Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 08.08.2019
Naslov: Vabilo v referenčno ambulanto
Številka: 0712-1/2019/1850
Vsebina: Pravica do pozabe, Pravica do seznanitve z lastnimi osebnimi podatki, Pravne podlage, Zdravstveni osebni podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede posredovanja vabila na pregled v referenčno ambulanto.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

 

IP pojasnjuje, da podatki o zdravstvenem stanju v skladu z 9. členom Splošne uredbe o varstvu podatkov predstavljajo posebne vrste osebnih podatkov. V prvem odstavku 9. člena je določeno, da sta  prepovedani obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

 

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati zakonitosti in primernosti obdelave osebnih podatkov v konkretnem primeru. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem inšpekcijskem postopku.

 

IP uvodoma pojasnjuje, da Splošna uredba o varstvu podatkov v 6. členu določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

  • posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  • obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  • obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  • obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  • obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  • obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja alinea ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

IP pojasnjuje, da je z Zakonom o zdravstveni dejavnosti (ZZDej; Uradni list RS, št. 23/05 – uradno prečiščeno besedilo, 15/08 – ZPacP, 23/0858/08 – ZZdrS-E, 77/08 – ZDZdr, 40/12 – ZUJF, 14/1388/16 – ZdZPZD, 64/17 in 1/19 – odl. US) in Zakonom o zdravstvenem varstvu in zdravstvenem zavarovanju (ZZVZZ; Uradni list RS, št. 72/06 – uradno prečiščeno besedilo, 114/06 – ZUTPG, 91/0776/0862/10 – ZUPJS, 87/1140/12 – ZUJF, 21/13 – ZUTD-A, 91/1399/13 – ZUPJS-C, 99/13 – ZSVarPre-C, 111/13 – ZMEPIZ-1, 95/14 – ZUJF-C, 47/15 – ZZSDT, 61/17 – ZUPŠ, 64/17 – ZZDej-K in 36/19) določena podlaga za izvajanje preventivnega zdravstvenega varstva s strani izvajalcev zdravstvene dejavnosti. V 23. členu ZZVZZ je določeno, da zagotavljanje pravic in programov preventivnih in sistematičnih pregledov in storitev zgodnjega odkrivanja dejavnikov tveganja za nastanek kroničnih bolezni, vključno s presejalnimi testi ter storitev s področja krepitve zdravja iz prve, druge in tretje alinee 1. točke prvega odstavka 23. člena ter navodila za njegovo izvajanje, določi minister, pristojen za zdravje, na predlog Zdravstvenega sveta. Za izvajanje teh programov (torej tudi za organizacijo in vabljenje) lahko njihovi izvajalci osebne podatke o zavarovancih, ki so vključeni v te programe, pridobijo od Zavoda za zdravstveno zavarovanje Slovenije ali iz Centralnega registra prebivalstva.

 

Podrobneje preventivno zdravstveno varstvo ureja Pravilnik za izvajanje preventivnega zdravstvenega varstva na primarni ravni (Uradni list RS, št. 19/98, 47/98, 26/00, 67/01, 33/02, 37/03, 117/04, 31/05, 83/07, 22/09, 17715, 47/18, 57/18), ki v 6. poglavju določa, da preventivno zdravstveno varstvo odraslih oseb na primarni ravni obsega odkrivanje oseb z biološkimi in vedenjskimi dejavniki tveganja za razvoj kroničnih nenalezljivih bolezni, odkrivanje oseb z visokim tveganjem za razvoj kronično nalezljivih bolezni in odkrivanje oseb z že prisotnimi kroničnimi nalezljivimi bolezni ter preventivne ukrepe za zmanjšanje tveganja za razvoj tovrstnih bolezni in njihovo boljšo urejenost. V tem poglavju pravilnika je določeno tudi, da preventivne preglede izvajajo izbrani osebni zdravniki in diplomirane medicinske sestre v ambulantah družinske medicine.

 

Iz navedb v vašem zaprosilu po mnenju IP izhaja, da je mogoče, da vas referenčna ambulanta, ki vam je poslala vabilo, še vedno vodi kot njihovega opredeljenega pacienta. IP pojasnjuje, da ima v skladu s 15. členom Splošne uredbe o varstvu podatkov vsak posameznik pravico do seznanitve s svojimi lastnimi osebnimi podatki. Več informacij o pravici do seznanitve z lastnimi osebnimi podatki in o postopku uveljavljanja navedene pravice lahko pridobite na spletni strani IP:

https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/

IP vam svetuje, da pri upravljavcu (referenčni ambulanti) podate zahtevo za seznanitev z lastnimi osebnimi podatki, v kateri natančno opredelite podatke, ki jih želite prejeti (zlasti za kakšne namene oziroma na kakšni pravni podlagi obdeluje vaše osebne podatke), in počakate na odgovor oziroma na potek roka za odgovor. V kolikor se bo izkazalo, da obdelujejo vaše osebne podatke, vam IP svetuje, da uveljavljate pravico do izbrisa vaših osebnih podatkov. Upravljavec vam mora informacijo o ukrepih, sprejetih na podlagi vaše zahteve, zagotoviti brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo. V navedenih rokih mora upravljavec bodisi ugoditi vaši zahtevi bodisi jo zavrniti, v kolikor obstaja pravna podlaga, ki ne dopušča izbrisa.

IP sklepno pojasnjuje, da Splošna uredba o varstvu podatkov pravico do izbrisa (»pravico do pozabe«) ureja v 17. členu, ki v prvem odstavku določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

  1. osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;
  2. posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava in kadar za obdelavo ne obstaja nobena druga pravna podlaga;
  3. posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1) uredbe, za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2) uredbe;
  4. osebni podatki so bili obdelani nezakonito;
  5. osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom EU ali pravom države članice, ki velja za upravljavca;
  6. osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1) uredbe.

 

Izjemo predstavlja tretji odstavek 17. člena, ki določa, da se prvi odstavek ne uporablja, če je obdelava potrebna:

  1. za uresničevanje pravice do svobode izražanja in obveščanja;
  2. za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;
  3. iz razlogov javnega interesa na področju javnega zdravja v skladu s točkama (h) in (i) člena 9(2) ter členom 9(3);
  4. za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko raziskovalne namene ali statistične namene v skladu s členom 89(1), kolikor bi pravica iz odstavka 1 lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali
  5. za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka