Množično pošiljanje SMS sporočil pacientom glede kontaktnih podatkov v CRPP

Datum

06.11.2024

Številka

07120-1/2024/376

Kategorije

Informiranje posameznika, Ocene učinkov v zvezi z varstvom podatkov, Pravne podlage, vgrad, Varnost osebnih podatkov, Zdravstveni osebni podatki

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za usmeritve. Navajate, da želite kot upravljavec Centralnega registra podatkov o pacientih (CRPP) to zbirko uveljaviti kot enoten vir kakovostnih kontaktnih podatkov pacientov za potrebe komuniciranja v kontekstu zdravstvene obravnave. Zato v okviru upravljanja CRPP uvajate novo informacijsko rešitev, ki omogoča zapis in urejanje e-naslovov in mobilnih številk na enem mestu. Obstoječe kontaktne podatke nameravate uvoziti iz sistema SI-PASS, v naslednji fazi pa urediti podatke, ki se v CRPP že nahajajo in so bili pridobljeni na podlagi izvedenih testiranj na Covid-19. Glede na dejstvo, da so slednji zaradi množičnosti testiranj lahko nepravilni, bi želeli pacientom omogočiti, da kontaktni podatek potrdijo, zato bi jim poslali SMS sporočila s to možnostjo in povezavo do podrobnejših informacij o obdelavi osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Odgovornost za zakonito in varno obdelavo osebnih podatkov je na upravljavcu. Preverjanje točnosti kontaktnih podatkov pacientov s strani NIJZ ima najverjetneje ustrezno pravno podlago v Splošni uredbi in ZZPPZ, vendar pa mora upravljavec zagotoviti tudi ustrezne varnostne ukrepe, posameznike informirati o obdelavi ter spoštovati vsa načela v zvezi z obdelavo osebnih podatkov.

Glede na predlagano množično pošiljanje SMS IP svetuje izdelavo ocene učinka v zvezi z varstvom podatkov, saj je to najbolj primeren način za celovito obravnavo tveganj iz naslova varstva osebnih podatkov.

Obrazložitev

IP uvodoma opozarja, da je odgovornost za zakonito obdelavo osebnih podatkov na strani upravljavca, ki mora biti zakonitost obdelave tudi zmožen dokazati. V mnenju lahko IP poda le splošne usmeritve, saj skladnosti posameznih obdelav s predpisi na področju varstva osebnih podatkov ne more presojati izven konkretnih nadzornih postopkov. Zaradi tega vam tudi ne more podati konkretnih napotkov, kaj natančno morate še storiti pri pripravi postopka, v katerem bi preverjali kontaktne podatke pacientov v CRPP.

Ob načelni dopustnosti preverjanja telefonskih številk konkretna opredelitev IP do primernosti izvedbe preverjanja ni možna tudi zato, ker še ni jasno, kakšna bo konkretna vsebina SMS sporočila in kakšen bo mehanizem potrjevanja s strani naslovnikov.

Iz vašega dopisa izhaja, da ocenjujete, da je namen preverjanja oziroma potrditve kontaktnih številk pacientov skladen s strateškim ciljem izboljšanja sodelovanja med zdravniki in pacienti. Prav tako ste prepričani, da ustreza zahtevam Splošne uredbe glede ažurnosti ter temelji na nacionalnih zakonskih določbah. IP na načelni ravni meni, da je pravna podlaga za predlagano obdelavo podatkov podana v Zakonu o zbirkah podatkov s področja zdravstvenega varstva (Uradni list RS, št. 65/00, s spremembami in dopolnitvami; ZZPPZ), kot ste natančneje predstavili, vendar dokončne ocene o tem v mnenju ne more podati. Izbira pravilne pravne podlage za obdelavo, ki upošteva konkretne okoliščine in namen, je namreč v domeni upravljavca.

Poleg izbire ustrezne pravne podlage mora upravljavec za skladnost obdelave podatkov s Splošno uredbo zagotoviti tudi ustrezno raven varnosti, prilagojeno stopnji tveganja. To vključuje tehnične in organizacijske ukrepe, kot jih določata na primer 25. in 32. člen Splošne uredbe. Upravljavec mora oceniti morebitna tveganja za pravice in svoboščine posameznikov ter implementirati ustrezne varnostne ukrepe, ki zmanjšujejo ta tveganja ter varujejo podatke pred nepooblaščenim dostopom, izgubo ali zlorabo. Pri obdelavi, ki vključuje množično obveščanje, kot je pošiljanje SMS sporočil, je skrbno načrtovanje teh ukrepov ključno za zagotavljanje skladnosti in varnosti obdelave. Prav tako mora upravljavec spoštovati vsa druga načela s področja varstva osebnih podatkov (5. člena Splošne uredbe) in zagotoviti ustrezno informiranje posameznikov (13. in 14. člen Splošne uredbe).

Glede na množičnost predlagane obdelave osebnih podatkov vam IP svetuje, da presodite, če je v obravnavani situaciji obvezna izdelava ocene učinka v zvezi z varstvom podatkov (35. člen Splošne uredbe in 24. člen ZVOP-2), bi bila pa po mnenju IP izdelava take ocene učinka v opisanem primeru vsaj smiselna, saj je to najbolj primeren način za celovito obravnavo tveganj iz naslova varstva osebnih podatkov. Priporočila za izdelavo ocene učinka so vsebovana:

-v smernicah IP o ocenah učinkov (https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-ocene-učinkov-na-varstvo-osebnih-podatkov);

-v infografiki IP »Ustreznost DPIA in priporočila glede ocen učinkov« (https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/Infografika%20-%20Ustreznost%20DPIA%20in%20priporočila.pdf);

-na spletni strani IP o oceni učinka v zvezi z varstvom podatkov (https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/ocena-učinka-v-zvezi-z-varstvom-podatkov/).

Lepo vas pozdravljamo,

Pripravila

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

dr. Jelena Virant Burnik, informacijska pooblaščenka