Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 09.08.2019
Naslov: Varnost pri pošiljanju OP
Številka: 0712-1/2019/1861
Vsebina: Zavarovanje osebnih podatkov, Zdravstveni osebni podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljnjem besedilu IP) je prejel vaše zaprosilo za mnenje glede varnosti pri pošiljanju osebnih podatkov. Ker večkrat zdravniških izvidov ne dobite osebno v roke, za njih zaprosite po elektronski pošti. Razumete, da jih zaradi varstva podatkov ne pošiljajo po e-pošti, vendar vas zanima, zakaj od vas zahtevajo, da se morate zglasiti osebno in vam jih ne pošljejo po navadni pošti, tako kot katerikoli drug dokument z osebnimi/občutljivimi podatki.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljnjem besedilu Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljnjem besedilu ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Za ohranitev varnosti osebnih podatkov in preprečitev obdelave, ki bi pomenila kršitev Splošne uredbe o varstvu podatkov, mora upravljavec (ali obdelovalec) oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja (tako tudi uvodna izjava št. 83 Splošne uredbe o varstvu podatkov).

 

Te ukrepe, ki morajo zagotavljati ustrezno raven varnosti, vključno z zaupnostjo, IP lahko preverja zgolj v konkretnem inšpekcijskem postopku.

 

Po členu 32 Splošne uredbe o varstvu podatkov, ki ureja »varnost obdelave«, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

a) psevdonimizacijo in šifriranjem osebnih podatkov;

b) zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;

c) zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

d) postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

 

Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

 

Če Splošna uredba o varstvu podatkov primeroma navaja ukrepe, s katerimi se zagotavlja varnost osebnih podatkov, ZVOP-1 v prvem odstavku 24. člena določa predmet zavarovanja osebnih podatkov. Tako zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov na način, da se:

  1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
  2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
  3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
  4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
  5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

 

Za izvajanje ustreznega in učinkovitega načina seznanitve z zdravniškim izvidom je izključno pristojen in odgovoren upravljavec. Poleg tega mora biti v okviru morebitnega inšpekcijskega postopka zmožen dokazati tudi skladnost dejavnosti obdelave tako s Splošno uredbo o varstvu podatkov kot ZVOP-1. Več o tem si lahko preberete tudi v predhodno izdanih mnenjih, ki so objavljena na spletni strani IP https://www.ip-rs.si/vop/ , npr.:

  • mnenje, št. 0712-610/2008/2 z dne 29. 10. 2008,
  • mnenje, št. 712-8/2010/2 z dne 8. 1. 2010.

 

V upanju, da smo odgovorili na vaše vprašanje, vas lepo pozdravljamo.

 

 

Pripravila:  

Karolina Kušević, univ. dipl. prav., 

svetovalka IP

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka