Zavezanci po 23. členu ZVOP-2 (varnost osebnih podatkov na področju posebnih obdelav)

Datum

28.04.2023

Številka

07120-1/2023/239

Kategorije

Varnost osebnih podatkov, Zdravstveni osebni podatki

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje in sicer vas zanima, ali se za izvajalce zdravstvene dejavnosti (javni zavodi, gospodarske družbe s koncesijo, zdravniki zasebniki s koncesijo), ki opravljajo zdravstvene storitve v okviru javne zdravstvene mreže, ki so obdelovalci podatkov iz Centralnega registra podatkov o pacientu (upravljavec podatkov je NIJZ – Pravilnik o pooblastilih za obdelavo podatkov v Centralnem registru podatkov o pacientih in Zakon o zbirkah podatkov s področja zdravstvenega varstva (ZZPPZ)) šteje, da so obdelovalci, ki obdelujejo osebne podatke iz katerekoli točke od 1. do 4. točke prvega odstavka 23. člena ZVOP-2?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP meni, da so izvajalci zdravstvene dejavnosti, ki opravljajo zdravstvene storitve v okviru javne zdravstvene mreže zavezanci po 1. in 3. točki prvega odstavka 23. člena ZVOP-2, saj se v njihovih informacijskih sistemih glede na naravo njihove dejavnosti izvajajo obdelave osebnih podatkov, ki so določene v zakonih, ki urejajo področje zdravstvenega varstva oz. obsežne obdelave posebnih vrst osebnih podatkov.

Obrazložitev

IP uvodoma pojasnjuje, da se zahteve prvega odstavka 23. člena ZVOP-2 (pretežno) ne nanašajo neposredno na upravljavce in/ali obdelovalce osebnih podatkov, kot je sicer pogosto pri ostalih določbah ZVOP-2, ki veljajo bodisi za ene bodisi za druge ali za oboje, temveč veljajo zahteve prvega odstavka 23. člena ZVOP-2 za informacijske sisteme, in sicer v katerih:

1.se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali

2.se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela ZVOP-2, ali

3.upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali

4.se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov,

Po navedenimi pogoji se smiselno uporabljajo določbe o varnostnih zahtevah in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki se nanašajo na izvajalce bistvenih storitev, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost, t.j. Zakon o informacijski varnosti (Uradni list RS, št. 30/18, 95/21, 130/22 – ZEKom-2 in 18/23 – ZDU-1O; ZInfV).

Upravljavec Centralnega registra podatkov o pacientu (CRPP) je NIJZ, ki je s tem tudi upravljavec informacijskega sistema v okviru katerega se obdelujejo podatki v CRPP, in ki je s tem po mnenju IP zavezanec po točkah 23. člena ZVOP-2.

Za izvajalce zdravstvene dejavnosti (javni zavodi, gospodarske družbe s koncesijo, zdravniki zasebniki s koncesijo), ki opravljajo zdravstvene storitve v okviru javne zdravstvene mreže, pa je treba njihovo zavezanost po 23. členu treba preveriti predvsem z vidika njihovih lastnih informacijskih sistemov, s katerimi sami upravljajo. Glede na navedeno je pri kateremkoli od izvajalcev zdravstvene dejavnosti treba preveriti, ali gre za okoliščine, ki so navedene v točkah 1 do 4 prvega odstavka 23. člena ZVOP-2

Glede na dikcijo 1. in 3. točke prvega odstavka 23. člena ZVOP-2 menimo, da so izvajalci zdravstvene dejavnost, ki opravljajo zdravstvene storitve v okviru javne zdravstvene mreže zavezanci po 1. in 3. točki prvega odstavku 23. člena ZVOP-2, saj se v njihovih informacijskih sistemih izvajajo obdelave osebnih podatkov, ki so določene v zakonih, ki urejajo področje zdravstvenega varstva (npr. Zakon o zdravstveni dejavnosti, Zakon o zbirkah podatkov s področja zdravstvenega varstva itd.) oz. obsežne obdelave posebnih vrst osebnih podatkov. Prav tako so posledično po mnenju IP zavezanci tudi po drugem, tretjem in četrtem odstavku 23. člena ZVOP-2.

Ali je določen upravljavec zavezanec (zgolj po ali samostojno) po 2. ali 4. točki prvega odstavka 23. člena ZVOP-2 pa ni mogoče ugotoviti brez konkretnih okoliščin obdelav osebnih podatkov pri posameznem zavezancu, t.j. podlage za obdelavo podatkov in števila zadevnih posameznikov.

S spoštovanjem,

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravil

mag. Andrej Tomšič, namestnik informacijske pooblaščenke