Naročanje na zdravniški pregled prek aplikacije z vnosom ZZZS številke

Datum

12.03.2024

Številka

07121-1/2024/279

Kategorije

Zdravstveni osebni podatki, Varnost osebnih podatkov, Moderne tehnologije

Pri Informacijskem pooblaščencu (IP) smo dne 7. 3. 2024 prejeli vaše zaprosilo za mnenje o tem, ali mora zdravstveni dom, ki zagotavlja obvezne sistematske preglede študentov, omogočati prijavo na storitev tudi brez uporabe aplikacij oziroma spletišč tretjih oseb. V vašem primeru vam je bil kot edini način za naročilo ponujena platforma »dozdravnika.si«. Za potrditev termina sistem zahteva vnos ZZZS številke. Tega sistem ne zahteva za samo registracijo.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi vprašanji. Pojasnjujemo še, da se IP lahko dokončno opredeljuje do konkretnih primerov obdelave osebnih podatkov le v nadzornih postopkih.

IP žal ni pristojen presojati, ali je izvajalec zdravstvene dejavnosti dolžan zagotavljati več poti za naročanje na zdravstvene storitve, ker se vprašanje le posredno nanaša na varstvo osebnih podatkov.

Zahteva spletne aplikacije za naročanje po vnosu ZZZS številke sama po sebi ni nezakonita, IP pa ne more izven nadzornega postopka presojati spoštovanja načela najmanjšega obsega podatkov ter načela zagotavljanja varnosti te aplikacije.

Obrazložitev

Informacijske rešitve spletnega naročanja (in drugih funkcionalnosti) ter s temi povezani interni informacijski sistemi izvajalcev zdravstvene dejavnosti morajo zagotavljati tehnično varen prenos in hrambo podatkov in spoštovanje temeljnih načel varstva osebnih podatkov (zlasti načelo omejene hrambe, načelo zaupnosti, načelo najmanjšega obsega podatkov in načelo omejitve namena). Načela so urejena v 5. členu Splošne uredbe. Ali neka informacijska rešitev izpolnjuje te pogoje – zlasti pogoj najmanjšega obsega podatkov, je možno preveriti le v konkretnem nadzornem postopku.

Zahteva po vpisu ZZZS številke je verjetno povezana z dodatnim preverjanjem identitete ali z zagotavljanjem nedvoumne določenosti pacienta ali s pravilno uvrstitvijo zahtevka v sistemu. Iz tega razloga in ker je to podatek, ki ga izvajalec lahko vodi po zakonu, je vnos ZZZS številke verjetno zakonit.

Pri IP smo v podobni zadevi izdali mnenje št. 07121-1/2022/829, vendar je treba upoštevati, da se nanaša na posredovanje slikovnega gradiva zdravniku s strani pacienta.

Vprašanje, ali je izvajalec dolžan zagotavljati več načinov naročanja, ne spada na področje varstva osebnih podatkov. Zato vam predlagamo, da se s tem vprašanjem obrnete na Ministrstvo za zdravje ali ZIRS ali na pristojnega zastopnika pacientovih pravic.

Lepo vas pozdravljamo,

Pripravil

dr. Urban Brulc, univ. dipl. prav., samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka