Dnevnik obdelave osebnih podatkov v Centralnem registru podatkov o pacientih

Datum

25.02.2026

Številka

07121-1/2026/164

Kategorije

Varnost osebnih podatkov, Zdravstveni osebni podatki, Pravica do seznanitve z lastnimi osebnimi podatki

pri Informacijskem pooblaščencu (IP) smo dne 16. 1. 2026 prejeli vašo pobudo za nadzor oziroma obvestilo, v katerem pojasnjujete (povzetek), da izpis iz dnevnika obdelav (revizijska sled) v Centralnem registru podatkov o pacientih (CRPP), ki ga posamezniki lahko prejmejo prek zVEM, vsebuje le datum in čas dostopa, splošen namen obdelave in naziv izvajalca zdravstvene dejavnosti. Po vašem mnenju taka ureditev sistemsko ne omogoča učinkovite presoje zakonitosti obdelave osebnih in zdravstvenih podatkov posameznikov, kot to zahteva 15. člen Splošne uredbe, saj manjka vsaj podatek o konkretni osebi, ki je izvajala obdelavo. Zaradi tega se ne da ugotoviti, ali je do njihove dokumentacije dostopal zdravstveni delavec ali druga oseba, v kakšni uporabniški vlogi je bil dostop opravljen, na kateri pravni podlagi je bil dostop utemeljen in ali je bil dostop opravljen v okviru zdravstvene obravnave ali izven nje.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22 in 40/25 – ZInfV-1; ZVOP-2), 58. členom Splošne uredbe (EU) o varstvu podatkov (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. Pojasnjujemo še, da se IP lahko dokončno opredeljuje do konkretnih obdelav osebnih podatkov le v nadzornih postopkih.

Na podlagi določb 15. člena Splošne uredbe je posameznik upravičen do pridobitve dnevnika obdelav osebnih podatkov v zbirkah, za katere se dnevnik obdelav vodi, in sicer le do naslednjih informacij: naziv upravljavca ali uporabnika, čas obdelave in namen obdelave.

Izjemoma je posameznik upravičen tudi do osebnega imena osebe, ki je neposredno izvajala posamezno obdelavo, če so te informacije nujne za to, da se posamezniku omogoči učinkovito uveljavljanje pravic, ki so mu podeljene s Splošno uredbo, in se upoštevajo pravice in svoboščine zaposlenih (gl. sodbo Sodišča EU št. C-579/21 - zadeva »Pankki S«). V praksi je to praviloma v primeru, če bi bilo ugotovljeno, da je šlo za nezakonito obdelavo osebnih podatkov, vendar ne zgolj v primeru suma za nezakonito obdelavo.

Obrazložitev

Strinjamo se z vami, da bi bilo za nadzor posameznika nad obdelavo osebnih podatkov v CRPP, koristno vedeti tudi, kdo konkretno je obdeloval osebne podatke (tj. notranji uporabnik). Toda trenutna ureditev tega ne omogoča brezpogojno. Da bi upravljavec v smislu zgoraj omenjenega stališča Sodišča EU posamezniku moral razkriti identiteto zaposlenih, ki so obdelovali njegove osebne podatke, bi moralo iti za obdelavo izven svojih delovnih nalog za zasebni namen, saj pri taki nezakoniti obdelavi osebnih podatkov, zaposleni ne delujejo kot (zakoniti) notranji uporabniki v imenu oziroma za upravljavca. Taka nezakonita obdelava osebnih podatkov mora biti ugotovljena do stopnje prepričanja (npr. v prekrškovnem postopku ali vsaj v internem nadzoru po 46. členu Zakona o pacientovih pravicah - ZPacP). Seznanitev z identiteto zaposlenih, ki nezakonito obdelujejo osebne podatke posameznika, bi v takem primeru (torej ob ugotovljeni nezakoniti notranji obdelavi) posamezniku omogočila učinkovito uveljavitev ne le pravice do seznanitve iz 15. člena Splošne uredbe (saj se bi na tak način seznanil tudi z de facto »zunanjimi uporabniki« iz c točke prvega odstavka 15. člena Splošne uredbe), temveč tudi pravice do proaktivnega informiranja po 13. in 14. členu Splošne uredbe, zlasti pa potencialne pravice iz 82. člena Splošne uredbe. Brez poznavanja identitete posameznik ne more uveljavljati morebitne odgovornosti zaposlenih, saj je ta lahko usmerjena le v določeno ali vsaj določljivo osebo. Nezakoniti vpogledi v sicer varovane osebne podatke (zdravstveni podatki) predstavljajo intenzivni poseg v zasebnost posameznika, zaradi česar se šele s seznanitvijo z identiteto kršitelja doseže popolno informiranje posameznika o kršitvi varstva osebnih podatkov (torej tudi informiranje o subjektivnih vidikih kršitve in ne le o objektivnih vidikih kot so kraj, čas, način storitve, predmet, sredstva in podobno).

Če posameznik (pacient) na podlagi prejetega dnevnika obdelav meni, da je pri izvajalcu zdravstvene dejavnosti prišlo do nezakonite obdelave osebnih podatkov, lahko pri izvajalcu zdravstvene dejavnosti vloži »prijavo« po 46. členu ZPacP. Izvajalec o ugotovitvah notranje preiskave potem obvesti IP.

V primeru zavrnitve zahteve za seznanitev z lastnimi osebnimi podatki iz 15. člena Splošne uredbe, lahko posameznik vloži prijavo pri IP. Tudi v primeru suma na nezakonito obdelavo osebnih podatkov pri upravljavcu, lahko posameznik vloži prijavo pri IP. Namen pravice do seznanitve iz 15. člena Splošne uredbe ni neposredno ugotavljanje zakonitosti notranjih obdelav osebnih podatkov.

Vaše stališče smo vzeli na znanje, vendar na njegovi podlagi ne moremo uvesti nadzornega postopka.

Prijazen pozdrav.

Pripravil: dr. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

dr. Jelena Virant Burnik

informacijska pooblaščenka