Dostop do podatkov ZZZS s strani podjetij, ki izvajajo zdravstveno dejavnost

Datum

22.12.2023

Številka

07121-1/2023/1611

Kategorije

Zdravstveni osebni podatki, Pridobivanje OP iz zbirk

Pri Informacijskem pooblaščencu (IP) smo dne 14. 12. 2023 in 20. 12. 2023 (dodatna pojasnila) prejeli vaše vprašanje o tem, na podlagi katerega člena, katerega zakona ter katerega leta je bil sprejeto pravilo, da sme zasebno podjetje (s.p. ali d.o.o), ki izvaja zdravstveno dejavnost dostopati do podatkov zdravstvenega zavarovanja preko kartice zdravstvenega zavarovanja ZZZS. Poleg tega vas zanima:

2.do katerih osebnih podatkov lahko zasebno podjetje dostopa preko zdravstvene kartice ZZZS;

3.kje mora imeti podjetje objavljene splošne pogoje (npr. s katerimi podjetji poslovno sodeluje in si izmenjuje podatke);

4.na kakšne načine ter kako se dostopa do zbranih podatkov, ki jih podjetje ima o osebi;

5.kam se vloži prijavo v primeru, če podjetje ne posreduje vseh podatkov, ki jih ima o osebi.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena ZVOP-2, 58. členom Splošne uredbe o varstvu podatkov, 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Pojasnjujemo še, da se lahko dokončno opredeljujemo do konkretnih obdelav osebnih podatkov le v nadzornih postopkih in ob upoštevanju vseh okoliščin konkretnega primera. Ker domnevamo, da se vaše vprašanje nanaša le na samoplačniške storitve pri izvajalcih zdravstvene dejavnosti, je mnenje omejeno le na to področje.

1.Če gre za samoplačniške zdravstvene storitve, je uporaba zdravstvene kartice (KZZ) s strani izvajalcev zdravstvene dejavnosti po mnenju IP dopustna le na podlagi privolitve pacienta, kar velja tako za dostop do osnovnih podatkov na kartici (na površini in v vgrajenem mikroprocesorju) kot tudi za morebiten dostop do podatkov v zalednem sistemu ZZZS.

2.Obseg podatkov je odvisen od obsega privolitve. Na sami KZZ so navedeni le osnovni podatki o pacientu, v zalednem sistemu pa so dostopni tudi podatki o zavarovanju, izbiri osebnih zdravnikov, zdravilih, medicinskih pripomočkih in nekateri drugi zdravstveni podatki (npr. nosečnost, poškodbe pri delu, bolniška odsotnost z dela).

3.IP ni pristojen za presojanje pogodbenih pogojev opravljanja zdravstvenih storitev.

4.Do podatkov se dostopa na način souporabe KZZ in profesionalne kartice s pomočjo čitalnika in ustrezne programske opreme. Izjemni dostopi so možni tudi brez KZZ.

5.Izvajalec zdravstvene dejavnosti mora pacientom nuditi informacije o obdelavi osebnih podatkov kot to določata 13. in 14. člen Splošne uredbe. Način informiranja je določen v prvem odstavku 12. člena Splošne uredbe. V primeru kršitve te obveznosti je možno pri IP vložiti prijavo.

Obrazložitev

Praksa zasebnih izvajalcev zdravstvene dejavnosti je različna. Nekateri izvajalci, ki so vključeni v mrežo izvajalcev javne zdravstvene službe in imajo za te potrebe urejeno uporabo KZZ oziroma t.i. sistema on-line zdravstvenega zavarovanja, uporabljajo pacientovo kartico tudi pri samoplačniških storitvah zaradi lažjega evidentiranja pacienta v internem informacijskem sistemu. KZZ v tem primeru služi tudi kot identifikacijski dokument. Ali in v kakšnem obsegu ti izvajalci dostopajo tudi do bolj občutljivih podatkov v zalednem sistemu (on-line ZZ), je odvisno od tehničnih možnosti, potreb in prakse posameznega izvajalca. Toda KZZ je namenjena uveljavljanju pravic iz zdravstvenega zavarovanja pri zdravstvenih storitvah, ki so financirane iz tega naslova. Torej je tudi pridobivanje osebnih podatkov s pomočjo KZZ utemeljeno brez privolitve pacienta le, če gre za zdravstveno storitev, ki ni samoplačniška. To izhaja tudi iz načela omejitve namena in načela najmanjšega obsega podatkov. KZZ je javna listina, s katero se dokazuje lastnost zavarovane osebe pri uveljavljanju pravic iz obveznega zdravstvenega zavarovanja in s katero se dostopa do podatkov, ki so potrebni za uveljavljanje pravic iz zdravstvenega zavarovanja, če tako določa posebni zakon, pa tudi do drugih podatkov. Če gre za samoplačniške zdravstvene storitve, avtomatična uporaba pacientove KZZ torej ni utemeljena, razen če se pacient s tem strinja po tem, ko je na način iz 12. člena Splošne uredbe obveščen o tem, da predložitev KZZ ni obvezna, o konkretnem namenu uporabe KZZ, o podatkih, ki jih bo izvajalec pridobil na tak način in o drugih vidikih obdelave osebnih podatkov v skladu s 13. in 14. členom Splošne uredbe. Pacient mora torej prostovoljno privoliti v tovrstno pridobivanje podatkov, izvajalec pa zato ne sme pogojevati izvedbe zdravstvene storitve s predložitvijo KZZ. Za osnovne podatke je privolitev lahko tudi ustna, medtem ko je za zdravstvene podatke priporočljiva pisna privolitev.

Način informiranja pacientov pred pridobitvijo privolitve ni konkretno predpisan, kar pomeni, da lahko pacient o tem prejeme ustno obvestilo tik pred prostovoljno predložitvijo KZZ ali pisno obvestilo, na primer letak v papirni obliki, obvestilo pri naročilu zdravstvene storitve prek e-pošte ali prek posebnih informacijskih rešitev, z ustrezno objavo obvestila v sprejemnici in podobno.

Večino vprašanj glede KZZ ureja Pravilnik o kartici zdravstvenega zavarovanja, profesionalni kartici in pooblastilih za branje in zapisovanje podatkov v zalednem sistemu (Uradni list RS, št. 12/17, 57/18, 43/19, 79/19, 179/20, 87/22 in 106/23).

Za podrobnosti glede delovanja in uporabe KZZ se je treba obrniti na ZZZS, ki je upravljavec sistema.

V primeru, da vas zanima ravnanje konkretnega izvajalca pri zdravstveni storitvi, ki ste jo bili deležni, je treba neposredno pri izvajalcu vložiti zahtevo za seznanitev z lastnimi osebnimi podatki. Pri tem si lahko pomagate z obrazcem, ki je dostopen na spletni strani IP pod zavihkom »obrazci« - »varstvo osebnih podatkov«.

V primeru zaznane kršitve (npr. vztrajanje pri predložitvi KZZ brez privolitve in predhodnih ustreznih pojasnil) lahko pri IP vložite prijavo. Obrazec enotne prijave je tudi dostopen na spletni strani IP.

Prijazen pozdrav.

Pripravil

dr. Urban Brulc, univ. dipl. prav., samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka