Uporaba aplikacije MS Teams za komunikacijo s pacienti

Datum

23.05.2025

Številka

07121-1/2025/560

Kategorije

Pravne podlage, Ocene učinkov v zvezi z varstvom podatkov

pri Informacijskem pooblaščencu (IP) smo 11. 4. 2025 prejeli vaše zaprosilo za mnenje glede uporabe aplikacije MS Teams za komunikacijo s pacienti. 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Določitev ustrezne pravne podlage je naloga upravljavca, ob čemer mora upoštevati načela varstva osebnih podatkov, ki so opredeljena v 5. členu Splošne uredbe. Privolitev je ena od šestih možnih pravnih podlag za zakonito obdelavo, ob čemer mora biti prostovoljna, specifična, informirana ter nedvoumna.

Kadar obdelavo osebnih podatkov v imenu upravljavca izvaja obdelovalec, mora za to obstajati pisna pogodba ali drug ustrezen akt, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca.

V kolikor se podatki prenašajo v tretjo državo, mora biti pri prenosu osebnih podatkov izven EU zagotovljena raven varstva osebnih podatkov, ki je v bistvu enakovredna ravni v EU.

Obrazložitev:

Uvodoma pojasnjujemo, da IP v okviru mnenja ne more presojati ustreznosti konkretnih ukrepov ali praks določenega upravljavca osebnih podatkov, vsak upravljavec je namreč dolžan sam zagotoviti ustrezno pravno podlago ter skladnost z veljavnimi pravnimi predpisi. IP zato v nadaljevanju na splošno pojasnjuje za vaše vprašanje relevantno ureditev.

Vsaka obdelava osebnih podatkov mora vedno potekati v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe. Pravna podlaga je lahko sledeča:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ker gre v konkretnem primeru tudi za obdelavo posebnih vrst osebnih podatkov (med katere sodijo podatki v zvezi z zdravjem posameznikov), je treba upoštevati tudi določbe 9. člena Splošne uredbe. Ta na splošno prepoveduje obdelavo posebnih vrst podatkov, izjemoma jo dovoljuje, če je izpolnjen kateri izmed pogojev iz drugega odstavka 9. člena.

Privolitev je le ena od šestih pravnih podlag za zakonito obdelavo, kot jih določa 6. člen Splošne uredbe, pri čemer mora zadostiti štirim zahtevam, in sicer mora biti: prostovoljna, specifična, informirana ter nedvoumna. Določitev ustrezne pravne podlage je naloga upravljavca. Prostovoljna je takrat, kadar ima posameznik resnično izbiro in nadzor nad svojimi osebnimi podatki, ob čemer ne sme čutiti prisile ali negativnih posledic, če privolitve ne poda. Prav tako ne sme biti postavljen v situacijo, ko privolitve ne more zavrniti ali preklicati, brez morebitnih sankcij oz. škodnih posledic. Ko obdelava podatkov vključuje več namenov, potem mora biti privolitev dana za vsak namen posebej (upravljavec mora pridobiti več ločenih privolitev oz. ločenih soglasij za vsako obdelavo posebej).

Poleg 6. in 9. člena je pomembno, da upravljavec podatkov upošteva temeljna načela varstva osebnih podatkov, ki so opredeljena v 5. členu Splošne uredbe. Gre za načela, ki zahtevajo, da se podatke obdeluje pošteno, pregledno in na zakoniti pravni podlagi, da se podatke obdeluje le za določene, izrecne in zakonite namene, da se zbira le tiste podatke, ki so ustrezni, relevantni in omejeni na namena zbiranja, da so zbrani podatki točni in ažurni in da niso hranjeni dalj časa, kot je potrebno za izpolnitev namena zbiranja. Prav tako je treba podatke obdelovati skladno z načelom celovitosti in zaupnosti, v skladu s katerim naj se podatki obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno in nezakonito obdelavo z ustreznimi tehničnimi in organizacijskimi ukrepi. Upravljavec je v skladu z načelom odgovornosti (in 24. členom) dolžan biti zmožen skladnost s Splošno uredbo izkazati.

Nadalje glede uporabe MS Teams za komunikacijo s pacienti pojasnjujemo, da bi šlo pri tem najverjetneje za pogodbeno obdelavo. V skladu z definicijo iz osme točke 4. člena Splošne uredbe je obdelovalec fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca. Obdelovalec torej deluje po navodilih upravljavca, ki določa namene in sredstva obdelave. Skladno z načelom odgovornosti pa je upravljavec tisti, ki je odgovoren za skladnost obdelave podatkov z zahtevami Splošne uredbe ter mora to skladnost tudi dokazati. Poleg tega mora upravljavec izbrati obdelovalca, ki zagotavlja zakonito obdelavo podatkov in spoštuje pravice posameznikov, katerih podatki se obdelujejo. Obdelavo s strani obdelovalca mora urejati pogodba ali drug pravni akt v skladu s Splošno uredbo, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Pogodba mora imeti sestavine, ki jih podrobneje ureja tretji odstavek 28. člena Splošne uredbe.

Nadalje pojasnjujemo, da v kolikor se podatki prenašajo v tretjo državo (npr. na strežnike v ZDA ali če imajo materinske družbe iz ZDA dostop do podatkov, ki se nahajajo v EU), mora biti pri prenosu osebnih podatkov izven EU zagotovljena raven varstva osebnih podatkov, ki je v bistvu enakovredna ravni v EU. Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna: s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih. Kadar sklep o ustreznosti ni sprejet ali je bil razveljavljen, lahko upravljavec ali obdelovalec na podlagi 46. člena Splošne uredbe podatke prenese v tretjo državo pod pogojem, da je predvidel ustrezne zaščitne ukrepe ter da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva. Izvoznik in uvoznik morata pred prenosom osebnih podatkov na podlagi ustreznih zaščitnih ukrepov oceniti, ali ti tudi dejansko zagotavljajo jamstva, ki ustrezajo ravni varstva v EU in v nasprotnem primeru sprejeti dopolnilne zaščitne ukrepe (glede dopolnilnih zaščitnih ukrepov so relevantna predvsem priporočila Evropskega odbora za varstva podatkov, dostopna na: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en).

Za ZDA je Evropska komisija sprejela sklep o ustreznosti varstva osebnih podatkov na podlagi okvira za varstvo zasebnosti podatkov med EU in ZDA (angl. Data Privacy Framework). Iz sklepa izhaja, da ZDA zagotavljajo ustrezno raven varstva za tiste osebne podatke, ki se iz EU prenašajo v ameriška podjetja v skladu z novim okvirjem za varstvo zasebnosti podatkov. Podjetja, ki so samocertificirana v okviru sporazuma so navedena na seznamu: https://www.dataprivacyframework.gov/list. Glede na trenutne politične razmere v ZDA je smiselno spremljati dogajanje na tem področju.

Na koncu IP opozarja na obveznosti, ki jih ima upravljavec osebnih podatkov v zvezi z varnostjo obdelave iz člena 32 Splošne uredbe ter s seznanitvijo posameznikov z informacijami iz člena 13 in 14 Splošne uredbe. Prav tako bi bilo v konkretnem primeru morda treba izvesti oceno učinka v zvezi z varstvom podatkov (DPIA) skladno s členom 35 Splošne uredbe. V primeru, ko je iz ocene učinka v zvezi z varstvom podatkov razvidno, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja, pa se mora upravljavec pred obdelavo še posvetovati z IP, kot to zahteva člen 36 Splošne uredbe. Podrobnejši opis ocen učinkov v zvezi z varstvom podatkov kot orodja za pravočasno identifikacijo in upravljanje tveganj v povezavi z osebnimi podatki, obrazložitev zakonskih določb ter odgovori na vprašanja, kdo, kdaj, zakaj in kako naj izvede oceno učinkov, so podani v smernicah IP, ki so dostopne na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf. Seznam dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov in ga je pripravil IP, pa je dostopen tu: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf.

Zaključno IP poudarja, da mora upravljavec osebnih podatkov sam oceniti, ali izbrani obdelovalec in uporabljene tehnologije izpolnjujejo vse zahteve Splošne uredbe glede na konkretne okoliščine obdelave. Sklenitev pogodbe z MS Teams kot obdelovalcem mora temeljiti na skrbnem pregledu tehničnih in organizacijskih ukrepov ter skladnosti z zahtevami glede prenosa podatkov.

Lepo vas pozdravljamo.

dr. Jelena Virant Burnik,

informacijska pooblaščenka