Dostop do evidence vpogledov (dnevnika obdelav)

Datum

27.08.2025

Številka

07121-1/2025/1034

Kategorije

Pravica do seznanitve z lastnimi osebnimi podatki

pri Informacijskem pooblaščencu (IP) smo dne 24. 7. 2025 prejeli vaše zaprosilo za dostop do evidence vpogledov v vse vaše zdravstvene podatke in zdravstvene podatke vašega mladoletnega sina, ki za zadnji dve leti. Sumite namreč, da je nekdo vpogledal v zbirke podatkov izvajalcev zdravstvene dejavnosti za vas in za sina ter podatke neupravičeno razkril drugim osebam.

Na podlagi dokumenta oziroma informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Splošne uredbe (EU) o varstvu podatkov (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje oziroma pojasnila.

IP ni pristojen za odločanje o zahtevah posameznikov za pridobitev izpisov dnevnikov obdelav osebnih podatkov (evidenc vpogledov) za druge upravljavce osebnih podatkov, kamor spadajo tudi izvajalci zdravstvene dejavnosti.

IP tudi ni pristojen za centralno sprejemanje zahtev za pridobitev izpisov dnevnikov obdelav, ki se nanašajo na druge upravljavce. 

Posameznik mora zahtevo vložiti pri tistem upravljavcu, kjer meni, da je prišlo do domnevne nezakonite obdelave osebnih podatkov oziroma pri tistem upravljavcu, ki upravlja z zbirkami osebnih podatkov, ki ga zanimajo.

Starši lahko vložijo zahtevo v imenu mladoletnega otroka le dokler otrok ne doseže starosti 15 let.

Posameznik praviloma ni upravičen do identitete notranjih uporabnikov njegovih osebnih podatkov (torej do osebnih imen zaposlenih pri upravljavcih), temveč je do teh upravičen le v primeru »

če so te informacije nujne za to, da se posamezniku, na katerega se nanašajo osebni podatki, omogoči učinkovito uveljavljanje pravic, ki so mu podeljene s Splošno uredbo, in se upoštevajo pravice in svoboščine teh zaposlenih«.

To velja zlasti v primeru, če se dokaže, da je šlo za nezakonite dostope do osebnih podatkov.

V primeru upravljavčeve zavrnitve zahteve za seznanitev z lastnimi osebnimi podatki ali v primeru molka upravljavca, lahko posameznik pri IP vloži prijavo.

Obrazložitev:

IP na podlagi predpisov s področja varstva osebnih podatkov ni pristojen za centralizirano obravnavo vlog posameznikov, za katere so sicer vsebinsko pristojni drugi upravljavci. IP torej ne nastopa kot enotna vstopna točka za pravico do seznanitve z lastnimi osebnimi podatki. Ta se lahko uveljavlja le pri vsakemu upravljavcu posebej in neposredno. IP je, med drugim, pristojen za vodenje nadzornega postopka zoper upravljavca v primeru, da ta posamezniku zavrne zahtevo za seznanitev ali v primeru, da na zahtevo ne odgovori v roku enega meseca.

Zahteva za seznanitev z lastnimi osebnimi podatki (to je pravica iz 15. člena Splošne uredbe) se lahko vloži tudi na obrazcu SLOP, ki je dostopen na spletni strani IP pod zavihkom »obrazci« - »varstvo osebnih podatkov«. Ta so dostopna tudi pojasnila v zvezi z uveljavljanjem te pravice. Priporočljivo je, da se zahteva čimbolj omeji na konkretno zbirko osebnih podatkov, konkretne osebne podatke ali dokumente, na konkreten čas in na konkretno obdelavo (dogodek ali več dogodkov). Če posameznik zahteva dnevnik obdelav in želi prejeti identiteto notranjih uporabnikov, mora priložiti dokazila ali vsaj konkretno obrazložitev o sumu nezakonite obdelave podatkov.

Posameznik s sklicevanjem na 15. člen Splošne uredbe praviloma ni upravičen do seznanitve z identiteto notranjih uporabnikov (to so osebe, ki za ali v imenu upravljavca izvajajo dostope, zlasti zaposleni pri upravljavcu), saj so uporabniki v smislu Splošne uredbe le zunanji uporabniki ali prejemniki podatkov, torej fizične ali pravne osebe izven upravljavca (tj. od upravljavca statusno ločene osebe, ki ne spadajo v njegovo organizacijsko strukturo in oblast), ki so jim posredovani osebni podatki za neko drugotno uporabo podatkov; osebnih podatkov se notranjim uporabnikom namreč ne posreduje, temveč se jih le da na voljo za obdelavo v imenu upravljavca.

Toda pod pogoji iz sodbe Sodišča EU št. C-579/21 (zadeva »Pankki S«) je posameznik izjemoma lahko upravičen tudi do identitete siceršnjih notranjih uporabnikov,

če so te informacije nujne za to, da se posamezniku, na katerega se nanašajo osebni podatki, omogoči učinkovito uveljavljanje pravic, ki so mu podeljene s Splošno uredbo, in se upoštevajo pravice in svoboščine teh zaposlenih

. Da bi upravljavec v konkretnem primeru v smislu omenjenega stališča Sodišča EU prijavitelju moral razkriti določene podatke o obdelavi posameznikovih osebnih podatkov s strani na primer določenih zdravstvenih delavcev ali zdravstvenih sodelavcev, bi moral biti izpolnjen pogoj, da so ti osebne podatke posameznika obdelovali izven njihovih delovnih nalog za zasebni namen s prekoračitvijo pooblastil, torej če ne bi delovali kot (zakoniti) notranji uporabniki v imenu oziroma za upravljavca.

Iz sodbe Sodišča EU št. C-579/21 (zadeva »Pankki S«) izhaja še, da je posameznik upravičen tudi do podatka o namenu obdelave in času obdelave za vsako obdelavo (»vrstico« v dnevniku obdelav). To velja ne glede na to, ali je šlo za zakonito ali nezakonito obdelavo podatkov.

Če starši vložijo zahtevo za seznanitev z osebnimi podatki njihovega otroka, ki je dopolnil 15 let, mora biti zahtevi priloženo pooblastilo otroka ali njegova privolitev.

Pacient, ki meni, da je prišlo do nezakonite obdelave osebnih podatkov pri izvajalcu zdravstvene dejavnosti lahko, namesto zahteve za seznanitev z lastnimi osebnimi podatki, pri izvajalcu vloži konkretizirano oziroma obrazloženo pritožbo po 46. členu Zakona o pacientovih pravicah (ZPacP). Na tej podlagi izvajalec izvede notranjo preiskavo ter pacienta obvesti o rezultatih.

Prijazen pozdrav.

Pripravil: dr. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

dr. Jelena Virant Burnik

informacijska pooblaščenka

Financira Evropska unija. Izražena stališča in mnenja so izključno mnenja avtorja in ne odražajo nujno stališč in mnenj Evropske unije ali Evropske komisije. Niti Evropska unija niti organ, ki dodeljuje sredstva, zanje ne odgovarjata.