Hramba zdravstvenih podatkov v elektronski obliki za izvajalce zdravstvene dejavnosti

Datum

15.02.2023

Številka

07121-1/2023/187

Kategorije

Zdravstveni osebni podatki, Pogodbena obdelava podatkov, Varnost osebnih podatkov

Pri Informacijskem pooblaščencu (IP) smo dne 2. 2. 2023 prejeli vaše zaprosilo za mnenje o tem, ali za izvajanje dejavnosti hrambe zdravstvenih podatkov v elektronski obliki (npr. za bolnišnice, zdravstvene domove) velja določba tretjega odstavka 9. člena Splošne uredbe o varstvu podatkov, ki naj bi določala, da podatke lahko obdeluje le zdravnik. Vaša stranka bi namreč rada izvajala to storitev oziroma dejavnost.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. Do konkretnih obdelav osebnih podatkov se lahko IP dokončno opredeljuje le v okviru nadzornih postopkov.

Določba tretjega odstavka 9. člena Splošne uredbe o varstvu podatkov se ne nanaša le na zdravnike in velja tudi za dejavnost hrambe zdravstvenih podatkov, če upravljavec to izvaja na podlagi (h) točke drugega odstavka 9. člena Splošne uredbe o varstvu podatkov.

V vašem primeru bi najverjetneje šlo za pogodbeno obdelavo podatkov v smislu 28. člena Splošne uredbe o varstvu podatkov. V tem primeru so osebe, ki neposredno izvajajo obdelavo osebnih podatkov pri pogodbeni hrambi, zavezane k varovanju poklicne skrivnosti že po zakonu in tudi po navodilih morebitnega pogodbenega obdelovalca. Ta pa mora po navodilih upravljavca zagotavljati postopke in ukrepe za zagotavljanje varnosti osebnih podatkov.

Obrazložitev

Splošna uredba o varstvu podatkov v (h) točki drugega odstavka 9. člena določa, da je obdelava posebnih vrst osebnih podatkov dopustna, če je obdelava potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz tretjega odstavka istega člena. Ta podlaga je odvisna od nacionalne ureditve, ki je v konkretnem primeru zlasti Zakon o zbirkah podatkov s področja zdravstvenega varstva, delno pa tudi Zakon o zdravstveni dejavnosti, Zakon o zdravniški službi, Zakon o zdravstvenem varstvu in zdravstvenem zavarovanju in Zakon o pacientovih pravicah.

Obravnavani tretji odstavek 9. člena Splošne uredbe o varstvu podatkov se nanaša na obveznosti upravljavca iz (h) točke drugega odstavka 9. člena uredbe. Omenjeni tretji odstavek določa, da se osebni podatki lahko obdelujejo v namene iz točke (h) drugega odstavka, kadar jih obdeluje ali je za njihovo obdelavo odgovoren strokovnjak, za katerega velja obveznost varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi, ali druga oseba, za katero tudi velja obveznost varovanja skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi.

Zgornji tretji odstavek se nanaša na zdravnike in druge zdravstvene delavce, zdravstvene sodelavce in tudi na vse na druge osebe, ki izvajajo neposredno delo na zdravstvenih podatkih. Tako namreč izhaja iz samega tretjega odstavka 9. člena Splošne uredbe o varstvu podatkov, zlasti pa iz prvega odstavka 45. člena Zakona o pacientovih pravicah (ZPacP), ki določa, da »so zdravstveni delavci in zdravstveni sodelavci ter osebe, ki so jim zaradi narave njihovega dela podatki dosegljivi, dolžni kot poklicno skrivnost varovati vse, kar pri opravljanju svojega poklica ali dela zvedo o pacientu, zlasti informacije o njegovem zdravstvenem stanju, njegovih osebnih, družinskih in socialnih razmerah ter informacije v zvezi z ugotavljanjem, zdravljenjem in spremljanjem bolezni ali poškodb (v nadaljnjem besedilu: informacije o zdravstvenem stanju)«. Tudi drugi odstavek 45. člena ZPacP, ki se nanaša na razrešitev varovanja poklicne skrivnosti, govori o »drugih osebah, ki so jim podatki dosegljivi zaradi narave njihovega dela«.

To pomeni, da morajo osebe, ki opravljajo kakršnokoli neposredno delo z zdravstvenimi podatki pri izvajanju hrambe, izpolnjevati pogoj iz tretjega odstavka 9. člena Splošne uredbe o varstvu podatkov. Ta pogoj je v vašem primeru izpolnjen zaradi določb 45. člena ZPacP, torej že po zakonu (ex lege).

Gospodarska dejavnost hrambe zdravstvenih podatkov za izvajalce zdravstvene dejavnosti se praviloma izvaja v okviru pogodbene obdelave osebnih podatkov po 28. členu Splošne uredbe o varstvu podatkov. Zato mora biti pogodbeni obdelovalec tudi s samo pogodbo zavezan k varovanju poklicne skrivnosti in k ukrepom za doseganje varnosti teh podatkov. Tudi osebe, ki pri pogodbenem obdelovalcu izvajajo neposredno delo z zdravstvenimi podatki (npr. zaposleni v podjetju) so k varovanju poklicne skrivnosti dodatno (torej poleg ZPacP) zavezani po zavezujočih navodilih obdelovalca in praviloma tudi s pisno izjavo o varovanju informacij. Te osebe torej niso nujno zdravniki, pač pa so lahko tudi na primer strokovnjaki s področja računalništva in informatike.

Lepo vas pozdravljamo,

Pripravil

mag. Urban Brulc, univ. dipl. prav., samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka