Zavezanci po 23. členu ZVOP-2

Datum

23.06.2025

Številka

07120-1/2025/272

Kategorije

Posebne vrste OP

Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje. Prosite nas za mnenje glede zavezancev po 23. členu ZVOP-2. Konkretno sprašujete za dom starejših, ki je med drugim tudi izvajalec zdravstvene nege na primarnem nivoju po drugem odstavku 8. člena ZZDej.

Dodatno še navajate, da socialno varstveni zavodi po vašem mnenju zdravstvene dejavnosti (kjer lahko pride do obsežne obdelave posebnih osebnih podatkov) ne opravljajo kot temeljno dejavnost (3. točka 23. člena ZVOP-2), prav tako po našem mnenju ne opravljajo zdravstvenega varstva v smislu 1. točke prvega odstavka 23. člena ZVOP-2, saj v večini socialno varstvenih zavodov zdravstveno dejavnost opravljajo zdravstveni domovi ali koncesionarji, ki imajo v okviru socialno varstvenih zavodov svoje ambulante, in so upravljavci na tem področju zdravstveni domovi.

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22 in 40/25 – ZInfV-1, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP meni, da je socialno varstveni zavod, ki izvaja zdravstveno nego na primarnem nivoju zelo verjetno zavezanec po 1. in 3. točki prvega odstavka 23. člena ZVOP-2,

saj se v njegovih informacijskih sistemih glede na njegove njihove dejavnosti izvajajo obdelave osebnih podatkov, ki so določene v zakonih, ki urejajo področje zdravstvenega varstva oz. obsežne obdelave posebnih vrst osebnih podatkov (npr. zdravstveni podatki).

Obrazložitev

Pri tem IP poudarja, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Prvi odstavek 23. člena ZVOP-2 določa, da se za informacijske sisteme, v katerih:

1.se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali

2.se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona, ali

3.upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali

4.se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov,

smiselno uporabljajo določbe o ukrepih za obvladovanje tveganj in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki se nanašajo na bistvene subjekte, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost.

Pod navedenimi pogoji se torej smiselno uporabljajo določbe Zakona o informacijski varnosti (ZInfV-1).

Za izvajalce socialno varstvenih storitev je treba njihovo zavezanost po 23. členu preveriti predvsem z vidika njihovih lastnih informacijskih sistemov, s katerimi sami upravljajo. Glede na navedeno je pri kateremkoli od izvajalcev socialno varstvenih storitev treba preveriti, ali gre za okoliščine, ki so navedene v točkah 1 do 4 prvega odstavka 23. člena ZVOP-2.

IP meni, da bi v vašem primeru lahko šlo vsaj za okoliščine iz točk 1 in 3 prvega odstavka 23. člena ZVOP-2. Namreč, kot navajate, je konkreten zavod izvajalec osnovne zdravstvene dejavnosti po Zakonu o zdravstveni dejavnosti (ZZDej) in sicer so izvajalci zdravstvene nege na primarnem nivoju. S tem je po mnenju IP izpolnjen pogoj, da se v informacijskem sistemu izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področje zdravstvenega varstva. V tem delu se zato sklicujemo na mnenje IP št. 07120-1/2023/239 z dne 28. 4. 2023. Prav tako je treba poudariti, da izvajalec kot svojo temeljno dejavnost po vsej verjetnosti izvaja tudi obsežne obdelave posebnih vrst osebnih podatkov, saj vodi evidence, ki so določene v 110. členu Zakona o socialnem varstvu (ZSV) in med drugim skladno z 111. členom ZSV vsebujejo podatke o zdravstvenem stanju in invalidnosti varovanca in njegovega zakonitega zastopnika.

Ali je določen upravljavec zavezanec (zgolj po ali samostojno) po 2. ali 4. točki prvega odstavka 23. člena ZVOP-2 pa ni mogoče ugotoviti brez konkretnih okoliščin obdelav osebnih podatkov pri posameznem zavezancu, t.j. podlage za obdelavo podatkov in števila zadevnih posameznikov.

V upanju, da vam bodo naši napotki v pomoč, vas lepo pozdravljamo.

dr. Jelena Virant Burnik,

informacijska pooblaščenka

Pripravila:

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo

---

[1]Uradni list RS, št. 40/25.

[2]Uradni list RS, št. 23/05 – uradno prečiščeno besedilo, 15/08 – ZPacP, 23/08, 58/08 – ZZdrS-E, 77/08 – ZDZdr, 40/12 – ZUJF, 14/13, 88/16 – ZdZPZD, 64/17, 1/19 – odl. US, 73/19, 82/20, 152/20 – ZZUOOP, 203/20 – ZIUPOPDVE, 112/21 – ZNUPZ, 196/21 – ZDOsk, 100/22 – ZNUZSZS, 132/22 – odl. US, 141/22 – ZNUNBZ, 14/23 – odl. US, 84/23 – ZDOsk-1, 102/24 – ZZKZ in 32/25.

[3]Uradni list RS, št. 3/07 – uradno prečiščeno besedilo, 23/07 – popr., 41/07 – popr., 61/10 – ZSVarPre, 62/10 – ZUPJS, 57/12, 39/16, 52/16 – ZPPreb-1, 15/17 – DZ, 29/17, 54/17, 21/18 – ZNOrg, 31/18 – ZOA-A, 28/19, 189/20 – ZFRO, 196/21 – ZDOsk, 82/23, 84/23 – ZDOsk-1 in 24/25.