uredbe. Člen 15 Splošne uredbe velja tudi v Nemčiji. Postopkovna pravila so urejena v členu 11 in 12 omenjene uredbe. Splošna uredba v členu 15 določa, da mora upravljavec posamezniku na njegovo zahtevo:

  1. posredovati potrditev, ali se v zvezi z njim obdelujejo osebni podatki;
  2. omogočiti vpogled ali posredovati reprodukcijo teh osebnih podatkov, torej zagotoviti dostop do njihove vsebine, in
  3. če se osebni podatki posameznika pri upravljavcu res obdelujejo, tudi naslednje informacije:

(a) namene obdelave;                                                                                                                    (b) vrste zadevnih osebnih podatkov;                                                                                                  (c) uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;                                                          (d) kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;                                                                                             (e) obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;                                                                                                    (f) pravico do vložitve pritožbe pri nadzornem organu;                                                                         (g) kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;                                                                                         (h) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

Upravljavec je dolžan zagotoviti kopijo osebnih podatkov, ki se obdelujejo. Za dodatne kopije, ki jih zahteva posameznik, na katerega se nanašajo osebni podatki, lahko upravljavec zaračuna razumno pristojbino ob upoštevanju upravnih stroškov. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, in če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače, se informacije zagotovijo v elektronski obliki, ki je splošno uporabljana (člen 15(3) Splošne uredbe).

Zahtevo je možno zavrniti, če niso izpolnjeni osnovni pogoji za seznanitev (npr. ker ne gre za osebne podatke), če je zahteva očitno neutemeljena ali pretirana ali če so v ustavi, mednarodnih aktih ali področnih zakonih določene posebne izjeme. Za morebitne izjeme v nemški zakonodaji IP ni pristojen izdajati mnenja.

Tudi v zvezi s pravico do prenosljivosti podatkov lahko IP izda mnenje le v zvezi s Splošno uredbo ne pa tudi v zvezi z nemško nacionalno zakonodajo. Ker smo omejeni z danimi informacijami v vašem dopisu, vam IP posreduje le splošne informacijo o ureditvi v Splošni uredbi. Pravica do prenosljivosti podatkov je urejena v členu 20 Splošne uredbe. Postopkovna pravila so urejena v členu 11 in 12 omenjene uredbe. Splošna uredba v členu 20 določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da prejme osebne podatke v zvezi z njim, ki jih je posedoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, kadar:

(a) obdelava temelji na privolitvi v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2) ali na pogodbi v skladu s točko (b) člena 6(1),

 in

(b) se obdelava izvaja z avtomatiziranimi sredstvi.

 

Splošna uredba v členu 20 (2) še določa, da ima posameznik, na katerega se nanašajo osebni podatki, pri uresničevanju pravice do prenosljivosti podatkov pravico, da se osebni podatki neposredno prenesejo od enega upravljavca k drugemu, kadar je to tehnično izvedljivo.

Splošna uredba v členu 20 (3) določa še omejitev, da se ta pravica ne uporablja za obdelavo, potrebno za opravljanje naloge, ki se izvaja v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.

 

V upanju, da vam bo naš odgovor v pomoč, vas lepo pozdravljamo.

 

 

Pripravila:
mag. Nuša Kavšek, univ. dipl. prav.

svetovalka IP za varstvo osebnih podatkov

     

 

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka