Obseg uporabe 23. člena ZVOP-2

Datum

29.08.2023

Številka

07121-1/2023/1063

Kategorije

Posebne vrste OP, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede razlage določbe 23. člena ZVOP-2 in sicer vas zanima, ali je v primeru iz 1. točke prvega odstavka tega člena (tj. kadar se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc) bistveno tudi vprašanje, ali gre pri tem za obsežno obdelavo. Ali pa je takšna obdelava osebnih podatkov v vsakem primeru (tj. tudi če ne gre za obsežno obdelavo) podvržena posebnim pravilom, ki jih določa 23. člen ZVOP-2?

Zanima vas, ali se za upravljavce, ki izvajajo obdelavo osebnih podatkov, določenih v zakonu, ki ureja področje zdravstvenega varstva oz. obveznega zdravstvenega zavarovanja, ne glede na obseg obdelave, prav tako smiselno uporablja 23. člen ZVOP-2. In posledično, ali zanje velja tudi določba 45. člena ZVOP-2. Konkretno imate fizioterapevta, ki svoje delo deloma opravlja na podlagi koncesije (delo opravlja sam oz. občasno zaposluje manjše število delavcev) in ima manj kot 10.000 pacientov (ker gre v tem primeru za situacijo iz 4. točke 1. odstavka 23. člena ZVOP-2). Ali zanj veljata 23. in 45. člen ZVOP-2?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP meni, da so izvajalci zdravstvene dejavnosti zavezanci po 1. točki prvega odstavku 23. člena ZVOP-2, saj se v njihovih informacijskih sistemih izvajajo obdelave osebnih podatkov, ki so določene v zakonih, ki urejajo področje zdravstvenega varstva (npr. Zakon o zdravstveni dejavnosti, Zakon o zbirkah podatkov s področja zdravstvenega varstva itd.).

Obrazložitev

Prvi odstavek 23. člena ZVOP-2 glede varnosti osebnih podatkov na področju posebnih obdelav določa, da se za informacijske sisteme, v katerih:

1.se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali

2.se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona, ali

3.upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali

4.se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov,

smiselno uporabljajo določbe o varnostnih zahtevah in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki se nanašajo na izvajalce bistvenih storitev, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost.

IP meni, da se določbe prvega odstavka, na katere se kasneje navezujejo tudi določbe preostalih odstavkov 23. člena ZVOP-2, primarno nanašajo na posebej pomembne zbirke osebnih podatkov na določenih področjih, ki so še posebej pomembna za državo, kot so recimo zdravstvo, obramba in notranje-upravne zadeve. Gre za določene zbirke, ki so zaradi svoje velikosti, podatkov, ki se v njej obdelujejo ali drugih lastnosti, posebej občutljive, zato se zanje določa poseben sistem varovanja. Za izvajalce zdravstvene dejavnosti (javni zavodi, gospodarske družbe s koncesijo, zdravniki zasebniki s koncesijo), ki opravljajo zdravstvene storitve v okviru javne zdravstvene mreže je treba njihovo zavezanost po 23. členu treba preveriti predvsem z vidika njihovih lastnih informacijskih sistemov, s katerimi upravljajo.

23. člen se z vidika zdravstva po mnenju IP nanaša na informacijske sisteme, v katerih se izvajajo obdelave osebnih podatkov, določene v zakonih, ki urejajo področja zdravstvenega varstva in obveznega zdravstvenega zavarovanja[1] – konkretno gre torej za Zakon o zdravstvenem varstvu in zdravstvenem zavarovanju (Uradni list RS, št. 72/06 – uradno prečiščeno besedilo, s spremembami in dopolnitvami), vendar pa – kot tudi sami pravilno ugotavljate, 1. točka prvega odstavka 23. člena ne vsebuje izrecnih izjem ali kriterijev glede obsežnosti obdelave.

Glede na dikcijo 1. točke prvega odstavka 23. člena ZVOP-2 menimo, da so izvajalci zdravstvene dejavnosti zavezanci po 1. točki prvega odstavka 23. člena ZVOP-2, saj se v njihovih informacijskih sistemih izvajajo obdelave osebnih podatkov, ki so določene v zakonih, ki urejajo področje zdravstvenega varstva (npr. Zakon o zdravstveni dejavnosti, Zakon o zbirkah podatkov s področja zdravstvenega varstva itd.), ZVOP-2 pa v tej točki ne določa izjem glede (ne)obsežnosti obdelave osebnih podatkov. Posledično velja tudi dolžnost imenovanja pooblaščene osebe za varstvo osebnih podatkov po prvem odstavku 45. člena ZVOP-2.

S spoštovanjem,

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka

Pripravil

mag. Andrej Tomšič, namestnik informacijske pooblaščenke

---

[1]Nomotehnično zakoni v ZVOP-2 niso konkretno poimenovani, da to ne bi terjalo vsakokratnih popravkov zakona ob morebitnih spremembah poimenovanj zakonov ali njihovega obsega.