- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Dostopa do zdravstvenih izvidov in uporaba MS Teams
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Dostopa do zdravstvenih izvidov in uporaba MS Teams
Datum
16.01.2026
Številka
07120-1/2025/560
Kategorije
Varnost osebnih podatkov, Zdravstveni osebni podatki
1.pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje v dveh situacijah.
1.Dostop pacientov do lastnih zdravstvenih izvidov prek SMS enkratnega gesla (OTP)
Kot ste pojasnili lahko po opravljeni zdravstveni obravnavi pacient dostopa do svojega izvida prek varne spletne strani, ki je last zasebne zdravstvene ustanove, na sledeč način:
1.pacient v prijavni obrazec vpiše svojo mobilno telefonsko številko,
2.na vpisano telefonsko številko prejme SMS sporočilo s 6-mestno številčno kodo,
3.po vnosu prejete SMS kode v prijavni obrazec vstopi v njemu lastni zaprti del varne spletne strani, kjer lahko dostopa do svojih preteklih izvidov v tej zdravstveni ustanovi.
Kot ste pojasnili se zavedate, da tak način prijave ne predstavlja klasične dvofaktorske avtentikacije, saj ne vključuje trajnega gesla, vendar ocenjujete, da kombinacija predhodne osebne validacije telefonske številke, časovno omejenega OTP, šifriranja, omejitve dostopa in izvedenih varnostnih testov predstavlja sorazmeren in ustrezen nabor tehničnih in organizacijskih ukrepov glede na tveganja in glede na to, da Splošna uredba (GDPR) in ZVOP-2 ne predpisujeta konkretnega tehničnega načina avtentikacije, temveč zahtevata, da upravljavec zagotovi ustrezno raven varnosti ob upoštevanju tveganj, narave podatkov in razpoložljivih tehničnih ukrepov.
2.Uporaba Microsoft Teams kot internega komunikacijskega orodja v zdravstveni organizaciji
Pojasnili ste, da zdravstvena organizacija uporablja Microsoft Teams kot interno komunikacijsko orodje. Dostop imajo izključno zaposleni in pogodbeni sodelavci z ustreznimi pooblastili, dostop je zaščiten z večfaktorsko avtentikacijo (2FA), obdelava podatkov pa poteka znotraj EU na podlagi veljavne pogodbe o obdelavi osebnih podatkov. Zanima vas, katere podatke lahko v MS Teams zapiše zdravstveni delavec (eksplicitni identifikator pacienta (ime in priimek) in tudi zdravstvene podatke (posebne vrste OP), zgolj implicitne identifikatorje (npr. interna številčna oznaka pacienta, npr. 9876531, ki omogoča določljivost izključno znotraj zdravstvene organizacije) in tudi zdravstvene podatke ali samo implicitni identifikator pacienta in nikakršnih zdravstvenih podatkov.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Uvodoma moramo izpostaviti, da se IP v okviru nezavezujočih mnenj ne more in ne sme opredeljevati, ali je konkreten postopek pri določenem zavezancu in/ali konkretna tehnična rešitev skladna z zakonodajo o varstvu osebnih podatkov; zakonitost in skladnost obdelav osebnih podatkov v okviru konkretnih postopkov obdelav osebnih podatkov pri določenem zavezancu lahko IP preveri le v okviru uradnega inšpekcijskega postopka in v okviru svojih pristojnosti.
IP se tako v nezavezujočem mnenju ne sme izreči, ali so opisani postopki in uporabljene rešitve skladne za zakonodajo o varstvu osebnih podatkov, temveč vas lahko le opozorimo na zahteve zakonodaje in podamo splošna pojasnila in priporočila.
Ad 1
Ukrepi za zagotavljanje varnosti podatkov morajo skladno z določbami 32. člena Splošne uredbe upoštevati najnovejši tehnološki razvoja in stroške izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti. Upravljavci in obdelovalci morajo z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotoviti ustrezno raven varnosti glede na tveganje, pri določanju ustrezne ravni varnosti pa se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
Dvofaktorska avtenikacija se v zadnjem času uveljavlja kot standardni način za preverjanje verodostojnosti posameznikov pri uporabi spletnih storitev, saj zagotavlja večji nivo varnosti kot preverjanje zgolj enega od faktorjev, s katerimi se izkazujejo do informacijskih sistemov in storitev izkazujejo posamezniki.
Navajate, da naj v opisanem primeru ne bi šlo za »klasično dvofaktorsko avtenikacijo«, saj da ta ne ne vključuje trajnega gesla. Glede na vaš opis prijave pacienta sicer ocenjujemo, da vseeno gre za dvofaktorsko avtentikacijo, saj vendarle temelji na dveh stebrih identifikacije – nekaj, kar oseba ve (podatek o telefonski številki) in nekaj, kar oseba ima (npr. telefon, na katerega prejme časovno omejeno geslo). Element »trajnosti gesla« namreč ni odločilni element, ali gre za dvofaktorsko avtentikacijo ali ne, se pa pomanjkljivost opisanega sistem skriva drugje in sicer v tem, da je dovolj, da pacient v prvi fazi vnese svojo mobilno številko in glede na vaš opis postopka ne vnaša uporabniškega imena in gesla. Sistem, kot ste ga opisali, ima z vidika varnosti določena tveganja, saj telefonska številka posameznika ni nujno dovolj zaupen podatek, da bi lahko trdili, da je znan samo posamezniku, kot je to v primeru uporabniškega imena in (zlasti) gesla, katerega si je izbral posameznik sam in je znano samo njemu. Posledično menimo, da postopek, kjer mora posameznik vnesti svoje uporabniško ime in geslo, nato pa na svojo telefonsko številko prejme časovno omejeno kodo, bolje naslavlja tveganja, kjer namesto uporabniškega imena in gesla vnese le svojo telefonsko številko. Nenazadnje bi namreč lahko nekdo že v ob krajši posesti mobilnega telefona posameznika (npr. ko ga pusti odklenjenega za kratek čas), na takšen način pridobil vse potrebne podatke za dostop do zdravstvenih podatkov, kar ne bi bilo mogoče v primeru zahteve po vnosu uporabniškega imena in gesla, ki se tudi v praksi bolj pogosto uporablja kot zgolj vnos telefonske številke v prvem koraku.
Ad 2
Kot tudi sami ugotavljate uporaba sodobnih oblačnih komunikacijskih orodij sama po sebi ni nedopustna. Pomembno je, da so izpolnjeni pogoji za zakonitost obdelave, da je zagotovljena ustrezna raven varnosti, in da so upoštevana vsa ostala temeljna načela varstva osebnih podatkov (5. člen Splošne uredbe). Pri odločanju o tem, kateri osebni podatki naj bi bili vneseni ali obdelovani v okviru določene tehnične rešitve mora upravljavec opraviti presojo njihove nujnosti, tako da bo obseg obdelave omejen na tiste podatke, ki so nujno potrebni za dosego zakonitega namena obdelave. Pri tem mora za upoštevanje načel minimizacije in namenskosti obdelave opraviti presojo, ali lahko zakonite cilje doseže z uporabo psevdonimiziranih osebnih podatkov in brez vnosa zdravstvenih podatkov in šele če to ni zadostno, z uporabo »surovih« osebnih podatkov in z ali brez vnosa zdravstvenih osebnih podatkov. Zasledovati je namreč treba takšen minimalni obseg obdelave, ki zadosti zasledovanim zakonitim ciljem in le če to ni mogoče, uporabiti bolj govoreče podatke oziroma večji nabor osebnih podatkov.
Glede same uporabe tehničnih rešitev se kot rečeno v mnenjih ne smemo izrekati glede njihove skladnost in priporočamo, da upravljavci podrobno preverijo tehnična in pogodbena zagotovila posameznega ponudnika, kjer mora biti jasno predstavljeni tehnični in organizacijski ukrepi za varnost podatkov ter pogodbena zagotovila, da lahko upravljavec opravi presojo zagotavljanja skladnosti predvsem glede pogodbene obdelave osebnih podatkov (28. člen Splošne uredbe), glede varnostnih ukrepov (24., 32., 33. in 34. člen Splošne uredbe ter 22. in 23. člen ZVOP-2) in glede morebitnega prenosa podatkov v tretje države (44. do 49. člen Splošne uredbe). V ta namen priporočamo ogled smernic IP glede omenjenih tem (https://www.ip-rs.si/publikacije/prirocniki-in-smernice/) ter že izdanih mnenj IP (https://www.ip-rs.si/mnenja-zvop-2/).
Lepo vas pozdravljamo,
dr. Jelena Virant Burnik,
Informacijska pooblaščenka
Pripravil:
mag. Andrej Tomšič,
namestnik informacijske pooblaščenke
---
[1]Nekaj kar vemo, nekaj kar imamo in nekaj kar smo.
[2]Prav tako trajna gesla ne sodijo med priporočljive prakse.