Pridobivanje osebnih podatkov v zvezi z (ne)izvedbo obveznega cepljenja s strani Zdravstvenega inšpektorata

Datum

23.07.2025

Številka

07121-1/2025/915

Kategorije

Uradni postopki, Pridobivanje OP iz zbirk, Zdravstveni osebni podatki

pri Informacijskem pooblaščencu (IP) smo dne 14. 6. 2025 prejeli vaše zaprosilo za mnenje o zakonitosti pridobivanja zdravstvenih podatkov v zvezi s cepljenjem otrok s strani Zdravstvenega inšpektorata RS (ZIRS). ZIRS je opravil poizvedbo o izvedbi obveznega cepljenja v Registru cepljenih oseb in neželenih učinkov po cepljenju (eRCO) in pri izbranem osebnem pediatru. Po vašem mnenju za to ni podlage, ker gre za zelo občutljive podatke in ker ZIRS  s tem ne pridobi podatka o tem, ali gre za zavračanje oziroma izmikanje obveznemu cepljenju oziroma, ker tega podatka v zbirkah podatkov ni. Navajate tudi pogoje, pod katerimi bi bilo cepljenje sprejemljivo, vendar ti v vašem primeru oziorma po vašem mnenju niso izpolnjeni.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Splošne uredbe (EU) o varstvu podatkov (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. Pojasnjujemo še, da se IP lahko dokončno opredeljuje do obdelav osebnih podatkov le v nadzornih postopkih.

Po mnenju IP je dopustno, da Zdravstveni inšpektorat RS v postopku inšpekcijskega nadzora od NIJZ (npr. iz zbirke eRCO) in od otrokovega izbranega osebnega pediatra pridobi podatek o tem, ali in kdaj je bilo izvedeno določeno obvezno cepljenje za določenega otroka, če je poznavanje tega dejstva ali pridobitev dokaza o njem potrebno za izvedbo konkretnega inšpekcijskega nadzora.

Obrazložitev

Vsaka obdelava osebnih podatkov potrebuje pravno podlago v smislu 6. ali 9. člena Splošne uredbe, kar praktično pomeni, da mora biti podlaga določena v zakonu (ali višjem predpisu) ali pa mora biti podana veljavna privolitev posameznika, če je zakon ne izključuje.

Zdravstveni inšpektorat RS ima pri izvajanju inšpekcijskega nadzora zakonsko podlago – v smislu (g) in (i) točke drugega odstavka 9. člena Splošne uredbe ter (c) in (e) točke prvega odstavka 6. člena Splošne uredbe – za seznanitev z »navadnimi« in zdravstvenimi osebnimi podatki otroka (npr. na način pridobitve odgovora na poizvedbo ali na način neposrednega elektronskega vpogleda v zbirko osebnih podatkov) v:

-Zakonu o inšpekcijskem nadzoru (ZIN), in sicer v drugem odstavku 19. člena, ki določa, da morajo pravne in fizične osebe, zoper katere se ne vodi inšpekcijski postopek (v konkretnem primeru je to NIJZ, ZZZS in izvajalec zdravstvene dejavnosti, kjer ima otrok pediatra), in ki razpolagajo z domnevnimi dokazi oziroma drugimi, tudi osebnimi podatki, potrebnimi za izvedbo inšpekcijskega nadzora, na zahtevo inšpektorja posredovati dokaze in druge, tudi osebne podatke, oziroma morajo omogočiti zaslišanje prič za pridobitev teh dokazov ali drugih, tudi osebnih podatkov, najkasneje v treh dneh od prejema njegove zahteve;

-Zakonu o splošnem upravnem postopku (ZUP), in sicer v 34.a členu, ki določa, da so upravljavci zbirk osebnih podatkov (torej tudi NIJZ, ZZZS in izvajalci zdravstvene dejavnosti), ki razpolagajo s podatki, ki so potrebni za ugotovitev dejstev v zvezi z vodenjem in odločanjem v upravnem postopku (inšpekcijski postopek je posebna vrsta upravnega postopka), dolžni na podlagi obrazložene zahteve organa (torej tudi inšpektorata), brezplačno, najkasneje v roku 15 dni, posredovati zahtevane podatke.

Pogoj za aplikacijo zgornjih dveh podlag je, da gre za izvajanje konkretnega inšpekcijskega postopka (inšpekcijskega nadzora) iz zakonske pristojnosti inšpektorata, osebni podatki pa so potrebni za vodenje postopka ali/in za odločanje. Pri tem morata tako upravljavec kot uporabnik upoštevati tudi načelo najmanjšega obsega podatkov iz 5. člena Splošne uredbe, po katerem morajo biti podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Zgornji zakonski podlagi veljata tudi zdravstvene podatke in za ZZZS, ki Zdravstvenemu inšpektoratu zagotovi podatek o izbranem osebnem pediatru.

IP ni pristojen presojati, ali so v konkretnem nadzoru zahtevani osebni podatki res potrebni za izvedbo nadzora s strani inšpektorata. Prav tako ni pristojen za inšpekcijski nadzor nad postopkom inšpekcijskega nadzora, ki ga opravlja drug inšpekcijski organ zoper nekega zavezanca. Zgolj načeloma lahko pojasnimo, da načeloma ni sporno, da se Zdravstveni inšpektorat v postopku inšpekcijskega nadzora prepriča o tem, da določen otrok res ni bil deležen obveznega cepljenja, saj gre za ključno dejstvo, od katerega je odvisno nadaljnje postopanje. O vprašanju, ali gre za »zavračanje oziroma izmikanje obveznemu cepljenju« se inšpekcijski organ prepriča na podlagi vseh drugih relevantnih dejstev, ki jih zbere (npr. ali je bila vložena vloga za opustitev cepljenja in kako je bilo o njej odločeno, ali je bil otrok cepljen v tujini, če to starši dokažejo, ali podatek o cepljenju pomotoma ni bil vpisan, ali so podane kakšne druge izjemne okoliščine za opustitev s strani staršev itd.). Poleg tega zakonitost pridobivanja podatkov o dejstvu (ne)cepljenja ni odvisna od pogojev, ki jih navajate in pod katerimi bi bilo cepljenje z vašega vidika sprejemljivo.

Dodatno je podana zakonska podlaga tudi v Zakonu o prekrških (ZP-1) v četrtem odstavku 45. člena, ki pride v poštev v morebitnem prekrškovnem postopku.

Po mnenju IP 5. člen Zakona o zdravstveni inšpekciji (ZZdrI) sam po sebi ni ustrezna zakonska podlaga za pridobivanje obravnavanih osebnih podatkov, ker gre za splošno določbo o sodelovanju med organi. To pomeni, da mora biti 5. člen ZZdrI obvezno kombiniran skupaj z 19. členom ZIN ali/in 34.a členom ZUP.  Po mnenju IP tudi 13. člen ZZdrI - v konkretnem primeru - ni ustrezna zakonska podlaga, ker se nanaša na le upravljavca, ki je hkrati zavezanec v inšpekcijskem nadzoru.

V podporo sta lahko tudi naslednji mnenji, ki sta bili izdani s strani IP v delno podobnem primeru:

-https://www.ip-rs.si/mnenja-gdpr/posredovanje-op-učencev-inšpekcijski-službi in

-https://www.ip-rs.si/mnenja-gdpr/razkritje-osebnih-podatkov-o-pacientih-zirs.

Prijazen pozdrav.

Pripravil:

dr. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

dr. Jelena Virant Burnik

informacijska pooblaščenka