Različna vprašanja glede novega ZVOP-2 v zdravstvu

Datum

03.02.2023

Številka

07120-1/2023/43

Kategorije

Statistika in raziskovanje, Zdravstveni osebni podatki, OP umrlih, Pravica do seznanitve z lastnimi osebnimi podatki

Pri Informacijskem pooblaščencu (IP) smo dne 26. 1. 2023 prejeli vaše zaprosilo za mnenje o več nesistematično postavljenih vprašanjih, ki se nanašajo na novi ZVOP-2.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi vprašanji.

Vprašanja povzemamo v nadaljevanju ter zaradi preglednosti sproti dodajamo mnenja IP in kratke obrazložitve.

Pojasnjujemo še, da se IP lahko dokončno opredeljuje do konkretnih primerov obdelav osebnih podatkov le v nadzornih postopkih, zato je spodnje mnenje le informativno. Prav tako je treba upoštevati, da v tem trenutku, zaradi zakona, ki je šele pred kratkim pričel veljati, še ni vzpostavljene ustaljene prakse na tem področju.

1.1. Peti odstavek 9. člena ZVOP-2 (posebno varstvo osebnih podatkov umrlih) – kaj naj bi pomenilo »v okviru izvajanja svobode izražanja« in ali je to tudi predmet presoje upravljavca.

Pogoj oziroma standard »okvir izvajanja svobode izražanja« presoja upravljavec, če sam obdeluje podatke s sklicevanjem na peti odstavek 9. člena ZVOP-2, ali če gre za posredovanje podatkov uporabniku na podlagi konkretnih pojasnil uporabnika.

Obrazložitev

Upravljavec lahko osebne podatke umrlih posameznikov obdeluje tudi za lastne namene pod pogoji iz 9. člena ZVOP-2. Če gre za zunanjega uporabnika, se zahteva presoja po postopkovnih pravilih iz 41. člena ZVOP-2. Ustava RS v 39. členu (svoboda izražanja) določa, da je zagotovljena svoboda izražanja misli, govora in javnega nastopanja, tiska in drugih oblik javnega obveščanja in izražanja. Vsakdo lahko svobodno zbira, sprejema in širi vesti in mnenja. Vsakdo ima pravico dobiti informacijo javnega značaja, za katero ima v zakonu utemeljen pravni interes, razen v primerih, ki jih določa zakon. V zvezi s svobodo izražanja so pomembne tudi določbe 73. člena ZVOP-2.

2.2. ZVOP-2 v 17. členu govori o stroških zagotavljanja informacij, 39. člen pa govori, da se podatke posreduje brezplačno, če zakon ne določa drugače. Nadalje 69. člen govori o brezplačnem posredovanju. Vprašanje je, kdo nosi stroške in za kaj, kaj so materialni stroški posredovanja (npr. USB ključek) in ali je vključeno delo, ki je potrebno za pripravo podatkov.

Vprašanje stroškov je urejeno različno glede na to, ali gre za uveljavljanje pravic posameznika, uporabo podatkov za znanstveno raziskovalni namen ali posredovanje podatkov uporabnikom po 39. in 40. členu ZVOP-2. Pri uresničevanju pravic posameznikov se stroški lahko zaračunajo le izjemoma – če gre za očitno neutemeljeno zahtevo ali pretirano zahtevo ali če posameznik zahteva dodatno kopijo. Kakšna bo višina materialnih stroškov, ki se izjemoma lahko zaračunajo posamezniku, bo določal podzakonski pravilnik, ki v tem trenutku še ni sprejet. Med te stroške bi načeloma spadali tudi stroški prenosnih nosilcev podatkov, ki jih zagotovi upravljavec. Po mnenju IP materialni stroški ne bi smeli zajemati stroškov dela.

Obrazložitev

V zvezi s pravicami posameznika, ki se uveljavljajo na zahtevo (15. do 22. člen Splošne uredbe o varstvu podatkov) je vprašanje stroškov urejeno v 12. členu Splošne uredbe o varstvu podatkov. V to ureditev ZVOP-2 ne posega. Osnovno pravilo je brezplačnost uveljavljanja pravic z nekaj izjemami. Pri zagotavljanju podatkov za znanstveno raziskovalni namen je storitev s strani upravljavca možno zaračunati, toda to ne velja za upravljavce v javnem sektorju. Izjema je zaračunavanje stroškov za kontaktiranje posameznikov po 70. členu ZVOP-2. Za drugo posredovanje podatkov uporabnikom (npr. na podlagi 9. člena ZVOP-2, ki velja za umrle osebe ali po področnih predpisih, npr. po Zakonu o izvršbi in zavarovanju), ki se izvaja po določbah 39. do 41. člena ZVOP-2, je posredovanje podatkov možno zaračunati, toda to ne velja, če podatke posredujejo upravljavci javnega sektorja ali če kot uporabniki nastopajo osebe javnega sektorja. Stroški oziroma cena storitve na omenjenem področju in področju znanstveno raziskovalnega dela ni predpisana.

3.3. Drugi odstavek 41. člena ZVOP-2 predpisuje, da mora upravljavec v 15 dneh po prejetju popolne zahteve posredovati podatke, razen če se z uporabnikom dogovorita drugače. Ali je to izvedljivo, na primer pri masovnih zahtevah s strani farmacije.

Masovne zahteve ali zahteve, ki terjajo obsežno pripravo podatkov so tipičen primer, ko bi bilo potrebno dogovarjanje o roku. Važno je, da se to izvede pred potekom splošnega 15 dnevnega roka. Če ZVOP-2 ali drug zakon določa drugačen rok, določba o dogovarjanju iz drugega odstavka 41. člena ZVOP-2 ne velja.

Obrazložitev

Posebna obrazložitev ni potrebna. Opozarjamo, da 41. člen ZVOP-2 farmacevtski družbi ne daje posebne pravne podlage za prosti dostop do osebnih podatkov pri upravljavcih. Farmacevtska družba mora v vsakem posamičnem primeru izkazati konkretno pravno podlago v zakonu ali privolitvi ter izkazati, da so izpolnjeni pogoji za sklicevanje na zatrjevano pravno podlago.

4.4. Sedmi odstavek 41. člena ZVOP-2 določa, da je potrebno hraniti informacije o posredovanju dve leti, razen, če drug zakon določa drugače. Postavlja se vprašanje, ali za izvajalce zdravstvene dejavnosti velja kaj drugače.

Minimalni dveletni rok velja tudi za izvajalce zdravstvene dejavnosti.

Obrazložitev

Poseben zakon, ki bi določal drugače, nam v tem trenutku ni poznan.

5.5. Peti odstavek 69. člena ZVOP-2 določa, da »upravljavec o posredovanju osebnih podatkov obvesti javnost z objavo na svojih spletnih straneh«. Ni pa jasno, koliko časa naj bi potem ta objava morala biti objavljena oz. ali se tukaj upošteva tisti del, ki določa, da je treba imeti evidenco o posredovanju podatkov dve leti.

Priporočamo, da so informacije iz petega odstavka 69. člena ZVOP-2 na spletu javno objavljene najmanj za čas izvajanja raziskave ali smiselno v skladu z dvoletnim rokom hrambe, ki velja za podatke o zunanji sledljivosti iz sedmega odstavka 41. člena ZVOP-2.

Obrazložitev

Ker posebne določbe o tem ni, se je smiselno sklicevati na splošni rok, ki velja za zunanjo sledljivost, če raziskava ne traja dlje. Vendar je treba upoštevati, da javno objavljene informacije niso osebni podatki, zaradi česar tudi dolgoročna (npr. trajna) objava ni problematična. Tudi rok iz petega odstavka 22. člena ZVOP-2 je primerljiv z rokom iz sedmega odstavka 41. člena ZVOP-2.

6.6. Drugi odstavek 71. člena ZVOP-2 govori o tem, da posameznik nima pravice zahtevati (1. tč) popravka osebnih podatkov zaradi netočnosti ali neposodobljenosti v skladu s 16. členom Splošne uredbe. Toda, ali ne določa Splošna uredba (kot višji pravni akt) ravno pravico, da ima posameznik pravico zahtevati popravek;

Splošna uredba o varstvu podatkov je v drugem odstavku 89. člena dopustila, da se nekatere pravice, ki se uveljavljajo na zahtevo, lahko omejijo z nacionalnimi zakoni.

Obrazložitev

Namen omejitve iz 71. člena ZVOP-2 je ohranjanje integritete arhivskega gradiva. Vendar pa ima posameznik »nadomestno« pravico do vložitve dopolnilne izjave (navedbe nasprotnih dejstev) v arhivsko gradivo.

7.7. Kdaj se bo štelo, da organizacija uporablja etična načela in metodologijo s področja raziskovanja ter kako se to dokaže. Kakšna je razlika med posebnimi vrstami osebnih podatkov in podatki, ki predstavljajo poklicno skrivnost (69/1 ZVOP-2). Ali bodo izpolnjevanje pogoja presojale notranje etične komisije.

O prvih dveh vprašanjih vam je IP izdal ločeno mnenje št. 07120-1/2023/42. Dodajamo še, da se upravljavec prosto odloča o tem, po kakšnem internem postopku in katere notranje organizacijske enote ali telesa bodo odločala o izpolnjevanju pogoja uporabe etičnih načel in metodologije s področja raziskovanja.

8.8. Ali je 69. člen ZVOP-2 (ta odpira možnost dostopa do izvornih podatkov za raziskovalni namen) v nasprotju s Splošno uredbo o varstvu podatkov, saj ta zahteva izrecno privolitev ali pa anonimizacijo.

Splošna uredba o varstvu podatkov dopušča, da države članice sprejmejo področne ali dodatne zakonske podlage za obdelavo osebnih podatkov, kamor spada tudi področje uporabe osebnih podatkov za znanstveno raziskovalni namen.

Obrazložitev

IP ni pristojen za presojanje skladnosti ZVOP-2 s Splošno uredbo o varstvu podatkov. Vendar pa slednja, na primer v (j) točki drugega odstavka 9. člena napotuje na nacionalno zakonodajo, ki lahko posebej ali dodatno uredi uporabo osebnih podatkov za znanstveno raziskovalni namen. To pomeni, da lahko nacionalni zakon določi dodatne samostojne pravne podlage za tovrstno uporabo podatkov, kar vključuje določitev vsebinskih in postopkovnih pogojev ter zaščitnih ukrepov.

9.9. Četrti odstavek 69. člena ZVOP-2 omogoča zavrnitev zaprosila za posredovanje podatkov za znanstveno raziskovalni namen. Ali to pomeni, da se na upravljavca prelaga odločitev o tem, ali je zahteva uporabnika utemeljena. Pri točkah 2., 3., 4. in 5. gre za ocene upravljavca. Kako se bo presojalo, ali je ocena upravljavca, ki vodi v zavrnitev vloge, upravičena in kako se rešujejo morebitni spori, če raziskovalec zavrne oceno.

Presoja o tem, ali so izpolnjeni pogoji po drugem, tretjem in četrtem odstavku 69. člena ZVOP-2 je v rokah upravljavca. To pomeni, da je upravljavec tudi odgovoren za zakonitost posredovanja osebnih podatkov. ZVOP-2 glede možnosti drugostopenjskega presojanja odločitve upravljavca ni dovolj jasen, zato po trenutnem mnenju IP, ni možna pritožba zoper odločitev upravljavca.

Obrazložitev

ZVOP-2 v tretjem odstavku 68. člena določa, da »se za dostop do osebnih podatkov za namene raziskovanja smiselno uporabljajo določbe 2. poglavja I. dela tega zakona (tj. 12. do 21. člen) glede postopka pred upravljavcem in obdelovalcem«, ki se nanašajo na odločanje o pravicah posameznika. Toda določbe tega poglavja ne urejajo same pravice do pritožbe, temveč le postopek odločanja upravljavca, vključno z obveznostjo navajanja pravnega pouka o pritožbi. Sama pritožba (torej pravica kot taka), ki jo ima posameznik, je urejena v 77. členu Splošne uredbe o varstvu podatkov. Vendar ta pravica velja le za posameznika, ki uveljavlja katero od pravic od 15. do 22. člena Splošne uredbe o varstvu podatkov. Poleg tega tretji odstavek 68. člena govori o smiselni uporabi postopkovnih določb, kar pomeni, da ni možno dobesedno in brezpogojno prenašati ureditve, ki velja za pravice posameznika na ureditev, ki velja za dostop do osebnih podatkov za znanstveno raziskovalni namen.

10.10. Po 70. členu ZVOP-2 upravljavec zbirke lahko kontaktira posameznika s prošnjo za privolitev. Toda, ali ni iz 69. člena (drugi odstavek) razvidno, da te privolitve niso več potrebne.

Ali s 70. členom postaja kontaktiranje posameznikov za potrebe raziskav naloga upravljavca, ki jo mora izvajati na zahtevo raziskovalca.

Ali ta nova »storitev« omogoča oziroma zahteva, da se o posamezniku zbirajo tudi vsi kontaktni podatki – npr. telefon in e-mail, kljub temu, da niso opredeljeni v zakonu, ki ureja zbirko.

Drugi odstavek 69. člena ZVOP-2 ne učinkuje tako, da pridobivanje privolitev izven 69. člena ZVOP-2 sploh ni več potrebno, temveč bo pridobivanje privolitev na splošno potrebno v manj primerih zaradi pogojne možnosti alternativnega dostopa do podatkov po drugem odstavku 69. člena ZVOP-2.

Kontaktiranje posameznikov po 70. členu ZVOP-2 ni obveznost upravljavca.

ZVOP-2 v 70. členu ni zakonska podlaga za zbiranje kontaktnih podatkov, temveč podlaga za sekundarno uporabo kontaktnih podatkov, če jih upravljavec že ima na neki drugi pravni podlagi. Lahko pa upravljavec, ki že ima določen kontaktni podatek posameznika (npr. naslov e-pošte), za obravnavani namen od posameznika pridobi še drug kontaktni podatek (npr. domači naslov).

Obrazložitev

Privolitev kot podlaga za obdelavo osebnih podatkov za znanstveno raziskovalni namen je še vedno potrebna na primer takrat, če niso izpolnjeni pogoji po drugem odstavku 69. člena ZVOP-2 ali če je privolitev neizogibna zaradi narave raziskave in njene metodologije ali če tako izrecno zahteva nek predpis.

ZVOP-2 v 70. členu zgolj omogoča (oziroma daje pravno podlago za) kontaktiranje posameznikov v korist nosilca raziskave, kar pa ne pomeni, da je upravljavec dolžan zagotoviti to storitev.

ZVOP-2 v drugem in tretjem odstavku 70. členu temelji na predpostavki, da upravljavec potrebne osebne podatke že zakonito ima za neke druge lastne namene. Vendar pa prvi odstavek 70. člena ZVOP-2 določa, da v okviru obdelave osebnih podatkov za raziskovanje upravljavec izjemoma lahko obdeluje tudi osebne podatke ciljne skupine posameznikov zaradi pridobitve privolitev za obdelavo njihovih osebnih podatkov ali zaradi pridobitve dodatnih podatkov (npr. dodatni kontaktni podatki) ali pojasnil za namene raziskovanja.

11.11. Kaj je to ocena učinkov v zvezi z obdelavo osebnih podatkov iz 69. člena ZVOP-2.

Predvideva se zaračunavanje posredovanja podatkov zasebnemu sektorju. Kako se določi tarifa. Ali se lahko zaračuna podatke raziskovalni organizaciji, ki pridobiva za raziskavo sredstva.

Kako lahko upravljalec nadzira uničenje podatkov po četrtem odstavku 69. člena in kakšna so sploh pravila za uničenje.

Ko ZVOP-2 govori o oceni učinka, ima v mislih oceno učinka iz 35. člena Splošne uredbe o varstvu podatkov.

Višina cene za posredovanje podatkov zasebnemu sektorju, način oblikovanja cene in način zaračunavanja ne spadajo v pristojnost IP.

Nadzor nad uničenjem se zagotovi s povratnim obvestilom uporabnika o uničenju, npr. z izjavo o uničenju ali z dokazilom o uničenju (npr. kopija zapisnika ali dokazila o predaji gradiva ustrezni organizaciji). Ni izključen tudi dogovor o izvedbi pregleda pri samem uporabniku.

ZVOP-2 nima posebnih pravil o uničenju. Osnovno pravilo pri uničenju je, da mora biti nepovratno in izvedeno na varen način, kar pomeni, da v postopku ne pride do reproduciranja in nepooblaščenih dostopov do vsebine podatkov.

Obrazložitev

V zvezi z oceno učinka vam predlagamo ogled smernic IP, ki so dostopne na naslednji povezavi:

https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-ocene-učinkov-na-varstvo-osebnih-podatkov

Višina cene, način njenega oblikovanja in zaračunavanja v ZVOP-2 ali drugih predpisih niso urejeni, IP pa posledično ni pristojen za presojanje teh vprašanj.

Lepo vas pozdravljamo,

Pripravil

mag. Urban Brulc, univ. dipl. prav., samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka