- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Pogodbena obdelava zdravstvenih podatkov za potrebe vodenja Registra raka
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Pogodbena obdelava zdravstvenih podatkov za potrebe vodenja Registra raka
Datum
21.11.2023
Številka
07120-1/2023/499
Kategorije
Pogodbena obdelava podatkov, Zdravstveni osebni podatki, Pridobivanje OP iz zbirk
Pri Informacijskem pooblaščencu (IP) smo dne 17. 11. 2023 prejeli vaše vprašanje, ali je dopustno, da kot izvajalec zdravstvene dejavnosti z Onkološkim inštitutom (OI) kot upravljavcem Registra raka, sklenete pogodbo o obdelavi osebnih podatkov za potrebe zbiranja podatkov v Registru raka. Na tej podlagi bi uslužbenci OI v imenu vaše klinike dostopali do zdravstvenih podatkov v vašem informacijskem sistemu (in izjemoma do papirne zdravstvene dokumentacije) za potrebe iskanja in priprave podatkov, ki jih je treba poročati OI na podlagi zakona. Na kliniki že vodite Register raka pljuč, iz katerega poročate predpisane podatke v Register raka pri OI. Pogodbeni obdelovalec (OI) ne bi dostopal (le) do podatkov v vašem Registru raka pljuč, temveč zlasti do »osnovne zdravstvene dokumentacije«. Priložili ste tudi osnutek pogodbe o obdelavi osebnih podatkov.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena ZVOP-2, 58. členom Splošne uredbe o varstvu podatkov, 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. Pojasnjujemo še, da se lahko dokončno opredeljujemo do konkretnih obdelav osebnih podatkov le v nadzornih postopkih in ob upoštevanju vseh okoliščin konkretnega primera.
Po mnenju IP je načeloma dopustno, da strokovno obdelavo osebnih podatkov za potrebe poročanja v Register raka pri OI, na podlagi pogodbe o obdelavi osebnih podatkov (28. člen Splošne uredbe) izvaja pogodbeni obdelovalec - OI, ki je obenem, vendar v ločeni vlogi tudi zakoniti uporabnik podatkov. Taka pogodbena obdelava načeloma lahko zajema tudi osebne podatke v bolnišničnem informacijskem sistemu in v papirni zdravstveni dokumentaciji klinike.
IP dodatno pojasnjuje, da v primeru sklenitve pogodbe, OI kot pogodbeni obdelovalec, med drugim:
-ne sme podatkov, ki mu bi bili dani na razpolago uporabljati za kakršenkoli drug namen kot je določen s pogodbo o obdelavi,
-po vsakokratni obdelavi ne sme hraniti osebnih podatkov v morebitnih pomožnih ali začasnih zbirkah, ki bi izvirali iz zbirk osebnih podatkov v upravljanju klinike, pač pa lahko v drugi fazi kot zakoniti uporabnik trajno prevzame le podatke, ki jih določa ZZPPZ (NIJZ 25),
-mora pri dostopu do podatkov in njihovi obdelavi spoštovati načelo sorazmernosti,
-lahko dostopa le do podatkov o tistih pacientih (relevantna skupina), ki jih vnaprej določi klinika in
-mora skrbno varovati uporabniška imena, gesla in sredstva za informatiziranih dostop do podatkov pri kliniki kot upravljavcu.
OI lahko po zaključku vsakokratne dogovorjene obdelave podatkov (tj. v drugi fazi) kot zakoniti uporabnik prevzame le tiste osebne podatke, za katere ima podlago v ZZPPZ (NIJZ 25).
Po mnenju IP je pogodbena obdelava v konkretnem primeru smiselna zlasti, če klinika ne bi mogla sama pravočasno, redno, kakovostno ter učinkovito zagotavljati vseh relevantnih osebnih podatkov za Register raka.
Obrazložitev
Splošna uredba in ZVOP-2 ne izključujeta situacije, ko bi zakoniti uporabnik podatkov obenem nastopal tudi kot pogodbeni obdelovalec za poročevalca - upravljavca.
V takem primeru je pogodbena obdelava praviloma smiselna, če upravljavec z lastnimi sredstvi in človeškimi viri ne bi mogel kakovostno, strokovno, pravočasno, uspešno ali dovolj učinkovito v internih zbirkah podatkov poiskati potrebnih podatkov, jih ustrezno interpretirati, ustrezno pripraviti ter na koncu posredovati uporabniku.
V takem primeru je neizogibno, da se pogodbenemu obdelovalcu zagotovi sorazmerno širok dostop do zbirk zdravstvenih osebnih podatkov v elektronski ali papirni obliki pri upravljavcu; po naravi stvari je v konkretnem primeru namreč nemogoče in bi bilo samo po sebi tudi nesmiselno obdelovalcu zagotoviti dostop le do tistih osebnih podatkov, ki se potem v skladu z ZZPPZ poročajo v Register raka.
Sklenitev predmetne pogodbe po 28. členu Splošne uredbe ni obveznost vaše klinike, pač pa je prepuščena avtonomiji pogodbenih strank. Sklenitev te pogodbe je smiselna zlasti v primeru, da bi sodelovanje vam in OI bistveno olajšalo, izboljšalo ali sploh omogočilo končno zbiranje osebnih podatkov za Register raka po načelih aktivne registracije. Razlog za sklenitev je torej lahko racionalizacija, doseganje večje kakovosti podatkov oziroma poročanja, pravočasnost in rednost poročanja. V tem primeru bi bilo treba pogodbeno, izvedbeno in če je izvedljivo, tudi tehnično omejiti dostop do podatkov le za vnaprej določene paciente, katerih podatki so s strokovnega vidika relevantni.
Mnenje IP št. 07121-1/202/846 (https://www.ip-rs.si/mnenja-gdpr/6048a57a35803) ni v nasprotju z zgornjim mnenjem, ker ne izključuje možnosti pogodbene obdelave.
Na naslednji povezavi so na voljo tudi smernice IP o pogodbeni obdelavi osebnih podatkov:
https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-o-pogodbeni-obdelavi
Ker ste priložili osnutek pogodbe, še pojasnjujemo, da IP ni pristojen za vnaprejšnje presojanje vsebine internih aktov, pogodb in drugih internih dokumentov upravljavcev ali obdelovalcev.
Prijazen pozdrav.
Pripravil
dr. Urban Brulc, univ. dipl. prav., samostojni svetovalec IP
Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka