Hramba osebnih podatkov pacientov izven Slovenije

Datum

25.07.2023

Številka

07121-1/2023/976

Kategorije

Varnost osebnih podatkov, Zbirke osebnih podatkov, Zdravstveni osebni podatki

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Navajate, da se mednarodno podjetje ukvarja s trženjem medicinskih pripomočkov tudi v Evropi in sodeluje na razpisih ZZZS v Sloveniji glede preskrbe z medicinskimi pripomočki slovenskih bolnikov. Njihov ERP program se direktno poveže s programom ZZZS, kamor vnesejo številko bolnikovega zavarovanja ter številko naročilnice. Iz ZZZS programa nato pridobijo ime in priimek bolnika, njegov naslov ter podatke o zavarovanju (pri kom je sklenjeno), ne pa tudi podatkov o diagnozi bolnika. V svojem ERP programu podjetje shranjuje evidenco izposojnine, tj. koliko časa so medicinski pripomoček izposojali določenemu bolniku. Edini zdravstveni podatek, ki ga pridobijo od ZZZS, je datum smrti, če se le ta pripeti. Zanima vas, če lahko podjetje tovrstne podatke shranjuje na strežnikih v Avstriji ali bi tudi za njih veljal 23. člen ZVOP-2 in bi ERP program moral teči na podatkovnih centrih znotraj Slovenije.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Posebna varnostna prepoved hrambe nekaterih zbirk izven ozemlja Republike Slovenije se nanaša le na zbirke osebnih podatkov iz 1. točke prvega odstavka 23. člena ZVOP-2, ki jih določajo zakoni z izrecno naštetih področij (med drugim tudi zdravstvenega varstva in obveznega zdravstvenega zavarovanja), ne pa splošno na vse zdravstvene podatke slovenskih pacientov.

Obrazložitev

IP uvodoma poudarja, da vam v okviru mnenja ne more podati dokončnega odgovora o zakonitosti obdelave osebnih podatkov, ki jo opisujete, saj lahko posamezne primere obdelave konkretno presoja zgolj v okviru nadzornega postopka. Zato vam v nadaljevanju podaja splošna pojasnila in pravna izhodišča v zvezi z vašim vprašanjem.

Zakonodajalec je v 23. členu ZVOP-2 opredelil zbirke osebnih podatkov, ki zaradi narave podatkov, ki jih vsebujejo, velikosti zbirke ali drugih lastnosti zbirke oziroma vsebovanih podatkov predstavljajo posebej veliko tveganje za pravice in svoboščine posameznikov. Zato je zanje določil poseben sistem varovanja. Kriteriji za določitev posebej tveganih obdelav so opredeljeni v prvem odstavku 23. člena ZVOP-2. Skladno s četrtim odstavkom 23. člena ZVOP-2 zbirk osebnih podatkov iz 1. točke prvega odstavka tega člena ni dovoljeno hraniti izven ozemlja Republike Slovenije.

Posebna varnostna zahteva, določena v četrtem odstavku 23. člena ZVOP-2, se torej ne uporablja za vse zbirke iz prvega odstavka tega člena, temveč le za tiste zbirke osebnih podatkov, ki jih opredeljujejo zakoni na izrecno določenih področjih.

Informacijski sistemi, ki jih ni dovoljeno prenašati niti v druge države Evropske unije, temveč se morajo hraniti na ozemlju Republike Slovenije, so tiste zbirke, v katerih se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo naslednja področja:

-upravnih notranjih zadev,

-finančne uprave,

-državljanstva,

-Slovenske obveščevalno-varnostne agencije,

-obrambe,

-zdravstvenega varstva,

-obveznega zdravstvenega zavarovanja,

-uveljavljanja pravic iz javnih sredstev,

-kazenskih in prekrškovnih evidenc.

Zbirke podatkov na področju zdravstvenega zavarovanja so določene na primer v Zakonu o zdravstvenem varstvu in zdravstvenem zavarovanju, zbirke s področja zdravstvenega varstva pa v Zakonu o zbirkah podatkov s področja zdravstvenega varstva.

Zakonodajalec v četrtem odstavku 23. člena ZVOP-2 tako ni določil splošne prepovedi hrambe zdravstvenih podatkov slovenskih pacientov izven ozemlja Republike Slovenije, temveč je posebne varnostne zahteve predpisal predvsem za t. i. državotvorne zbirke javnega sektorja, ki predstavljajo bistven javni interes, zaradi česar se pravila prostega pretoka osebnih podatkov na področju njihove hrambe ne uporabljajo.

Iz navedenega torej načeloma ne izhaja, da bi moral ERP program mednarodnega podjetja, ki trži medicinske pripomočke, teči na podatkovnih centrih znotraj Republike Slovenije, vendar pa IP tega v mnenju ne more podrobneje ocenjevati. Odgovornost za zakonitost obdelave osebnih podatkov je namreč na upravljavcu, ki jo mora biti sposoben tudi dokazati.

Lepo vas pozdravljamo,

Pripravila

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka