- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Pogodba o informatizirani izmenjavi osebnih podatkov pacientov med dvema izvajalcema zdravstvene dejavnosti
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Pogodba o informatizirani izmenjavi osebnih podatkov pacientov med dvema izvajalcema zdravstvene dejavnosti
Datum
04.04.2025
Številka
07120-1/2025/155
Kategorije
Zdravstveni osebni podatki, Varnost osebnih podatkov, Pogodbena obdelava podatkov
Pri Informacijskem pooblaščencu (IP) smo dne 25. 3. 2025 prejeli vaše zaprosilo za mnenje o tem, ali treba skleniti pogodbo o obdelavi osebnih podatkov v primeru, ko se podatki pacientov pošiljajo s strani UKC zdravstvenemu domu, kjer pacienti nadaljujejo ambulantno zdravljenje. Šlo bi za digitaliziran prenos podatkov, namesto pošiljanja dokumentacije v papirni obliki. Kot pojasnjujete sami, za posredovanje podatkov ni potrebna privolitev pacientov.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) o varstvu podatkov ter 2. členom Zakona o informacijskem pooblaščencu (ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. IP se do konkretnih obdelav osebnih podatkov lahko dokončno opredeljuje le v nadzornih postopkih.
1.Če gre za informatizirano posredovanje osebnih podatkov ali zdravstvene dokumentacije zakonitemu uporabniku, za katero obstaja pravna podlaga (npr. četrta alineja šestega odstavka 44. člena ZPacP in 178. člen Pravil OZZ), sklenitev pogodbe o pogodbeni obdelavi osebnih podatkov v smislu 28. člena Splošne uredbe ni smiselna in tudi ni ustrezna.
2.V zgornjem primeru je zgolj priporočljivo, da je posredovanje podatkov oziroma dokumentacije urejeno tudi s pogodbo (vendar ne s pogodbo iz 28. člena Splošne uredbe) ali z drugimi dogovorjenimi pravili, s katerimi se določijo ustrezni ukrepi za varnost osebnih podatkov.
3.V tem mnenju ne presojamo pravne podlage za izmenjavo osebnih podatkov in izhajamo iz domneve, da ta obstaja za vsak podatek oziroma dokument.
Obrazložitev:
Pogodbena obdelava osebnih podatkov v smislu 28. člena Splošne uredbe je podana takrat, ko upravljavec (npr. izvajalec zdravstvene dejavnosti) določeno obdelavo osebnih podatkov katerih upravljavec je (npr. za hrambo podatkov, izvedbo analiz, predelavo podatkov itd.) z dogovorom poveri drugi fizični ali pravni osebi tako, da jih ta obdeluje ne kot upravljavec, uporabnik ali skupni upravljavec, temveč le kot obdelovalec v imenu in na račun upravljavca oziroma za upravljavca, torej za upravljavčeve namene oziroma za namene, ki jih določi upravljavec.
V predstavljenem primeru ne gre za tak položaj, temveč gre za »običajno« posredovanje osebnih podatkov (ali zdravstvene dokumentacije) od upravljavca (UKC) k uporabniku (ZD). Uporabnik osebnih podatkov ne bo obdeloval za prvotnega upravljavca (vir podatkov), temveč za svoj zakoniti namen kot nadaljnji samostojni upravljavec za namen izvajanja zdravstvene oskrbe pacientov.
Glede na navedeno ni videti razlogov za sklenitev pogodbe o obdelavi osebnih podatkov. Poleg tega bi sklenitev take pogodbe lahko pravno gledano napačno uredila položaje in odgovornosti udeleženih subjektov.
Ker opisana izmenjava osebnih podatkov prek informacijske rešitve predstavlja določena tveganja za varnost osebnih podatkov, IP predlaga, da z dogovorom oziroma pogodbo (ki ni pogodba iz 28. člena Splošne uredbe) ali z drugimi pravili (npr. skupni pravilnik) uredite varnostne vidike izmenjave podatkov, ki jih zahtevata 5. člen (zlasti f točka prvega odstavka) in 32. člen Splošne uredbe ter ZVOP-2, na primer preprečevanje posredovanja prekomernih podatkov v eno ali drugo smer, šifriranje vsebine, preprečevanje pomot (npr. pošiljanje napačnih podatkov oziroma podatkov za napačne paciente), preprečevanje spreminjanja podatkov na poti, pravočasna in popolna dostopnost in razpoložljivost podatkov, omejene pravice poseganja v sistem ter dostopa do podatkov na eni in drugi strani, ustrezna sledljivost obdelav in tako dalje. S tako pogodbo ali pravili se seveda lahko uredijo tudi vsi drugi vidiki delovanja informacijske rešitve, ki nimajo neposredne zveze z varstvom osebnih podatkov, npr. glede kritja stroškov, vzdrževanja sistema in pomoči, obveznosti zagotavljanja podatkov, lokacije podatkov, načina integriranja rešitve v obstoječe informacijske rešitve itd.
Če gre za informacijsko rešitev, prek katere bo šlo za masovno in tvegano izmenjavo zdravstvenih podatkov, je treba pred pripravo informacijske rešitve pripraviti oceno učinkov po 35. členu Splošne uredbe.
Glede pogodbene obdelave in ocen učinkov so na spletni strani IP pod zavihkom »publikacije« na voljo smernice IP.
Lepo vas pozdravljamo,
Pripravil:
dr. Urban Brulc, univ. dipl. prav., samostojni svetovalec IP
dr. Jelena Virant Burnik, informacijska pooblaščenka