Varstvo osebnih podatkov v okviru portala zVEM

Datum

29.03.2024

Številka

07121-1/2024/376

Kategorije

Pravne podlage, Zdravstveni osebni podatki

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede varstva osebnih podatkov v zVem. Zanima vas:

1.ali lahko zahtevate, da se vaši zdravstveni izvidi, opravljeni v okviru javnega zdravstva, ne objavljajo na zVem;

2.če je odgovor na prejšnje vprašanje negativen, kakšna je pravna podlaga za to, da morajo biti vsi vaši izvidi, opravljeni v okviru javnega zdravstva, objavljeni na zVem;

3.če lahko zahtevate, da se določeni izvidi ne objavijo, natančno kateri vaši izvidi morajo biti objavljeni na zVem;

4.katera zakonska določba določa dostopne pravice za vpogled v vaše zdravstvene izvide na zVem;

5.ali lahko zdravnik zasebnik na podlagi zakona pogojuje svoj zdravstveni pregled s tem, da mu predložite zdravstveno izkaznico.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Pacient ne more prepovedati vnosa zdravstvenih izvidov v CRPP oziroma zVEM. To izhaja iz določb ZZPPZ. Pacient pa ima pravico prepovedati vpogled v povzetek njegovih podatkov.

Dostopne pravice so natančno urejene v Pravilniku o pooblastilih za obdelavo podatkov v CRPP. Zdravnik lahko v skladu s pooblastili v okviru zdravstvene oskrbe pacienta vpogleduje, pridobiva in uporablja zdravstveno dokumentacijo pacienta v CRPP na podlagi pacientove privolitve, izjave o izbiri izbranega osebnega zdravnika ali napotne listine. Medicinske sestre pa lahko v okviru obravnave pacienta dostopajo le do podatkov v Povzetku podatkov o pacientu pod pogojem, da pacient tega ni prepovedal.

Če gre za samoplačniško storitev pri zasebnemu izvajalcu zdravstvenih storitev, pridobivanje osebnih podatkov prek kartice zdravstvenega zavarovanja iz zalednega sistema ZZZS brez privolitve pacienta trenutno načeloma ni dopustno. Zgolj predložitev kartice zdravstvenega zavarovanja na zahtevo praviloma ne predstavlja veljavne privolitve za obdelavo osebnih podatkov.

Obrazložitev

IP pojasnjuje, da je glede vprašanj o obdelavi osebnih podatkov v okviru sistema eZdravja oziroma zVEM izdal že številna mnenja, ki so dostopna na spletni strani https://www.ip-rs.si/mnenja-zvop-2/. Poiščete jih lahko s pomočjo iskalnika, na primer z vnosom ključne besede »zVEM«, »eZdravje« ali »CRPP«. Odgovori na podobna vprašanja, kot so vaša, so vsebovani med drugim v mnenjih:

-št. 07121-1/2024/184 z dne 20. 2. 2024;

-št. 07121-1/2023/1290 z dne 13. 10. 2023;

-št. 07121-1/2023/1441 z dne 20. 11. 2023;

-št. 07121-1/2022/902 z dne 18. 8. 2022;

-št. 07121-1/2022/313 z dne 16. 3. 2022;

-št. 07121-1/2021/2046 z dne 11. 10. 2021.

Uporabni odgovori na pogosto zastavljena vprašanja za uporabnike eZdravja so objavljeni tudi na spletni strani Ministrstva za zdravje https://podpora.ezdrav.si/.

IP poudarja, da dokončnega odgovora o zakonitosti obdelave osebnih podatkov v mnenju v nobenem primeru ne more podati, saj lahko posamezne primere obdelave podatkov konkretno presoja zgolj v okviru nadzornega postopka. Prav tako opozarja, da so odgovori na vaša vprašanja podani le z vidika varstva osebnih podatkov.

Portal zVEM je vstopna točka do storitev eZdravja. Obdelavo podatkov in zbirke podatkov s področja zdravstvenega varstva in eZdravja, njihove upravljavce in upravičence do podatkov ureja Zakon o zbirkah podatkov s področja zdravstvenega varstva (Uradni list RS, št. 65/00, s spremembami in dopolnitvami; v nadaljevanju ZZPPZ). 14.b člen ZZPPZ določa, da je CRPP zbirka podatkov eZdravja o pacientih s stalnim ali začasnim prebivališčem v Republiki Sloveniji in o drugih pacientih, ki v Republiki Sloveniji prejmejo zdravstveno oskrbo. Nadalje določa vsebino CRPP, ki vsebuje naslednje podatke o pacientih:

-povzetek podatkov o pacientu in

-pacientovo zdravstveno dokumentacijo iz prvega odstavka 1.a člena tega zakona.

ZZPPZ v 14. c členu kot uporabnike in hkrati zavezance za posredovanje podatkov in dokumentov v CRPP oziroma v zVEM določa vse izvajalce zdravstvene dejavnosti v RS, kar vključuje tako javne kot tudi zasebne izvajalce, z ali brez koncesije. Zato je podana pravna podlaga za vnos povzetka podatkov o pacientu ter zdravstvene dokumentacije (med katero spadajo izvidi), v zVEM. Če posredovanje osebnih podatkov določa zakon, privolitev namreč ni pogoj za posredovanje podatkov. Zato pacient tudi ne more podati izrecne prepovedi pošiljanja dokumentov v CRPP oziroma v zVEM. Vendar pa ima po določbi tretjega odstavka 14.c člena ZZPPZ pacient pravico s pisno izjavo prepovedati vpogled v povzetek njegovih podatkov. Prepoved se lahko poda za izvajalca ali državo izvajalca. Prepoved vpogleda pa ne velja za določene podatke, ki jih našteva četrti odstavek 14.c člena ZZPPZ. V ZZPPZ torej ni predvidena možnost, da bi pacient lahko prepovedal vnos podatkov in dokumentov (na primer zdravstvenih izvidov) v sistem.

To pa ne pomeni, da lahko vsi zdravniki, medicinske sestre in farmacevti dostopajo do vaših zdravstvenih in drugih osebnih podatkov. Iz 14.b in 14.č člena ZZPPZ izhaja, da se lahko podatki in dokumenti v CRPP uporabljajo le za namen izvajanja zdravstvene oskrbe in še za nekatere druge, s tem povezane namene. Pri vsakem izvajalcu zdravstvene dejavnosti se morajo pooblastila zdravstvenih delavcev in drugih pooblaščenih oseb za obdelavo podatkov v CRPP določiti za posamezen podatek ali po posameznih sklopih podatkov oziroma pacientove zdravstvene dokumentacije tako, da je obseg pooblastila odvisen od kvalifikacije, poklica in delovnega področja zdravstvenega delavca ter delovnega mesta oziroma dela pri izvajalcu.

Dostopne pravice oziroma omejitve dostopnih pravic so podrobneje urejene v Pravilniku o pooblastilih za obdelavo podatkov v Centralnem registru podatkov o pacientih (Uradni list RS, št. 51/16 in 95/21). Ta v 5.a členu določa, da imajo zdravstveni delavci in sodelavci pravico do vpogleda, pridobivanja in uporabe zdravstvene dokumentacije pacienta, kadar je to potrebno za zagotavljanje primerne, kakovostne in varne zdravstvene oskrbe pacienta v skladu z zakonom, ki ureja pacientove pravice, ali na podlagi privolitve pacienta. Še natančneje so dostopne pravice urejene v Prilogi Pravilnika.

Zdravnik lahko v skladu s pooblastili v okviru zdravstvene oskrbe pacienta vpogleduje, pridobiva in uporablja zdravstveno dokumentacijo pacienta v CRPP na podlagi pacientove privolitve, izjave o izbiri izbranega osebnega zdravnika ali napotne listine. Zdravnik ima torej dostop do vaših izvidov le, če je vaš izbrani osebni zdravnik, če ste k njemu napoteni ali če ima vaše pisno pooblastilo. Medicinske sestre pa lahko v okviru obravnave pacienta vpogledujejo v le podatke, zbrane v Povzetku podatkov o pacientu, če pacient tega ne prepove. Izvide lahko prebere zgolj zdravnik. Priporočamo tudi ogled prikaza dostopnih pravic na https://podpora.ezdrav.si/faq/kateri-zdravstveni-delavci-imajo-vpogled-v-crpp-in-pod-kaksnimi-pogoji/.

Za odgovor na vprašanje o obveznosti predložitve zdravstvene kartice zdravniku zasebniku IP ni pristojen. Pojasnjuje pa, da so način dostopa do podatkov ter pooblastila za branje in zapisovanje podatkov v zalednih sistemih urejeni v Pravilniku o kartici zdravstvenega zavarovanja, profesionalni kartici in pooblastilih za branje in zapisovanje podatkov v zalednem sistemu (Uradni list RS, št. 12/17, 57/18, 43/19, 79/19, 179/20, 87/22 in 106/23). Kot je IP že pojasnil v mnenju št. 07121-1/2022/313, je za pridobivanje osebnih podatkov prek kartice zdravstvenega zavarovanja oziroma on line sistema ZZZS pri samoplačniških storitvah pri zasebnikih načeloma potrebna privolitev pacienta. Kartica zdravstvenega zavarovanja je namreč namenjena izvrševanju pravic in obveznosti iz obveznega in prostovoljnega zdravstvenega zavarovanja, kar pomeni, da se lahko osebni podatki iz kartice in iz zalednega sistema avtomatično pridobivajo le pri izvajanju zdravstvenih storitev, ki so vsaj delno krite iz naslova zdravstvenega zavarovanja. Privolitev mora ustrezati zahtevam členov 4 (11. točka), 7, 13 in 14 Splošne uredbe. Zgolj predložitev kartice na zahtevo izvajalca praviloma ne predstavlja veljavne privolitve, saj ji praviloma manjka konkretnost ter informiranost.

Lepo vas pozdravljamo,

Pripravila

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka