- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Mnenje Informacijskega pooblaščenca
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Mnenje Informacijskega pooblaščenca
Datum
25.04.2025
Številka
07121-1/2025/479
Kategorije
Posebne vrste OP, Zdravstveni osebni podatki
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede hrambe osebnih podatkov v zvezi z zdravjem v povezavi z določbo 23. člena ZVOP-2.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
IP tega, ali je določen upravljavec zavezanec po prvem odstavku 23. člena ZVOP-2, ni mogoče ugotoviti oziroma ne more presojati brez poznavanja konkretnih okoliščin obdelav osebnih podatkov pri posameznem zavezancu. Odgovornost za to presojo je primarno na samem upravljavcu.
Določba četrtega odstavka 23. člena ZVOP-2 se nanaša le na zbirke iz 1. točke prvega odstavka 23. člena ZVOP-2.
Za prenos osebnih podatkov znotraj EU ne zahtevajo dodatni pogoji, ki veljajo za prenose v tretje države, mora pa upravljavec pri določitvi načina in lokacije hrambe spoštovati splošna pravila za zagotavljanje varstva osebnih podatkov.
Obrazložitev
P uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.
IP pojasnjuje, da ZVOP-2 v prvem odstavku 23. člena določa, da se za določene informacijske sisteme smiselno uporabljajo določbe o varnostnih zahtevah in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki se nanašajo na izvajalce bistvenih storitev, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost. Gre za informacijske sisteme, v katerih:
1.se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali
2.se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona, ali
3.upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali
4.se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov.
IP nadalje pojasnjuje, da se zahteve prvega odstavka 23. člena ZVOP-2 (pretežno) ne nanašajo neposredno na upravljavce in/ali obdelovalce osebnih podatkov, kot je pogosto pri preostalih določbah ZVOP-2, ki veljajo ali za ene ali za druge ali za oboje, temveč veljajo zahteve prvega odstavka 23. člena ZVOP-2 za določene informacijske sisteme, ki se uporabljajo pri njih.
Iz vašega zaprosila za mnenje izhaja, da se ukvarjate z zagotavljanjem skladnosti na področju obdelave osebnih podatkov za proizvajalca medicinskih pripomočkov ter da se pri tem obdelujejo posebne vrste osebnih podatkov posameznikov, vendar ta obdelava ne obsega 10.000 ali več posameznikov. IP ob tem pojasnjuje, da tega, ali je določen upravljavec zavezanec po prvem odstavku 23. člena ZVOP-2, ni mogoče ugotoviti ozirom ne more presojati brez poznavanja konkretnih okoliščin obdelav osebnih podatkov pri posameznem zavezancu (zlasti pravne podlage za obdelavo podatkov in števila zadevnih posameznikov). Odgovornost za to presojo je primarno na samem upravljavcu. IP ob tem dodaja, da v konkretnem primeru preverite tudi, ali morda ne izpolnjujete kriterija iz 1. točke 23. člena ZVOP-2 – obdelava osebnih podatkov, določenih v zakonu, ki ureja področje zdravstvenega varstva.
V zvezi s četrtim odstavkom 23. člena ZVOP-2, ki določa, da zbirk osebnih podatkov iz 1. točke prvega odstavka tega člena ni dovoljeno hraniti izven ozemlja Republike Slovenije, IP posebej poudarja, da se ta določba torej nanaša le na zbirke iz 1. točke prvega odstavka 23. člena ZVOP-2 (torej na informacijske sisteme, v katerih se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc), ne pa tudi na zbirke iz 2. do 4. točke prvega odstavka 23. člena ZVOP-2. Slednje je torej dopustno hraniti tudi izven ozemlja RS. IP ob tem dodaja, da se za prenos osebnih podatkov znotraj EU ne zahtevajo dodatni pogoji, ki veljajo za prenose v tretje države, mora pa upravljavec pri določitvi načina in lokacije hrambe spoštovati splošna pravila za zagotavljanje varstva osebnih podatkov.
Lepo vas pozdravljamo.
Pripravil
Matej Sironič, Svetovalec pooblaščenca I
dr. Jelena Virant Burnik, Informacijska pooblaščenka