Ustreznost fizične lokacije hrambe zdravstvenih podatkov

Datum

23.07.2024

Številka

07121-1/2024/853

Kategorije

Zdravstveni osebni podatki, Zbirke osebnih podatkov

Pri Informacijskem pooblaščencu (IP) smo dne 8. 7. 2024 prejeli vaše zaprosilo za mnenje glede ustreznosti fizične lokacije hrambe zdravstvenih podatkov in sicer vas zanima:

-ali je ustrezno, da ponudnik elektronskega medicinskega kartona hrani podatke (operativne ali varnostne kopije) na strežnikih v ZDA, v kolikor ponudnik hrambe zagotovi skladnost z Data Privacy Framework sistemom)?

-ali je ustrezno, da ponudnik hrani podatke elektronskega kartona na strežnikih Amazona na Irskem, če vemo, da vsi velikani hranijo podatke teh strežnikov tudi na drugih celinah?

-ali je ustrezno, da izvajalec zdravstvenih storitev izbere ponudnika npr. GSP/giroskopov/merilnikov srčnega utripa/ merilnikov krvnega tlaka, ki ponuja oblačno storitev, a fizično hrani podatke izključno v ZDA (npr. na sistemu AWS)?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1. IP meni, da so izvajalci zdravstvene dejavnosti zavezanci po 1. točki prvega odstavka 23. člena ZVOP-2, saj se v njihovih informacijskih sistemih izvajajo obdelave osebnih podatkov, ki so določene v zakonih, ki urejajo področje zdravstvenega varstva (npr. Zakon o zdravstveni dejavnosti, Zakon o zbirkah podatkov s področja zdravstvenega varstva itd.), ZVOP-2 pa v tej točki ne določa izjem.

2. Za tovrstne zbirke osebnih podatkov pa ZVOP-2 prepoveduje hrambo, pri kateri fizična lokacija hrambe podatkov ni znana v vseh fazah hrambe in obdelave. Poleg tega jih tudi ni dovoljeno hraniti izven ozemlja Republike Slovenije.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo, vključno s predhodno presojo ustreznosti mehanizmov za prenos v tretjo državo ali mednarodno organizacijo. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

IP uvodoma poudarja, da področje varstva osebnih podatkov v državah članicah EU poleg Splošne uredbe lahko ureja tudi nacionalna zakonodaja. V Sloveniji je to Zakon o varstvu osebnih podatkov (ZVOP-2), ki določena vprašanja ureja podrobneje, med drugim za nekatere zbirke osebnih podatkov, ki so še posebej pomembne za državo, kot so na primer zbirke na področju zdravstva, obrambe in notranje-upravnih zadeve, v 23. členu predpisuje strožja pravila glede lokacije hrambe. Takšno ureditev glede obdelave genetskih podatkov, biometričnih podatkov ali podatkov v zvezi z zdravjem dopušča tudi 9(4) člen Splošne uredbe, ki določa, da lahko države članice glede teh podatkov ohranijo ali uvedejo dodatne pogoje, tudi omejitve.

Tretji odstavek 23. člena ZVOP-2 v zvezi s pravim odstavkom tega člena določa, da je za informacijske sisteme, v katerih:

1. se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali

2. se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona, ali

3. upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali

4. se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov,

in se v njih obdelujejo biometrični osebni podatki, zdravstveni osebni podatki ali podatki iz kazenskih in prekrškovnih evidenc in obdelavo izvajajo državni organi, samoupravne lokalne skupnosti, javne agencije, javni zavodi, javna podjetja, izvajalci javnih služb ali nosilci javnih pooblastil, prepovedana hramba, pri kateri fizična lokacija hrambe teh podatkov ni znana v vseh fazah hrambe in obdelave. Zbirk osebnih podatkov iz prve točke ni dovoljeno hraniti izven ozemlja Republike Slovenije.

Kot je IP že pojasnil v mnenju št. 07121-1/2023/1063 z dne 29. 8. 2023, se določbe prvega odstavka 23. člena ZVOP-2, na katere se kasneje navezujejo tudi določbe preostalih odstavkov tega člena, primarno nanašajo na posebej pomembne zbirke osebnih podatkov na določenih področjih, ki so še posebej pomembna za državo, kot so recimo zdravstvo, obramba in notranje-upravne zadeve. Gre za določene zbirke, ki so zaradi svoje velikosti, podatkov, ki se v njej obdelujejo ali drugih lastnosti, posebej občutljive, zato se zanje določa poseben sistem varovanja. Za izvajalce zdravstvene dejavnosti (javni zavodi, gospodarske družbe s koncesijo, zdravniki zasebniki s koncesijo), ki opravljajo zdravstvene storitve v okviru javne zdravstvene mreže, je treba njihovo zavezanost po 23. členu treba preveriti predvsem z vidika njihovih lastnih informacijskih sistemov, s katerimi upravljajo.

IP meni, da se z vidika zdravstva 23. člen ZVOP-2 nanaša na informacijske sisteme, v katerih se izvajajo obdelave osebnih podatkov, določene v zakonih, ki urejajo področja zdravstvenega varstva in obveznega zdravstvenega zavarovanja. Zbirke podatkov na področju zdravstvenega zavarovanja so določene na primer v Zakonu o zdravstvenem varstvu in zdravstvenem zavarovanju, zbirke s področja zdravstvenega varstva pa v Zakonu o zbirkah podatkov s področja zdravstvenega varstva.

Glede na dikcijo 1. točke prvega odstavka 23. člena ZVOP-2 IP meni, da so izvajalci zdravstvene dejavnosti zavezanci po 1. točki prvega odstavka 23. člena ZVOP-2, saj se v njihovih informacijskih sistemih izvajajo obdelave osebnih podatkov, ki so določene v zakonih, ki urejajo področje zdravstvenega varstva (npr. Zakon o zdravstveni dejavnosti, Zakon o zbirkah podatkov s področja zdravstvenega varstva itd.), ZVOP-2 pa v tej točki ne določa izjem. Za tovrstne zbirke osebnih podatkov pa ZVOP-2 prepoveduje hrambo, pri kateri fizična lokacija hrambe podatkov ni znana v vseh fazah hrambe in obdelave. Poleg tega jih tudi ni dovoljeno hraniti izven ozemlja Republike Slovenije.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila

dr. Pika Šarf, Svetovalka IP za mednarodne odnose

dr. Jelena Virant Burnik, informacijska pooblaščenka