Obdelava osebnih podatkov pri izvajanju določb ZZKZ

Datum

22.05.2026

Številka

07120-1/2026/221

Kategorije

Ocene učinkov v zvezi z varstvom podatkov, Pravne podlage, Vgrajeno in privzeto varstvo podatkov, Zdravstveni osebni podatki

pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede zakonite obdelave osebnih podatkov pri izvajanju določb Zakona o zagotavljanju kakovosti v zdravstvu (Uradni list RS, št. 102/24; v nadaljevanju ZZKZ) in Zakona o dodatnih interventnih ukrepih na področju zdravstva (Uradni list RS, št. 111/25; v nadaljevanju ZDIUPZ). Navajate, da ZZKZ v 7. členu določa več obveznosti izvajalcev zdravstvene dejavnosti, med drugim spremljanje kazalnikov kakovosti, vzpostavitev sistema obvladovanja varnostnih incidentov, vodenje evidenc preprečljivih škodnih dogodkov in opozorilnih nevarnih dogodkov ter javno objavo anonimiziranih preventivnih in korektivnih ukrepov. Ker ZZKZ podrobneje ne opredeljuje obsega osebnih podatkov, vlog upravljavca/obdelovalca, rokov hrambe ter konkretnih varovalk, prosite za pojasnila, kako navedene obveznosti izvajati skladno z s Splošno uredbo in ZVOP-2, zlasti ob upoštevanju načel iz 5. člena Splošne uredbe ter zahtev glede zakonitosti obdelave in obdelave posebnih vrst osebnih podatkov, vključno z zdravstvenimi podatki.

Zanima vas:

1)

Kateri osebni podatki (vključno s podatki o pacientih in zaposlenih) se smejo praviloma obdelovati za namene iz 7. člena ZZKZ (spremljanje kazalnikov kakovosti, obvladovanje varnostnih incidentov, evidence prepreljivih škodnih dogodkov in opozorilnih nevarnih dogodkov ter priprava in objava preventivnih/korektivnih ukrepov)? Ali obstajajo priporočene varovalke (npr. psevdonimizacija, strogo določene vloge, ločevanje zbirk), ki jih IP šteje za nujne za skladnost z načelom najmanjšega obsega podatkov?

2)

Kako naj izvajalec zdravstvene dejavnosti pravilno spremlja kazalnike kakovosti (npr. na ravni oddelka/službe in/ali na ravni posameznega izvajalca), da bo obdelava osebnih podatkov sorazmerna in skladna s Splošno uredbo? Ali IP priporoča, da se kazalniki praviloma vodijo in poročajo agregirano (brez identifikacije posameznikov) in v katerih primerih bi bila identifikacija posameznika lahko dopustna?

3)

Pri obravnavi varnostnega incidenta po 15. členu ZZKZ: kateri podatki so nujni za vodenje postopka in dokazovanje ugotovitev? Ali je ustrezna praksa, da se s sklepom ustanovi komisija/pooblaščene osebe, ki imajo za konkretne postopke določena pooblastila in omejen dostop do podatkov po načelu »need-to-know« (brez dostopa do irelevantnih podatkov)? Katere minimalne organizacijske in tehnične ukrepe IP priporoča pri takih obravnavah?

4)

Ali mora izvajalec za posamezne sklope obdelav (kazalniki kakovosti, incidenti, evidence dogodkov, priprava ukrepov) sprejeti poseben interni akt (npr. pravilnik/sklep), v katerem se opredeli pravna podlaga, namen, vrste in viri podatkov, uporabniki/dostopi, roki hrambe ter odgovorne osebe?

5)

ZZKZ predvideva javno objavo anonimiziranih preventivnih in korektivnih ukrepov. Kako IP razume zahtevo po anonimizaciji v tem kontekstu (zlasti ob tveganju posredne identifikacije v manjših okoljih)? Ali je dopustna objava ukrepov le na agregirani ravni (brez navedb, ki bi omogočale identifikacijo pacienta ali zaposlenega), in katere preveritve/varovalke priporoča pred objavo?

6)

Kako naj izvajalec ravna v primerih, ko zakon nalaga javno objavo, vendar zaradi majhnega števila primerov/pacientov agregiranje ali anonimizacija objektivno ni izvedljiva brez nesorazmernega tveganja (posredne) identifikacije? Ali IP v takih primerih dopušča (in pod katerimi pogoji) npr. neobjavo posameznega podatka/ukrepa, časovni odlog objave, združevanje podatkov po daljših obdobjih, objavo na višji ravni agregacije, supresijo določenih atributov ali druge ukrepe za zmanjšanje tveganja ter kako naj izvajalec to odločitev ustrezno dokumentira?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22 in 40/25 – ZInfV-1; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi vprašanji.

IP glede na svoje pristojnosti ne more prevzemati vloge zakonodajalca ali dajati zavezujočih navodil za konkretno izvajanje zakonskih obveznosti po ZZKZ.

ZZKZ predstavlja zakonsko podlago za izvajanje nalog izvajalcev zdravstvene dejavnosti na področju kakovosti in varnosti zdravstvene obravnave ter zdravstvenih storitev, pri čemer morajo ti pri obdelavi osebnih podatkov spoštovati vsa temeljna načela iz 5. člena Splošne uredbe in druge zahteve za zakonito obdelavo osebnih podatkov.

Izvajalci zdravstvene dejavnosti morajo že ob uvajanju postopkov za izvajanje določb ZZKZ in načrtovanju obdelav upoštevati načelo vgrajenega in privzetega varstva podatkov iz 25. člena Splošne uredbe ter ustrezno nasloviti vsa tveganja za pravice posameznikov.

Zato IP poudarja pomen pravočasne izvedbe ocene učinkov v zvezi z varstvom osebnih podatkov (DPIA), v okviru katere upravljavec presodi vse relevantne vidike načrtovanih obdelav. Hkrati pa priporoča, da se obdelave ustrezno uredijo in dokumentirajo v internih aktih.

Obrazložitev

Uvodoma pojasnjujemo, da IP v okviru svojih pristojnosti ne more prevzemati vloge zakonodajalca niti dajati zavezujočih razlag oziroma navodil glede izvajanja zakonskih obveznosti v primerih, ko posamezna vprašanja z zakonom niso podrobneje urejena. V nadaljevanju zato podajamo splošna in neobvezujoča pojasnila z vidika varstva osebnih podatkov, ki vam lahko pomagajo pri sprejemanju odločitev glede nalog izvajalcev zdravstvene dejavnosti pri izvajanju določb ZZKZ.

Za vsako obdelavo osebnih podatkov mora biti podana ustrezna pravna podlaga iz prvega odstavka 6. člena Splošne uredbe, pri obdelavi posebnih vrst osebnih podatkov, kamor sodijo tudi podatki o zdravju, pa tudi ena izmed izjem iz drugega odstavka 9. člena Splošne uredbe. V okviru izvajanja zakonskih obveznosti po ZZKZ bo pravna podlaga praviloma podana v točki c) oziroma e) prvega odstavka 6. člena Splošne uredbe, pri zdravstvenih podatkih pa predvsem v zvezi s točko h) ali i) drugega odstavka 9. člena Splošne uredbe.

V skladu z drugim odstavkom 6. člena ZVOP-2 je obdelava osebnih podatkov v javnem sektorju zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka ter drugega in tretjega odstavka 6. člena Splošne uredbe zakonita le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon. Skladno s četrtim odstavkom 6. člena ZVOP-2 pa se lahko za izvrševanje točke e) prvega odstavka 6. člena Splošne uredbe v javnemu sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujno potrebni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.

Opozarjamo pa, da IP v mnenju ne more presojati, ali je konkretna ureditev po ZZKZ z vidika varstva osebnih podatkov dovolj določna in predvidljiva v smislu 6. člena ZVOP-2. Glede vprašanj, ki se nanašajo na vsebino oziroma razlago posameznih določb ZZKZ, zato predlagamo, da se obrnete na Ministrstvo za zdravje.

ZZKZ torej predstavlja zakonsko podlago za izvajanje posameznih nalog izvajalcev zdravstvene dejavnosti na področju kakovosti in varnosti zdravstvene obravnave ter zdravstvenih storitev. Pri tem morajo izvajalci spoštovati temeljna načela varstva osebnih podatkov iz 5. člena Splošne uredbe, zlasti načelo najmanjšega obsega podatkov, omejitve namena in omejitve hrambe, načelo odgovornosti ter druge zahteve za zakonito obdelavo osebnih podatkov.

Obdelava osebnih podatkov mora biti omejena na podatke, ki so ustrezni, relevantni in nujni za dosego konkretnega namena. Izvajalci zdravstvene dejavnosti morajo zato pri posameznih obdelavah za namene izvajanja nalog po ZZKZ med drugim presoditi, katere osebne podatke dejansko potrebujejo za dosego določenega namena, ali je to mogoče doseči z anonimiziranimi ali psevdonimiziranimi podatki ter kdo od zaposlenih potrebuje dostop do podatkov. Poleg tega morajo zagotoviti ustrezne tehnične in organizacijske ukrepe za varnost osebnih podatkov, kot so določitev uporabniških pravic in dostopov, beleženje dostopov, šifriranje, postopke obravnave varnostnih incidentov, usposabljanje zaposlenih, določitev primernih rokov hrambe ter vzpostavitev postopkov izbrisa podatkov.

Hkrati se morajo praviloma uporabljati anonimizirani oziroma agregirani podatki, če identifikacija posameznika ni več potrebna, psevdonimizirani podatki, kadar je treba omogočiti naknadno preverjanje posameznega primera, identifikacijski podatki pa le izjemoma in v najmanjšem nujnem obsegu. V zvezi s tem utemeljeno opozarjate tudi na tveganje posredne identifikacije v manjših okoljih oziroma pri redkih dogodkih, kjer lahko že kombinacija posameznih okoliščin omogoči prepoznavo posameznika. Če anonimizacije zaradi majhnega števila primerov ali drugih okoliščin ni mogoče zagotoviti brez nesorazmernega tveganja za identifikacijo, mora izvajalec še posebej skrbno presoditi sorazmernost in zakonitost objave ter po potrebi uporabiti dodatne zaščitne ukrepe.

Glede internih aktov je nadalje pomembno, da mora biti upravljavec zmožen dokazati skladnost obdelav z načeli varstva osebnih podatkov (drugi odstavek 5. člena Splošne uredbe). IP priporoča, da izvajalci zdravstvene dejavnosti posamezne obdelave osebnih podatkov ustrezno uredijo in dokumentirajo v internih aktih ali drugih notranjih dokumentih. Vsebina internih aktov sodi v pristojnost upravljavca, ki jo mora glede na naravo in obseg svojih obdelav osebnih podatkov določiti sam.

Ob tem izpostavljamo, da morajo izvajalci zdravstvene dejavnosti že ob uvajanju postopkov za izvajanje določb ZZKZ in načrtovanju obdelav upoštevati načelo vgrajenega in privzetega varstva podatkov iz 25. člena Splošne uredbe ter ustrezno nasloviti vsa tveganja za pravice posameznikov.

V zvezi z vašimi vprašanji pa še posebej poudarjamo pomen pravočasne izvedbe ocene učinkov v zvezi z varstvom osebnih podatkov (DPIA) po 35. členu Splošne uredbe in 24. členu ZVOP-2. Glede na naravo obdelav po ZZKZ gre namreč za obsežno obdelavo zdravstvenih podatkov ter sistematično spremljanje posameznikov z večjim tveganjem za pravice in svoboščine posameznikov. Zato je treba pred začetkom obdelav, ki so potrebne za izvrševanje nalog po ZZKZ, izvesti to oceno, v okviru katere v celoti naslovite vprašanja, ki jih navajate, ter presodite zakonitost in sorazmernost vseh vidikov načrtovanih obdelav. Če se bo nato izkazalo, da obdelava kljub predvidenim ukrepom povzroča visoko tveganje za pravice posameznikov, se morate skladno s 36. členom Splošne uredbe še pred začetkom obdelave posvetovati z IP.

IP je na temo ocene učinkov izdelal tudi Smernice o ocenah učinkov na varstvo podatkov, ki so dostopne na spletni strani: https://www.ip-rs.si/go?u=%2Fprirocniki_smernice%2FSmernice_o_ocenah_ucinka.pdf.

Sklepno pojasnjujemo, da IP v okviru tega mnenja ne more podati konkretnejših odgovorov na vaša vprašanja, saj so ta odvisna od vseh okoliščin konkretnega primera, ki jih lahko v celoti presodi le upravljavec.

Lepo vas pozdravljamo,

Pripravila:

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

dr. Jelena Virant Burnik, informacijska pooblaščenka