- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Hramba zdravstvenih podatkov v oblaku
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Hramba zdravstvenih podatkov v oblaku
Datum
23.06.2026
Številka
07121-1/2026/618
Kategorije
Anonimizacija/psevdonimizacija, Zdravstveni osebni podatki
pri Informacijskem pooblaščencu (IP) smo prejeli vaš dopis v katerem pojasnjujete, da se pri prodaji medicinskega pripomočka za analizo telesne sestave (v nadaljevanj »naprava«) nemškega podjetja slovenskim javnim zavodom srečujete z omejitvami 23. člena ZVOP-2, ki v četrtem odstavku določa, da podatkov iz zakonov s področja zdravstvenega varstva ni dovoljeno hraniti izven ozemlja Republike. Pojasnjujete, da naprava deluje z uporabo oblačne programske opreme, ki podatke fizično hrani izven Slovenije, vendar znotraj EU. Pojasnjujete še:
-da se v oblačnem sistemu obdelujejo naslednji podatki: identifikacijski podatki (ime, priimek ALI pa samo ID pacienta), demografski podatki (datum rojstva ALI samo letnica rojstva, spol, etnična pripadnost) ter zdravstveni podatki (višina, teža, meritve mišične mase, maščobe, telesne vode in bioimpedančni parametri);
-da se v oblačni sistem shranjuje interni identifikator pacienta (IDP), ki ga generira in vzdržuje bolnišnični sistem ter letnica rojstva pacienta, bolnišnica pa v sistem ne bi posredovala nobenega drugega identifikatorja, ki bi omogočal neposredno identifikacijo pacienta. Seznam IDP, torej register, ki povezuje posamezni IDP z identiteto konkretnega pacienta, bi se nahajal izključno v bolnišničnem informacijskem sistemu, ki je arhitekturno in omrežno popolnoma ločen od zadevnega oblačnega sistema. Nemško podjetje do tega seznama nima dostopa, niti mu dostop ni pogodbeno ali tehnično omogočen, niti ga ne more pridobiti z nobenim razumnim sredstvom. Nemško podjetje torej razpolaga zgolj s kombinacijo: naključni IDP + letnica rojstva + meritve telesne sestave.
IP postavljate sledeča vprašanja:
1.Ali so podatki, ki se prenašajo v oblačni sistem (IDP + letnica rojstva + meritve telesne sestave), z vidika nemškega podjetja kot obdelovalca anonimni podatki v smislu uvodne izjave 26 GDPR — torej podatki, ki se ne nanašajo na določeno ali določljivo fizično osebo?
2.Če je odgovor na prvo vprašanje pritrdilen: ali to pomeni, da za omenjeni prenos in hrambo v oblačnem sistemu ne velja prepoved iz tretjega in četrtega odstavka 23. člena ZVOP-2 (obveznost znane fizične lokacije hrambe oziroma prepoved hrambe izven ozemlja RS)?
3.Kakšne arhitekturne in pogodbene zahteve mora bolnišnica zagotoviti, da bi bila opisana ureditev skladna z ZVOP-2 in Splošno uredbo — zlasti glede prepovedi dostopa obdelovalca do ključa IDP in glede ocene tveganja reidentifikacije?
4.Ali prepoved hrambe podatkov izven RS (4. odstavek 23. člena ZVOP-2) velja tudi v primeru, ko se naprava v javnem zdravstvenem zavodu uporablja izključno za raziskovalne namene (študije), kjer podatki ne postanejo del uradne pacientove dokumentacije? Kakšne so zahteve glede anonimizacije v tem primeru? Proizvajalec omogoča anonimizacijo za statistične namene. Ali bi bila hramba v Nemčiji dopustna, če bi bolnišnica v oblak pošiljala le psevdonimizirane podatke (brez imena in priimka, le z ID številko študije), pri čemer bi ključ za povezavo hranila lokalno v Sloveniji?
5.Kakšne so obveznosti glede dokumentacije, če se zavod odloči za takšno raziskovalno uporabo naprave v oblaku (npr. ali je potrebna predhodna presoja vpliva na varstvo podatkov – DPIA, specifična privolitev udeleženca študije itd.?
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1 in 10/26 – ZP-1L, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
IP v okviru mnenja ne more presojati, ali podatki, ki se v konkretnem primeru prenašajo v oblačni sistem obdelovalca, za obdelovalca predstavljajo anonimne podatke v smislu uvodne izjave 26 Splošne uredbe.
Psevdonimizirani podatki so zaradi ohranjene določljivosti posameznikov še vedno osebni podatki in zanje veljata Splošna uredba in ZVOP-2 v celoti.
Po mnenju IP so izvajalci zdravstvene dejavnosti v javni zdravstveni mreži zavezanci po 1. točki prvega odstavka 23. člena ZVOP-2, saj glede na naravo njihove dejavnosti obdelujejo osebne podatke, ki so določeni v zakonih, ki urejajo področje zdravstvenega varstva. Zahteva iz tretjega odstavka 23. člena ZVOP-2 po mnenju IP smiselno velja tudi v primeru, ko se npr. javni zavod odloči, da bo določen del obdelave podatkov poveril pogodbenemu obdelovalcu, sicer ne bi bil dosežen namen zakonodajalca po višjih zahtevah varovanja posebnih obdelav oziroma posebnih vrst osebnih podatkov. Določbo četrtega odstavka 23. člena ZVOP-2 bi bilo potrebno razlagati tako, da ne pomeni prepovedi vsakega prenosa podatkov o zdravju čez meje Republike Slovenije, temveč predvsem v smislu, da ni dopustno celotne baze podatkov o zdravju, hraniti izven ozemlja Republike Slovenije.
V skladu s prvim odstavkom 69. člena ZVOP-2 lahko upravljavec osebne podatke (vključno s posebnimi vrstami osebnih podatkov), ki pomenijo poklicno skrivnost, nadalje obdeluje za namen raziskovanja, če tako obdelavo dovoljuje drug zakon ali na podlagi pisnega soglasja posameznika.
IP predlaga, da se pred izvedbo predvidene obdelave izvede ocena učinka v zvezi z varstvom podatkov (DPIA) in pridobi mnenje pooblaščene osebe za varstvo podatkov (DPO) javnega zavoda.
Obrazložitev
IP uvodoma pojasnjuje, da se v okviru nezavezujočih mnenj ne more in ne sme opredeljevati, ali je določena obdelava osebnih podatkov zakonita oziroma skladna z zakonodajo o varstvu osebnih podatkov, temveč lahko izven uradnega inšpekcijskega ali drugega (upravnega) postopka poda le nezavezujoče mnenje na osnovi predstavljenih informacij. IP v okviru tega mnenja tudi ne more presojati, ali podatki, ki se v konkretnem primeru prenašajo v oblačni sistem obdelovalca, za obdelovalca predstavljajo anonimne podatke v smislu uvodne izjave 26 Splošne uredbe. IP v okviru nezavezujočega mnenja lahko pojasni zgolj splošna merila za presojo anonimnosti podatkov. Psevdonimizirani podatki so zaradi ohranjene določljivosti posameznikov še vedno osebni podatki in zanje veljata Splošna uredba in ZVOP-2 v celoti. Tudi iz uvodne določbe 26 Splošne uredbe izhaja, da je treba osebne podatke, ki so bili psevdonimizirani in ki jih je mogoče z uporabo dodatnih informacij pripisati posamezniku, obravnavati kot informacije o določljivem posamezniku. Glede pogojev oziroma omejitev, ki jih določa 23. člen ZVOP-2 pa podajamo pojasnilo v nadaljevanju.
Glede anonimizacije
V skladu z definicijo iz 1. točke 4. člena Splošne uredbe je osebni podatek katerakoli informacija v zvezi z določenim ali določljivim posameznikom. Posameznik je določen, če ga je mogoče prepoznati in ločiti od ostalih oseb, določljiv posameznik pa sicer še ni prepoznaven, je pa njegova identifikacija mogoča neposredno ali posredno z uporabo identifikatorjev, na primer osebnih imen, identifikacijskih številk, podatkov o lokaciji, spletnih identifikatorjev, ali okoliščin, ki so značilne za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto posameznika. Za določitev posameznika se lahko uporabijo vsa sredstva, za katera se razumno pričakuje, da jih bo upravljavec ali druga oseba uporabila za identifikacijo posameznika. Ocena razumnosti sredstev mora temeljiti na vseh objektivnih dejavnikih, na primer stroških in času, potrebnem za identifikacijo, ter pri tem upoštevati razpoložljivo tehnologijo in tehnološki razvoj v času obdelave. Vpliv tehnološkega napredka na naravo podatkov je manj izrazit, če se hranijo krajše časovno obdobje, medtem ko se možnost spremembe anonimiziranega podatka v osebni podatek povečuje z daljšanjem obdobja hrambe. Več o tehnikah anonimizacije si lahko preberete v mnenju Delovne skupine za varstvo podatkov iz člena 29 glede anonimizacijskih tehnik, kjer so opisana vsa tveganja v zvezi z določljivostjo posameznikov: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_sl.pdf. Pojasnjujemo še, da so na ravni Evropskega odbora za varstvo podatkov (EDPB) trenutno v pripravi nove smernice o anonimizaciji, ki bodo, ko sprejete, nadomestile omenjeno mnenje Delovne skupine iz člena 29.
Glede zahteve po lokaclizaciji določenih zbirk osebnih podatkov
Po mnenju IP so izvajalci zdravstvene dejavnosti (javni zavodi, zdravniki zasebniki s koncesijo, gospodarske družbe s koncesijo) v javni zdravstveni mreži zavezanci po 1. točki prvega odstavka 23. člena ZVOP-2, saj glede na naravo njihove dejavnosti obdelujejo osebne podatke, ki so določeni v zakonih, ki urejajo področje zdravstvenega varstva (npr. Zakon o zdravstveni dejavnosti, Zakon o zbirkah podatkov s področja zdravstvenega varstva itd.). Tretji odstavek 23. člena ZVOP-2 določa, da če se po prvem odstavku tega člena obdelujejo biometrični osebni podatki, zdravstveni osebni podatki ali podatki iz kazenskih in prekrškovnih evidenc in obdelavo izvajajo državni organi, samoupravne lokalne skupnosti, javne agencije, javni zavodi, javna podjetja, izvajalci javnih služb ali nosilci javnih pooblastil, je prepovedana hramba, pri kateri fizična lokacija hrambe teh podatkov ni znana v vseh fazah hrambe in obdelave. Menimo, da ta zahteva smiselno velja tudi v primeru, ko se npr. javni zavod odloči, da bo določen del obdelave podatkov poveril pogodbenemu obdelovalcu, sicer ne bi bil dosežen namen zakonodajalca po višjih zahteva varovanja posebnih obdelav oziroma posebnih vrst osebnih podatkov. Četrti odstavek istega člena nadalje določa, da zbirk osebnih podatkov iz 1. točke prvega odstavka 23. člena ni dovoljeno hraniti izven ozemlja Republike Slovenije.
Obrazložitev k četrtemu odstavku 23. člena ZVOP-2 izhaja iz Vladnega gradiva z argumentacijo, da »za določene najpomembnejše zbirke osebnih podatkov javnega sektorja Republike Slovenije ni dovoljena hramba izven Republike Slovenije. V tem primeru gre zlasti za ti. državotvorne zbirke (iz javnega sektorja) in bistven javni interes, in se pravila prostega pretoka osebnih podatkov na področju njihove hrambe ne morejo uporabljati«. Navedena zahteva je predvidoma nastala kot odziv na nekatere varnostne incidente iz drugih držav, kjer so se tudi t.i. državotvorne zbirke v celoti znašle v zasebnih, komercialnih rokah in tako bistveno ogrozile varnostne in druge interese teh držav. Vendar pa je treba določbo po mnenju IP razlagati tako, da ne pomeni prepovedi vsakega prenosa podatkov o zdravju čez meje Republike Slovenije, saj bi to v praksi povzročilo nemalo zelo resnih težav (npr. pri uveljavljanju zdravstvenih storitev ali zdravstvenega zavarovanja v tujini itd.), temveč je po mnenju IP to določbo treba razlagati predvsem v smislu, da ni dopustno celotne baze podatkov o zdravju, hraniti izven ozemlja Republike Slovenije, hramba posameznih podatkov, posamezni dostopi in prenosi osebnih podatkov čez meje Republike Slovenije pa niso prepovedani s to določbo. Kot razberemo iz vašega zaprosila je takšen tudi vaš cilj, torej da bi bolnišnica navedene podatke (IDP in letnico rojstva pacienta) v posameznem primeru vnašala v sistem obdelovalca ter bi se ti podatki in podatki o meritvi telesne sestave (višina, teža, meritve mišične mase, maščobe, telesne vode in bioimpedančni parametri pacienta) nato hranili izven Slovenije, vendar v EU. Da tudi v praksi dejansko ne pride do nedovoljene hrambe izven ozemlja Republike Slovenije pa je končno odgovornost upravljavca osebnih podatkov.
Glede obveznosti upravljavca
V primeru obdelave osebnih podatkov, povezanih z zdravjem, je potrebno biti pozoren na zahteve zakonodaje o varstvu osebnih podatkov, ki se nanašajo na posebne vrste osebnih podatkov. Pravne podlage za obdelavo tovrstnih osebnih podatkov določa 9. odstavek Splošne uredbe, glede na to, da je, če prav razumemo, podjetje, ki ga zastopate, v vlogi obdelovalca, ki nudi svoje programske rešitve izvajalcem zdravstvenih storitev, pa obdelovalec pravno podlago črpa iz pogodbe, ki mora biti sklenjena z naročnikom in mora ustrezati zahtevam 28. člena Splošne uredbe. Več o ureditvi pogodbene obdelave si lahko preberete na naši podstrani, kjer je na voljo tudi vzorec takšne pogodbe:
https://www.ip-rs.si/varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/pogodbena-obdelava
Glede na to, da gre po vsej verjetnosti za rešitev, ki jo bo uporabljalo večje število izvajalcev zdravstvenih storitev vas še opozarjamo, da morajo slednji zelo verjetno izvesti oceno učinka glede varstva osebnih podatkov. Več informacij o tem, vključno s smernicami glede izvedbe ocene učinka najdete na povezavi:
https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-ocene-učinkov-na-varstvo-osebnih-podatkov.
Oceno učinka izvede upravljavec, seveda pa mu pri tem s potrebnimi informacijami mora pomagati obdelovalec. Ocena učinka je tudi primerno orodje, s katerim se naslovi tveganja, med katere sodi tudi izpolnjevanje zgoraj omenjenih zahtev, obenem pa opozarjamo na vlogo pooblaščenih oseb za varstvo osebnih podatkov, ki jih praktično morajo imeti vsi izvajalci zdravstvenih storitev, in sicer naj bi pomagale pri izbiri metodologiji in podale mnenje na ocene učinka.
Pogoji obdelave osebnih podatkov za raziskovalne namene
ZVOP-2 v 69. členu določa pogoje tako za a) obdelavo osebnih podatkov za lastne raziskovalne namene upravljavca (prvi odstavek) kot tudi b) pogoje za pridobivanje osebnih podatkov od upravljavca s strani raziskovalnih organizacij in raziskovalcev za namene raziskovanja (drugi, tretji in četrti odstavek). Prvi odstavek 69. člena ZVOP-2 določa, da ne glede na prvotni namen obdelave lahko upravljavec osebne podatke, vključno s posebnimi vrstami osebnih podatkov, nadalje obdeluje za namen raziskovanja, če tako obdelavo dovoljuje drug zakon ali če:
1.posameznik, na katerega se ti podatki nanašajo, ni prepovedal obdelave svojih osebnih podatkov za namen raziskovanja ali prepovedal obdelave svojih osebnih podatkov na določenem raziskovalnem področju, ki vključuje tudi namene raziskave, ali
2.je posameznik, na katerega se nanašajo osebni podatki, ki pomenijo poklicno skrivnost, za obdelavo dal pisno soglasje.
IP je v svojih mnenjih že zavzel stališče, da lahko nadaljnjo uporabo podatkov o zdravstvenem stanju v najširšem pomenu besede (gl. definicijo iz 15. točke 4. člena Splošne uredbe in prvega odstavka 45. člena ZPacP) določa področni zakon s področja zdravstva, kot na primer Zakon o zbirkah podatkov s področja zdravstvenega varstva določa za Register raka v prilogi 1 pod št. NIJZ 25; druga možnost je pisno soglasje. Glejte npr. mnenje št. 07120-1/2023/42 z dne 3. 3. 2023, dostopno na https://www.ip-rs.si/mnenja-zvop-2/nekatera-vprašanja-glede-uporabe-osebnih-podatkov-za-znanstveno-raziskovalni-namen-po-zvop-2-1678263550.
Na temo obdelave osebnih podatkov za znanstvenoraziskovalni namen je IP že izdal več mnenj in vas vabimo, da si jih preberete (mnenje št. 07120-1/2023/85 z dne 28. 2. 2023, dostopno na https://www.ip-rs.si/mnenja-zvop-2/obdelava-osebnih-podatkov-za-znanstveno-raziskovalni-namen-po-zvop-2-1677831989, št. 07120-1/2023/155 z dne 22. 3. 2023, dostopno na: https://www.ip-rs.si/mnenja-zvop-2/obdelava-osebnih-podatkov-v-raziskovalne-namene-v-zdravstvu-1679899435, št. 07120-1/2024/136 z dne 5. 4. 2024, dostopno na: https://www.ip-rs.si/mnenja-zvop-2/uporaba-zdravstvenih-podatkov-za-interni-znanstveno-raziskovalni-namen-1713330675, št. 07121-1/2024/1257 z dne 16.10.2024, dostopno na: https://www.ip-rs.si/mnenja-zvop-2/posredovanje-osebnih-podatkov-za-znanstvenoraziskovalne-namene-drugemu-upravljavcu-1729145031).
Lepo vas pozdravljamo.
Pripravila:
Sandra Kajtazović, univ. dipl. prav.
dr. Jelena Virant Burnik,
informacijska pooblaščenka
---
[1]V skladu s 66. členom Zakona o digitalizaciji zdravstva (Uradni list RS, št. 100-3387/2025; ZDigZ) z dnem uveljavitve tega zakona preneha veljati Zakon o zbirkah podatkov s področja zdravstvenega varstva, uporablja pa se do vzpostavitve zbirk podatkov v skladu s 65. členom ZDigZ.
[2]Vlada RS, Predlog amandmajev k Predlogu Zakona o varstvu osebnih podatkov (ZVOP-2), EPA 0189-IX, ki ga je Državnemu zboru RS predložila Vlada RS – predlog za obravnavo številka: IPP 007-87/2019 (EVA 2018-2030-0045), 21. november 2022, https://e-uprava.gov.si/drzava-in-druzba/e-demokracija/predlogi-predpisov/predlog-predpisa.html?id=10208.