Veljavnost privolitev za nadaljnjo obdelavo, posredovanje in hrambo občutljivih osebnih podatkov pacientov

Datum

17.03.2023

Številka

07121-1/2023/367

Kategorije

Posredovanje osebnih podatkov, Pravne podlage, Privolitev, Zdravstveni osebni podatki

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Navajate, da sta izvajalca zdravstvene dejavnosti to dejavnost najprej opravljala v kliniki pod okriljem določene družbe, v tem okviru pa sta od svojih pacientov pridobivala tudi soglasja za obdelavo občutljivih osebnih podatkov, kot izhaja iz obrazcev, ki jih prilagate (soglasje, izjava/pooblastilo pacienta). Ker je prišlo do prenehanja medsebojnega sodelovanja, vas zanima, ali lahko izvajalca zdravstvene dejavnosti kot fizični osebi na podlagi predhodno pridobljenih soglasij še naprej obdelujeta občutljive osebne podatke pacientov, ki jih potrebujeta za nadaljnje zdravljenje pacientov, spremljanje njihovega stanja, ukrepanja ob morebitnih kasnejših posegih ali pa zaradi izvedbe morebitnih novih zdravstvenih posegov, torej ali lahko te podatke, ki so bili pridobljeni v okviru klinike oziroma družbe, nadalje obdelujeta, posredujeta, hranita in z njimi razpolagata.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Dopustnost (nadaljnje) obdelave osebnih podatkov pacientov s strani izvajalca zdravstvene dejavnosti, ki ne deluje več v okviru klinike oziroma družbe, ki je upravljavec osebnih podatkov, je odvisna od pravne podlage in namena za obdelavo konkretnih osebnih podatkov. Če je podlaga za določeno dejavnost obdelave teh osebnih podatkov predvidena v zakonu, potem novih privolitev izvajalec zdravstvene dejavnosti ni dolžan pridobivati.

Osebne podatke, ki temeljijo na privolitvi, lahko obdeluje le upravljavec oziroma osebe, ki delujejo v njegovem imenu.

Privolitev v zdravljenje ali medicinski poseg po 26. členu ZPacP ne gre enačiti s privolitvijo v obdelavo osebnih podatkov po 6. in 9. členu Splošne uredbe v okviru takšnega postopka.

Obrazložitev

IP uvodoma opozarja, da lahko posamezne primere obdelave osebnih podatkov konkretno presoja le v okviru inšpekcijskega ali drugega upravnega postopka. To pomeni, da v okviru mnenja ne more presojati zakonitosti predlaganih obdelav ali ravnanj upravljavcev, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava osebnih podatkov zakonita.

IP najprej pojasnjuje, da je upravljavec fizična ali pravna osebo, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave. V praksi je običajno organizacija tista, ki deluje kot upravljavec v smislu Splošne uredbe, in ne posameznik znotraj nje. Več o pojmu upravljavca si lahko preberete v smernicah Evropskega odbora za varstvo podatkov, ki so dostopne na https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_sl.

Vsak upravljavec je dolžan osebne podatke obdelovati na ustrezni pravni podlagi ter za določene, izrecne in zakonite namene. Po prvem odstavku 6. člena ZVOP-2 se osebni podatki lahko obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe. Za zakonitost obdelave je dovolj, da je izpolnjena ena od pravnih podlag, ki jih določa Splošna uredba v povezavi z ZVOP-2. To pomeni, da če upravljavec osebne podatke obdeluje na primer na podlagi zakonske obveznosti, za te podatke privolitev ni dolžan pridobivati. Odgovornost za izbiro ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, nosi upravljavec (drugi odstavek 5. člena Splošne uredbe). Več o pravnih podlagah si lahko preberete na: https://upravljavec.si/kako-uporabljate-te-podatke/kratko-o-pravnih-podlagah/.

Odgovor na vaše vprašanje je primarno odvisen od pravne podlage, na temelju katere je klinika oziroma družba (ki je najverjetneje delovala kot upravljavec) obdelovala osebne podatke pacientov, pravne podlage, na temelju katere bi izvajalec zdravstvene dejavnosti, ki je prej deloval v okviru klinike, nadalje obdeloval osebne podatke pacientov, ter namenov teh obdelav. V primeru prekinitve poslovnega sodelovanja izvajalec zdravstvenih dejavnosti namreč ne sme obdelovati osebnih podatkov pacientov, ki so bili pridobljeni s strani klinike oziroma družbe, v okviru katere je prej deloval, če za to nima ustrezne lastne pravne podlage.

Pacientovi zdravstveni in drugi osebni podatki se lahko obdelujejo na podlagi določb Splošne uredbe in ZVOP-2 ter področne zakonodaje, npr. Zakona o zbirkah podatkov s področja zdravstvenega varstva, Zakona o pacientovih pravicah, Zakona o zdravstvenem varstvu in zdravstvenem zavarovanju, Zakona o zdravniški službi, Zakona o zdravstveni dejavnosti. Če obstaja v zakonodaji ustrezna pravna podlaga za to, da klinika oziroma družba kot upravljavec posreduje določene osebne podatke pacientov, s katerimi razpolaga, izvajalcu, ki zdravstveno dejavnost nadaljuje izven te klinike, ter da slednji te osebne podatke še naprej obdeluje za določen zakonit in konkreten namen (npr. zaradi nadaljevanja zdravljenja pacienta), potem vprašanje veljavnosti predhodno danih privolitev sploh ni relevantno.

V skladu s tretjim in četrtim odstavkom 44. člena Zakona o pacientovih pravicah (Uradni list RS, št. 15/08, 55/17, 177/20 in 100/22 – ZNUZSZS; v nadaljevanju ZPacP) lahko pacient privoli v tudi obdelavo osebnih podatkov pri izvajalcu zdravstvenih storitev, ki sicer ni predvidena v nobenem zakonu. Takšna privolitev se lahko da za potrebe zdravstvene oskrbe oziroma za potrebe izven zdravstvene oskrbe. IP pa opozarja, da privolitev v zdravljenje ali medicinski poseg po 26. členu ZPacP ne gre enačiti s privolitvijo v obdelavo osebnih podatkov po 6. in 9. členu Splošne uredbe v okviru takšnega postopka.

Če upravljavec obdeluje podatke posameznikov na podlagi njihove privolitve (npr. objava fotografije na družbenih omrežjih z namenom oglaševanja), mora biti sposoben izkazati, da so mu slednji podali veljavno privolitev. Veljavna privolitev mora biti informirana, kar pomeni, da je treba posameznika, na katerega se nanašajo osebni podatki, predhodno obvestiti o nekaterih elementih, ki so ključni za njegovo odločitev. Med drugim je pomembno, da pozna identiteto upravljavca, ki mu daje svojo privolitev, in namene, za katere se bodo podatki obdelovali. Osebne podatke, ki temeljijo na privolitvi, lahko namreč obdeluje le upravljavec oziroma osebe, ki delujejo v njegovem imenu. Če so bile privolitve dane kliniki oziroma družbi kot upravljavcu osebnih podatkov pred prekinitvijo medsebojnega sodelovanja, bo neposredni izvajalec zdravstvene dejavnosti, ki ne deluje več v okviru tega upravljavca, za obdelavo osebnih podatkov potreboval nove privolitve, ki bodo morale biti v primeru zdravstvenih osebnih podatkov izrecne (točka a) drugega odstavka 9. člen Splošne uredbe).

Več o privolitvi kot pravni podlagi za obdelavo osebnih podatkov si lahko preberete tudi v smernicah Evropskega odbora za varstvo podatkov, ki so dostopne na: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_sl in spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/privolitev.

IP opozarja še upravljavčevo dolžnost zagotavljanja informacij v zvezi z obdelavo osebnih podatkov v skladu s 13. in 14. členom Splošne uredbe, ki velja ne glede na pravno podlago za obdelavo. Več o tem si lahko preberete na spletni strani IP https://upravljavec.si/pogosta-vprasanja/obvestite-posameznike-kako-obdelujete-njihove-osebne-podatke/.

Glede obdelave zdravstvenih podatkov je IP izdal že številna neobvezna mnenja, s katerimi se lahko seznanite na spleti strani https://www.ip-rs.si/mnenja-zvop-2/ (npr. kategorija »Zdravstveni osebni podatki« ter »Privolitev«) in ki so vam lahko v pomoč pri presoji glede ustreznih pravnih podlag in drugih obveznosti po Splošni uredbi in ZVOP-2.

Lepo vas pozdravljamo,

Pripravila

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka