Vnos kontaktnih podatkov v sistem eZdravja

Datum

15.01.2025

Številka

07121-1/2025/36

Kategorije

Elektronska pošta, Posebne vrste OP, Zdravstveni osebni podatki

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede ustreznosti vnosa kontaktnih podatkov v sistem eZdravja.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja ne more presojati skladnosti konkretnega ravnanja, ki ste ga priložili vašemu zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretnega ravnanja, ki ste ga opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

IP pojasnjuje, da je v zvezi s problematiko, ki jo izpostavljate v vašem zaprosilu za mnenje, uvedel postopek inšpekcijskega nadzora zoper upravljavca zaradi suma, da le-ta nepregledno in nezakonito obdeluje kontaktne podatke posameznikov in da z obdelavo osebnih podatkov krši načela v zvezi z obdelavo osebnih podatkov in ostale določbe Splošne uredbe in ZVOP-2. Obstaja namreč sum, da naj bi upravljavec iz sistema SI-PASS pridobival in v zbirko uporabnikov eZdravja uvozil enostransko določen, poljubno izbran elektronski naslov posameznega uporabnika, ki ima v svojem uporabniškem računu SI-PASS vpisan več kot en e-poštni naslov in ga tudi potrdil brez informirane izjave volje (soglasja) oz. veljavne privolitve posameznika ali druge zakonite pravne podlage.

IP dodaja, da je sicer pravna podlaga za obdelavo kontaktnih podatkov uporabnikov sistema eZdravja (elektronski naslov, telefonska številka) s strani NIJZ podana v 14.a členu Zakona o zbirkah podatkov s področja zdravstvenega varstva (Uradni list RS, št. 65/00, s spremembami in dopolnitvami; v nadaljevanju: ZZPPZ), ki med drugim s Prilogo 2 k ZZPPZ določa, da NIJZ vzpostavi in vodi zbirko pod št. 8 "Evidenca uporabnikov eZdravja", določa pa tudi njen namen, kdo mora posredovati podatke in kdaj, način pridobivanja podatkov, rok hrambe podatkov in upravičence do podatkov. Namen te zbirke je upravljanje v njej navedenih kategorij podatkov o uporabnikih eZdravja (t.j. fizičnih in pravnih oseb, ki uporabljajo storitve eZdravja ali enotno informacijsko komunikacijsko infrastrukturo eZdravja) in njihovih pooblastil za uporabo storitev eZdravje, zato se uporaba kontaktnih podatkov za obveščanje uporabnikov eZdravja iz te zbirke lahko nanaša le na ta namen. Zbirka kontaktne podatke uporabnikov eZdravja pridobiva iz povezanih zbirk (iz Evidence gibanja zdravstvenih delavcev in mreže zdravstvenih zavodov in iz CRPP), podatke pa uporabniki v zbirko posredujejo prek portala eVEM ali prek aplikacije za urejanje pooblastil v Evidenci uporabnikov eZdravja, lahko pa jih zbirka pridobiva tudi iz centralne storitve za spletno prijavo in elektronski podpis v upravljanju ministrstva, pristojnega za zagotavljanje elektronskih storitev javne uprave.

Slednji način pridobivanja kontaktnih podatkov (sploh pa ne postopek pridobivanja iz sistema SI-PASS) ni izrecno določen z ZZPPZ, poleg tega pa v ZZPPZ niso določeni niti ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, upoštevajoč, da ima posamezni uporabnik v svojem uporabniškem računu SI-PASS lahko vpisan več kot en e-poštni naslov (npr. osebni elektronski naslov iz osebnega kvalificiranega digitalnega potrdila - Sigenca in službeni elektronski naslov iz službenega kvalificiranega digitalnega potrdila - Sigovca oziroma poljubno dodane e-poštne naslove na uporabniških straneh SI-PASS, skladno s splošnimi pogoji uporabe sistema SI-PASS).

IP sklepno dodaja, da je več informacij v zvezi z delovanjem sistema SI-PASS na voljo na naslednji povezavi: https://www.si-trust.gov.si/sl/podpora-uporabnikom/pogosta-vprasanja/si-pass-pogosta-vprasanja/.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca

dr. Jelena Virant Burnik, Informacijska pooblaščenka