Nezakonit vpogled v osebne podatke

Datum

14.02.2023

Številka

07121-1/2023/175

Kategorije

Delovna razmerja, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje v zvezi z nezakonitim vpogledom v osebne podatke. Navajate, da ste zaposleni v zdravstvenem domu in ste odgovorni za elektronsko naročilno knjigo. Nadrejeni vam zaradi neljubega dogodka očitajo neizpolnjevanje delovnih obveznosti na podlagi vpogledov nadrejenih v sisteme, v katerih so občutljivi osebni podatki pacientov. Z vpogledom so ugotavljali vašo ter pacientovo prisotnost ter preverjali termine naročanja pacientov. Gre za dva programa in sicer za osebni program delavca, v katerega se vsakodnevno prijavljate z geslom, v njem so razvidni letni dopust in opravljene ure ter program za naročanje pacientov in vnašanje opravljenih storitev (prijavo opravi lahko samo imetnik elektronske kartice, to pa je v vaši ambulanti …).

Prosite nas za mnenje, ali je to kršitev vpogleda v bazo pacientov in vaših podatkov, ter kako postopati naprej.

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Upravljavec mora za vodenje evidenc izkazati ustrezno pravno podlago ter podatke ustrezno zavarovati. Tako mora med drugim določiti osebe, ki so upravičene obdelovati osebne podatke zaposlenega v evidencah zaradi opravljanja njihovih delovnih nalog in delovnih obveznosti ter podatke primerno zavarovati pred nepooblaščenim dostopom tretjih oseb.

Ali je v konkretnem primeru prišlo do nezakonitega vpogleda v vaše osebne podatke oz. osebne podatke pacientov, IP v okviru nezavezujočega mnenja ne more presojati.

Obrazložitev

Pri tem IP poudarja, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Pojasnjujemo, da mora za zakonito obdelavo osebnih podatkov, kamor štejemo tako zbiranje osebnih podatkov, kot tudi npr. vpogled v njih, obstajati pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe, npr. privolitev, izvajanje pogodbe, izpolnitev zakonske obveznosti, itd.

V okviru delovnega razmerja je relevantna tudi določba prvega odstavka 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 – ZIUPOPDVE, 119/21 – ZČmIS-A, 202/21 – odl. US, 15/22 in 54/22 – ZUPŠ-1, ZDR-1), ki določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Delodajalec ima na delovnem mestu pravice, ki izvirajo iz njegove lastnine na delovnimi sredstvi. Nedvomno pa mora delodajalec na delovnem mestu upoštevati delavčevo zasebnost in osebne podatke delavca obdelovati zgolj v obsegu, ki je potreben zaradi uresničevanja pravic in obveznosti na delovnem mestu. Za obdelavo osebnih podatkov mora obstajati primerna pravna podlaga, npr. pravna podlaga, ki je določena v zakonu. Vodenje nekaterih evidenc je predpisano z zakonodajo, npr. Zakon o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/06) med drugim določa evidenco o izrabi delovnega časa (ki vsebuje med drugim podatke o številu opravljenih ur).

Naročilno knjigo ureja Zakon o pacientovih pravicah (Uradni list RS, št. 15/08, 55/17, 177/20 in 100/22 – ZNUZSZS, ZPacP) in sicer je skladno s 11.c točko 2. člena ZPacP naročilna knjiga elektronska evidenca zaporedno naročenih pacientov. Skladno z drugim odstavkom 14. člena ZPacP vodi izvajalec zdravstvene dejavnosti v mreži izvajalcev javne zdravstvene službe za storitve pri izbranem osebnem zdravniku splošne oziroma družinske medicine, izbranem osebnem ginekologu, izbranem osebnem zobozdravniku in izbranem osebnem pediatru ter za preventivne preglede in za zdravstvene storitve, pri katerih ni čakalnih dob, naročilno knjigo, v katero vpisuje naslednje podatke: pacientovo osebno ime in priimek, pacientove kontaktne podatke (e-naslov ali telefonsko številko) ter termin.

Naloga upravljavca osebnih podatkov pa je tudi zavarovanje osebnih podatkov, ki jih zbira, kar pomeni, da mora sprejeti določene tehnične oz. organizacijske ukrepe za zavarovanje teh podatkov skladno s 24., 25. in 32. členom Splošne uredbe, npr. zagotovitev dostopa do podatkov delavca oz. bolnikov zgolj pooblaščenim osebam. S tem ukrepom tako onemogoči, da bi se osebe, ki niso za to pooblaščene, seznanile oz. vpogledovale v podatke, ki so sicer zbrani na zakoniti pravni podlagi. Navedeno pomeni, da mora vaš delodajalec med drugim tudi presoditi, kateri podatki so lahko dostopni vašemu neposredno nadrejenemu oziroma drugim zaposlenim v okviru opravljanja njihovih delovnih nalog in delovnih obveznosti. Poleg tega morajo biti dostopne pravice ažurno upravljane (ažurno dodeljevane, spremenjene in ukinjene), hierarhične in dokumentirane.

Pooblaščene osebe upravljavca lahko torej obdelujejo podatke v skladu z namenom obdelave osebnih podatkov in njihovimi delovnimi nalogami, npr. kadrovska služba lahko načeloma vpogleda v podatke, ki so povezani s prisotnostjo delavca na delovnem mestu. Seveda sam dostop do baze še ne pomeni pravice do vpogleda zaposlenega, ki mora biti utemeljen tudi v konkretni nalogi oz. delovni obveznosti zaposlenega. Odgovora na vprašanje, ali je v konkretnem primeru prišlo do upravičenega vpogleda v osebne podatke, IP na podlagi predloženih informacij in z nezavezujočim mnenjem ne more podati.

V kolikor na podlagi navedenega menite, da je v konkretnem primeru prišlo do neupravičenega vpogleda v vaše osebne podatke, ali osebne podatke bolnikov, lahko podate prijavo na IP. Pomagate si lahko z obrazcem »Prijava kršitve varstva osebnih podatkov«, ki je objavljen na povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

Upamo, da smo vam s podanimi napotili uspeli pomagati.

Lepo vas pozdravljamo,

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo