Obdelava zdravstvenih podatkov s strani zdravnikov zasebnikov

Datum

25.11.2024

Številka

07121-1/2024/1449

Kategorije

Varnost osebnih podatkov, Zbirke osebnih podatkov, Zdravstveni osebni podatki

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Sprašujete, na kateri pravni podlagi zasebniki v zdravstvu obdelujejo zdravstvene podatke pacientov, kadar pacienti pri njih opravljajo samoplačniške preglede?

Zanima vas tudi, ali so zasebniki zavezani o izvedenih zdravstvenih obravnavah poročati NIJZ in vnašati izvide v CRPP? Če da, vas zanima, kje je razmejitev glede obveznosti poročanja o izvedenih zdravstvenih obravnavah.

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Za obdelavo zdravstvenih podatkov mora obstajati ustrezna pravna podlaga skladno s Splošno uredbo, npr. skladno s točko (h) drugega odstavka 9. člena Splošne uredbe je obdelava dopustna, če je med drugim potrebna za zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja. Izvajalci zdravstvene dejavnosti morajo upoštevati tudi določbe področne zakonodaje, npr. Zakona o pacientovih pravicah.

V centralnem registru podatkov o pacientih se po določbah Zakona o zbirkah podatkov s področja zdravstvenega varstva vodi povzetek podatkov o pacientu in pacientova zdravstvena dokumentacija. Pravna podlaga za vodenje teh podatkov in dokumentacije je podana v samem zakonu in privolitev posameznika ni potrebna. To velja tako za zdravstveno dokumentacijo, ki nastane pri zasebnih kot tudi pri javnih izvajalcih zdravstvene dejavnosti.

Dostop do zdravstvenih podatkov imajo lahko le tisti, ki jih potrebujejo za namen izvajanja zdravstvenih obravnav in so za to pooblaščeni z zakonom in podzakonskimi predpisi. Vpogled v določene podatke, ki se vodijo v CRPP (iz povzetka podatkov o pacientu) lahko posameznik tudi prepove.

Poudarjamo, da IP nima pristojnosti nadzora nad vprašanjem, ali je izvajalec zdravstvene dejavnosti iz zasebnega sektorja dolžan vnašati podatke in dokumentacijo v CRPP. Vsekakor je skladno z določbami Zakona o zbirkah podatkov s področja zdravstvenega varstva podana pravna podlaga za vnos povzetka podatkov o pacientu ter zdravstvene dokumentacije.

Obrazložitev

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Za vsako obdelavo osebnih podatkov mora biti podana ustrezna pravna podlaga skladno s 6. členom oz. 9. členom Splošne uredbe (kadar gre za posebne vrste osebnih podatkov, kamor uvrščamo tudi podatke v zvezi z zdravjem posameznika). Tako je npr. skladno s točko (h) drugega odstavka 9. člena Splošne uredbe obdelava dopustna, če je potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotavljanje zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3. Več o pravnih podlagah za obdelavo zdravstvenih podatkov lahko preberete na povezavi: https://www.ip-rs.si/varstvo-osebnih-podatkov/inšpekcijski-nadzor/najbolj-pogoste-kršitve/zdravstveni-podatki.

Vsi izvajalci zdravstvene dejavnosti, bodisi iz zasebnega bodisi iz javnega sektorja, morajo (med drugim) spoštovati določbe Zakona o zbirkah podatkov s področja zdravstvenega varstva (ZZPPZ), Zakona o zdravstveni dejavnosti (ZZDej, Zakona o pacientovih pravicah (ZPacP), Splošne uredbe in ZVOP-2. Katere podatke lahko obdelujejo izvajalci zdravstvene dejavnosti npr. v okviru osnovne zdravstvene dokumentacije je določeno v Prilogi 1 k ZZPPZ.

Tako npr. izpostavljamo, da ima pacient skladno s prvim in drugim odstavkom 44. člena ZPacP pravico do zaupnosti osebnih podatkov, vključno s podatki o obisku pri zdravniku in drugih podrobnostih o svojem zdravljenju. S pacientovimi zdravstvenimi in drugimi osebnimi podatki morajo zdravstveni delavci in zdravstveni sodelavci ravnati v skladu z načelom zaupnosti in predpisi, ki urejajo varstvo osebnih podatkov. Med zdravstvene delavce pa se skladno s 24. točko 2. člena ZPacP pa štejejo vsi, ki opravljajo zdravstvene ali lekarniške storitve, kot to določata zakona, ki urejata zdravstveno in lekarniško dejavnost. ZZDej tako v prvem odstavku 3. člena določa, da so izvajalci zdravstvene dejavnosti domače in tuje pravne in fizične osebe, ki so pridobile dovoljenje ministrstva, pristojnega za zdravje, za opravljanje zdravstvene dejavnosti. Navedeno pomeni, da se določbe o zaupnosti in varovanju osebnih podatkov, nanašajo tudi na zdravnike zasebnike.

Če je to za vas relevantno poudarjamo, da lahko v določenih primerih obdelava osebnih podatkov poteka tudi na podlagi privolitve, npr. če se podatki obdelajo izven postopkov zdravstvene obravnave (glej npr. četrti odstavek 44. člena ZPacP) ali npr. v raziskovalne namene skladno z 69. členom ZVOP-2.

V zvezi s poročanjem NIJZ oz. vnašanjem izvidov v Centralni register podatkov o pacientih (v nadaljevanju: CRPP) je IP na podobno vprašanje, kot je vaše, že odgovarjal z nezavezujočimi mnenji (ki so dostopna s pomočjo iskalnikov na www.ip-rs.si/vop), npr.:

-št. 07121-1/2024/184 z dne 20. 2. 2024 (Pretok zdravstvenih podatkov od zasebnih do javnih izvajalcev zdravstvenih storitev),

-št. 07121-1/2024/670 z dne 10. 6. 2024 (Posredovanje zdravstvenih podatkov NIJZ s strani zasebne psihiatrične ambulante),

-št. 07121-1/2021/818 z dne 26. 4. 2021 (Razkritje in pridobivanje osnovnih podatkov o pacientu v samoplačniški ambulanti) in

-št. 07121-1/2022/902 z dne 18. 8. 2022 (Portal eZdravje in samoplačniški pregledi).

Kot smo pojasnili v citiranih mnenjih, je z ZZPPZ določeno posredovanje določenih osebnih podatkov oz. določene zdravstvene dokumentacije v skladu z metodologijo Nacionalnega inštituta za javno zdravje (v nadaljevanju NIJZ) za potrebe vodenja CRPP. Zakon zasebnih izvajalcev zdravstvene dejavnosti, s koncesijo ali brez, ne izključuje iz uporabe zdravstvenega informacijskega sistema eZdravje oziroma CRPP (CRPP je namreč del zbirke podatkov eZdravja). 3. člen ZZPPZ določa, da so upravljavci zbirk podatkov s področja zdravstvenega varstva NIJZ in ostali izvajalci zdravstvene dejavnosti v Republiki Sloveniji. V 14. členu tega zakona je nadalje določeno, da so uporabniki eZdravja fizične in pravne osebe, ki uporabljajo storitve eZdravja in enotno informacijsko-komunikacijsko infrastrukturo eZdravja; obvezni uporabniki eZdravja so izvajalci, drugi uporabniki eZdravja, določeni v posamezni zbirki eZdravja iz Priloge 2 in drugi obvezni uporabniki eZdravja za posamezne storitve eZdravja, če pravica do obdelave podatkov, vsebovanih v zbirkah podatkov eZdravja, izhaja iz drugega zakona.

CRPP je posebej opredeljen v 14.b členu ZZPPZ in sicer je CRPP zbirka podatkov eZdravja o pacientih s stalnim ali začasnim prebivališčem v Republiki Sloveniji in o drugih pacientih, ki v Republiki Sloveniji prejmejo zdravstveno oskrbo. CRPP vsebuje naslednje podatke o pacientih:

-povzetek podatkov o pacientu in

-pacientovo zdravstveno dokumentacijo iz prvega odstavka 1.a člena tega zakona.

Podatki se v CRPP med drugim skladno s tretjim odstavkom 14.b člena ZZPPZ obdelujejo zato, da se izvajalcem v Republiki Sloveniji in v tujini omogoči dostop do podatkov in izmenjava podatkov za izvajanje zdravstvene oskrbe in mrliške pregledne službe ter z namenom ažuriranja podatkov zdravstvene dokumentacije.

Po 14.c členu ZZPPZ so uporabniki podatkov CRPP pacienti, izvajalci in pooblaščene osebe ZZZS, ki za namene iz tretjega odstavka prejšnjega člena obdelujejo podatke iz CRPP. Obdelava podatkov iz CRPP pri izvajalcih v Republiki Sloveniji je dopustna brez soglasja pacienta.

Opozarjamo tudi, da zakon omejuje vpogled v zdravstvene podatke in nikakor se ne bi smelo zgoditi, da ima do njih dostop »vsak zdravnik v državi« temveč le tisti, ki jih potrebujejo za namen izvajanja zdravstvenih obravnav in so za to pooblaščeni z zakonom in podzakonskimi predpisi. Ima pa pacient pravico s pisno izjavo prepovedati vpogled v povzetek podatkov o pacientu (glej tretji in četrti odstavek 14. c člena ZZPPZ).

Več o tem lahko preberete v citiranih mnenjih.

Kot smo dodatno izpostavili v mnenjih, pa IP nima pristojnosti nadzora nad vprašanjem, ali je izvajalec zdravstvene dejavnosti iz zasebnega sektorja dolžan vnašati podatke in dokumentacijo v CRPP. Vsekakor pa je podana pravna podlaga za vnos povzetka podatkov o pacientu ter zdravstvene dokumentacije.

Lepo vas pozdravljamo.

dr. Jelena Virant Burnik, informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo

---

[1]Zakonu o zbirkah podatkov s področja zdravstvenega varstva (Uradni list RS, št. 65/00, 47/15, 31/18, 152/20 – ZZUOOP, 175/20 – ZIUOPDVE, 203/20 – ZIUPOPDVE, 112/21 – ZNUPZ, 196/21 – ZDOsk, 206/21 – ZDUPŠOP, 141/22 – ZNUNBZ, 18/23 – ZDU-1O in 84/23 – ZDOsk-1, v nadaljevanju: ZZPPZ).

[2]Zakon o zdravstveni dejavnosti (Uradni list RS, št. 23/05 – uradno prečiščeno besedilo, 15/08 – ZPacP, 23/08, 58/08 – ZZdrS-E, 77/08 – ZDZdr, 40/12 – ZUJF, 14/13, 88/16 – ZdZPZD, 64/17, 1/19 – odl. US, 73/19, 82/20, 152/20 – ZZUOOP, 203/20 – ZIUPOPDVE, 112/21 – ZNUPZ, 196/21 – ZDOsk, 100/22 – ZNUZSZS, 132/22 – odl. US, 141/22 – ZNUNBZ, 14/23 – odl. US in 84/23 – ZDOsk-1, v nadaljevanju: ZZDej).

[3]Zakona o pacientovih pravicah (Uradni list RS, št. 15/08, 55/17, 177/20 in 100/22 – ZNUZSZS, v nadaljevanju: ZPacP)