- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Uporaba pametnih očal za izvedbo prenosa slike z očali med operativnimi posegi
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Uporaba pametnih očal za izvedbo prenosa slike z očali med operativnimi posegi
Datum
16.05.2025
Številka
07120-1/2025/212
Kategorije
Moderne tehnologije, Občutljivi OP, Ocene učinkov v zvezi z varstvom podatkov, Posebne vrste OP, Varnost osebnih podatkov
pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje in sicer vas zanima, ali gre pri uporabi pametnih očal (angl. smart glasses) za videonadzor oziroma, kakšne se vaše obveznosti kot izvajalca zdravstvene dejavnosti (javni sektor) za zakonito izvedbo prenosa slike z očali med operativnimi posegi. Pojasnjujete, da se posnetki ne bi shranjevali, prenos slike bi se opravljal v živo, pacienti pa naj bi podali soglasje. Šlo naj bi za izvedbo približno dveh operacij, ki bi trajali vsaka okoli eno do dve uri in ne za kontinuirano izvajanje takega prenosa slike v živo. Sprašujete nas, na kaj vse je potrebno biti pozoren pri takšnem izvajanju prenosa slike?
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Uvodoma moramo izpostaviti, da se IP v okviru nezavezujočih mnenj ne more in ne sme opredeljevati, ali je oziroma ali bo obdelava osebnih podatkov v okviru določene informacijske rešitve skladna z zakonodajo o varstvu osebnih podatkov; zakonitost in skladnost obdelav osebnih podatkov v okviru konkretne informacijske rešitve lahko IP preveri le v okviru uradnega inšpekcijskega postopka.
1.
V postopku odločanja glede uporabe naprednih informacijskih rešitev, zlasti na področju zdravstva, je primerno in priporočljivo za ustrezno obvladovanje tveganj iz naslova varstva osebnih podatkov izvesti oceno učinka glede varstva osebnih podatkov.
Ocena učinka je primerno orodje za naslavljanje vseh pomembnih vidikov uporabe tovrstnih rešitev, upoštevanja temeljnih načel varstva podatko v (zakonitosti, poštenosti, preglednosti, namenskosti, minimizacije obdelave in rokov hrambe, točnosti, informacijske varnosti in odgovornosti) in pravočasne identifikacije vseh obveznosti udeleženih subjektov.
V določenih primerih je izvedba predhodne ocene učinka v zvezi z varstvom osebnih podatkov tudi obvezna. Gre za dolžnost upravljavca podatkov, da preveri, ali so izpolnjeni kriteriji, ki terjajo izvedbo ocene učinka. Seznam kriterijev je objavljen na povezavi.
Vse informacije o ocenah učinka so na voljo na naši spletni strani, vključno s smernicami, priporočili in infografiko:
https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/ocena-u%C4%8Dinka-v-zvezi-z-varstvom-podatkov/
2.
Dolžnost upravljavca je, da preveri vse pomembne vidike uporabe napredne rešitve.
IP uvodoma pojasnjuje, da iz vašega zaprosila ni razvidno, komu (vse) naj bi se prenašala slika, ki se zajema s tovrstnimi pametnimi očali, kateri so udeleženi subjekti in v prvi vrsti, kdo je upravljavec osebnih podatkov. Vsekakor je priporočljivo preveriti podrobnejše tehnične vidike delovanja zadevnih pametnih očal, vključno z morebitnimi dodatnimi funkcionalnostmi, kot so povečevanje in izboljšava podob ter napredne video-analitične rešitve, da je njihovo delovanje predvidljivo in da so morebitna tveganja zaznana pravočasno.
Možnosti so namreč zelo različne, od tega, da gre za orodje, ki podatke uporablja zgolj in samo znotraj okvira zdravstvene ustanove in brez udeležbe zunanjih ponudnikov (npr. za prenos žive slike od kirurga do drugih zdravstvenih strokovnjakov/osebja znotraj ustanove), pri čemer se posnetki ne hranijo in ne prenašajo drugam. Druga možnost je, da se prenos izvaja preko pogodbenega ponudnika tovrstnih rešitev, kjer je treba preučiti obseg njegovega delovanja, vidika (tudi začasne) hrambe in prenosa podatkov ter morebitnih drugih namenov (npr. za izboljševanje rešitev). Tu se lahko pojavijo tudi vprašanja glede uporabe storitev pod-obdelovalcev (npr. ponudnikov gostovanja podatkov, naprednih analitičnih rešitev) in potencialno prenosa podatkov v tretje države. Možni konteksti so tudi prenos podatkov drugim inštitucijam/upravljavcem, uporaba v okviru študijskih in raziskovalnih procesov ipd., zato je zelo pomembno v prvi fazi natančno definirati kontekst uporabe tovrstnih pametnih očal, kar je tudi prva faza pri izdelavi ocene učinka.
Jasni morajo biti in vnaprej določeni nameni uporabe tovrstnih rešitev, roki hrambe podatkov, pravice posameznikov in vloge vseh udeleženih subjektov.
Predvidevamo namreč, da za predvideno rešitvijo stoji določen ponudnik, zato je zelo pomembno preveriti pogoje in obseg storitev, ki jih nudi oziroma zagotavlja. Če gre za pogodbenega obdelovalca, mora biti z njim sklenjena ustrezna pogodba o pogodbeni obdelavi skladno z zahtevami 28. člena Splošne uredbe. Podrobno je treba preveriti tudi morebitno udeležbo pod-obdelovalcev in vidike, kot so hramba podatkov in morebitna uporaba posnetkov za druge namene. Upravljavec mora torej natančno preučiti pogoje zagotavljanja storitve.
Vse informacije o pogodbeni obdelavi osebnih podatkov so na voljo na naši spletni strani:
https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/pogodbena-obdelava.
Če bi šlo za prenos slike in s tem podatkov drugim upravljavcem, morajo ti razpolagati z ustrezno pravno podlago, oziroma sklenjen dogovor o skupnem upravljanju v primeru skupnih upravljavcev po 26. členu Splošne uredbe.
Posebno pozornost je treba nameniti vprašanjem morebitnega prenosa osebnih podatkov v tretje države ali mednarodne organizacije, če bi šlo za potencialen prenos slike subjektom iz tretjih držav ali mednarodnih organizacij. V vsakem primeru bi morali tretji subjekti, če se jim prenaša slika, za to imeti ustrezno pravno podlago.
Vse informacije o prenosu osebnih podatkov v tretje države ali mednarodne organizacije so na voljo na naši spletni strani:
https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-dr%C5%BEave-in-mednarodne-organizacije/
Pomemben vidik presoje upravljavca je tudi ocena tveganj z vidika varnosti, t.j. zagotavljanja celovitosti, zaupnosti in razpoložljivosti osebnih podatkov, ki mora posebej upoštevati tudi vidik pogodbenega obdelovalca in morebitnih pod-obdelovalcev.
3.
Uporaba pametnih očal in videonadzor glede na določbe ZVOP-2.
IP pojasnjuje, da Splošna uredba in ZVOP-2 ne definirata izraza videonadzor, kot ga ureja ZVOP-2, načeloma pa se za videonadzor, v najširšem smislu, šteje uporabo video kamer za sistematično snemanje, prenos in shranjevanje žive slike z ene lokacije na drugo, praviloma z namenom zagotavljanja varnosti. Prav tako se za videonadzor štejejo tudi rešitve, ki zajemajo zgolj prenos žive slike brez snemanja (t.i. podaljšano oko)[1]. Vsake uporabe informacijskih rešitev z uporabo različnih tehnoloških možnosti, kot so kamere, fotoaparati, brezpilotniki, telefoni, domofoni ipd. pa še ne gre obravnavati za videonadzor v smislu določb ZVOP-2.
IP meni, da tovrstnih pametnih očal v kontekstu, kot ste nam ga predstavili, ne bi šteli za videonadzor v smislu ZVOP-2, saj glede na vaš opis ne bi šlo za sistematičen zajem ali prenos slike. Kot ste pojasnili se posnetki ne bi shranjevali, prenos slike bi se opravljal v živo, pacienti pa naj bi podali soglasje. Šlo naj bi za izvedbo približno dveh operacij, ki bi trajali vsaka okoli eno do dve uri in ne za kontinuirano izvajanje takega prenosa slike v živo. Pri tem opozarjamo, da gre za nazavezujoče stališče, saj nam kot rečeno niso znane podrobnosti o načinu delovanja preučevane rešitve in s tem povezanih obdelav osebnih podatkov.
4.
Pomembnost preučitve pravnih podlag.
Iz naslova pravnih podlag predvsem opozarjamo na pomembnost razlikovanja med različnimi vrstami soglasij oziroma privolitev, saj je treba ločiti med soglasjem pacienta, s katerim ta privoli v izvedbo določenega posega od soglasja pacienta v obdelavo osebnih podatkov.
Iz vašega zaprosila ni razvidno, za kakšno vrsto soglasja naj bi šlo; kolikor je mišljeno soglasje pacienta v obdelavo osebnih podatkov (t.j. obdelavo oziroma prenos slike z uporabo pametnih očal in na za soglasje v operativni poseg) morate upoštevati zahteve glede veljavnosti takšne privolitve po 7. členu Splošne uredbe ter zahteve glede informiranja posameznika o obdelavi osebnih podatkov po 12. in 13. členu Splošne uredbe.
Ob tem pojasnjujemo, da ni nujno, da je privolitev posameznika v konkretno obdelavo osebnih podatkov edina in najbolj primerna pravna podlaga za obdelavo osebnih podatkov v opisanem kontekstu. Kot možni pravni podlagi se kažeta tudi pravna podlaga po točki b) prvega odstavka 6. člena Splošne uredbe v povezavi z zdravstveno in delovno-pravno zakonodajo (kolikor je takšna obdelava potrebna in primerna za izvajanje konkretne zdravstvene storitve s strani določenih zdravstvenih delavcev). Potencialno bi bila lahko možna pravna podlaga tudi po točki d) prvega odstavka 6. člena Splošne uredbe, če oziroma ko bila konkretna obdelava potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki (npr. nujnost prenosa slike operativnega posega drugemu zdravstvenem strokovnjaku, katerega udeležba je nujna za zaščito življenjskih interesov posameznika) oziroma druge pravne podlage. Upoštevati je treba tudi pogoje in omejitve, ki ji za obdelavo posebnih vrst osebnih podatkov, med katere sodijo zdravstveni podatki, določa 9. člen Splošne uredbe.
Glede na to, da predvidoma bolje poznate vse okoliščine predvidene uporabe zadevnih pametnih očal priporočamo, da preverite primernost in uporabnost različnih pravnih podlag, kot smo navedli zgoraj, kar velja tudi za morebiten prenos slike drugim subjektom izven okvira vaše ustanove.
5.
Upoštevanje vseh dolžnosti upravljavcev in pogodbenih obdelovalcev.
Zaključno opozarjamo na pomembnost upoštevanja tudi drugih obveznosti, ki jih imajo upravljavci in obdelovalci osebnih podatkov – poleg že navedenih zgoraj tudi npr. dolžnosti glede privzetega in vgrajenega varstva osebnih podatkov (25. člen), evidentiranja dejavnosti obdelave (30. člen), zagotavljanja varnosti (32. člen Splošne uredbe in 22. člen ZVOP-2) in obveščanja o kršitvah varnosti (32. in 33. člen Splošne uredbe). Pri vsem navedenem je pomembna tudi svetovalna vloga pooblaščene osebe za varstvo osebnih podatkov.
Kot smo uvodoma pojasnili je za celovito obravnavo vseh tveganj in obveznosti pri uvajanju naprednih informacijskih rešitev primerna izvedba predhodne ocene učinka.
Lepo vas pozdravljamo,
dr. Jelena Virant Burnik,
Informacijska pooblaščenka
Pripravil:
mag. Andrej Tomšič,
namestnik informacijske pooblaščenke
---
[1]IP: Smernice glede izvajanja videonadzora (https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice%20glede%20izvajanja%20videonadzora_ZVOP-2.pdf).