- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Dostop do kartotečnih omar
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Dostop do kartotečnih omar
Datum
21.10.2025
Številka
07120-1/2025/462
Kategorije
Zdravstveni osebni podatki, Varnost osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je dne 15. 9. 2025 po e-pošti prejel vaš dopis. Navajate, da je v zdravstvenem domu pediatrinja zaprla prostor, v katerem se nahajajo kartotečne omare o njenih pacientih. Ključ posedujejo zgolj zaposleni v njeni ambulanti. Težava nastane v primerih, ko gre za nadomeščanje in se za nujne primere občasno potrebuje dostop do kartoteke, česar pa zdravnica ne dovoli. Zanima vas, ali lahko zdravnica to prepove in ali se lahko v javnem zdravstvenem zavodu kolegom prepove vpogled v kartoteko.
* * *
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22 in 40/25 – ZInfV-1, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Vsak upravljavec (konkretno izvajalec zdravstvene dejavnosti) mora sprejeti ustrezne tehnično-organizacijske ukrepe za zavarovanje osebnih podatkov (24., 25. in 32. člen Splošne uredbe) in mora biti zmožen dokazati, da obdelava osebnih podatkov poteka skladno s Splošno uredbo. Upravljavec mora poskrbeti, da so osebni podatki strogo varovani in da ne pride do nepooblaščenega vpogleda v podatke, zato mora med drugim določiti nabor oseb, ki se lahko s podatki seznanijo zaradi opravljanja svojega dela. Katere osebe so upravičene do dostopa do podatkov, je stvar notranje organizacije pri upravljavcu, vsekakor pa je smiselno, da se tak dostop dovoli zdravniku, če podatke potrebuje zaradi zdravstvene obravnave.
Obrazložitev
Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. Konkretnega odgovora na vaše vprašanje vam IP ne more podati, saj je določanje primernih ukrepov za zavarovanje osebnih podatkov v konkretnem primeru odgovornost upravljavca, ki jo lahko IP presoja zgolj v inšpekcijskem postopku; v okviru nezavezujočega mnenja vam tako podajamo zgolj splošne usmeritve in priporočila.
Pojasnjujemo, da mora vsak upravljavec sprejeti ustrezne tehnično-organizacijske ukrepe za zavarovanje osebnih podatkov (24., 25. in 32. člen Splošne uredbe) in mora biti zmožen dokazati, da obdelava osebnih podatkov poteka skladno s Splošno uredbo.
Skladno z 32. členom Splošne uredbe, upravljavec z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotovi ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:
(a)psevdonimizacijo in šifriranjem osebnih podatkov;
(b)zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
(c)zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
(d)postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.
Pri določitvi primernih ukrepov in določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
Splošna uredba je glede varnosti podatkov torej tehnološko nevtralna in ne predpisuje točno določenega nabora varnostnih rešitev. Upravljavec mora poskrbeti za ustrezno varnost pri obdelavi osebnih podatkov skladno z zgoraj opredeljenimi tveganji, ki izhajajo iz konkretnih okoliščin obdelave osebnih podatkov. Izpostavljamo, da mora zdravstveno osebje še posebej paziti na varnostne ukrepe, na primer da se zdravstvene kartoteke ne nahajajo v odklenjenih ali celo odprtih omarah na hodnikih, kjer bi lahko prišlo do nepooblaščenega vpogleda. Prav tako je treba paziti na dopustnost pretoka podatkov med zdravstvenim osebjem, npr. s pisnim določanjem pooblastil oziroma uporabniških pravic zaposlenih za dostop in drugo uporabo zbirk osebnih podatkov, katerih upravljavec je delodajalec. Podatke o zdravstvenem stanju posameznika je dopustno razkriti le tistim zdravstvenim delavcem, ki so vključeni v proces zdravljenja ali so za seznanitev oziroma drugo vrsto obdelave izrecno pooblaščeni. Kot je IP poudaril v izdanem mnenju št. 07120-1/2024/53 z dne 12. 2. 2024, konkretne delovne potrebe za posameznega zaposlenega izhajajo iz različnih dokumentov, na primer iz sistemizacije delovnih mest, pogodbe o zaposlitvi, pisnih navodil, razporedov del, seznamov dodeljenih nalog v reševanje, specialnih pooblastil za določene naloge. Katere osebe so upravičene do dostopa do podatkov, je stvar notranje organizacije pri upravljavcu, vsekakor pa je smiselno, da se tak dostop dovoli zdravniku, če podatke potrebuje zaradi zdravstvene obravnave.
V zvezi z dostopom do zdravstvene dokumentacije v Centralnem registru podatkov o pacientih (CRPP) vam predlagamo, da se seznanite tudi z mnenjem št. 07121-1/2024/431 z dne 18. 4. 2024. V mnenju smo izpostavili, da lahko zdravnik v CRPP, ki je sicer v upravljanju NIJZ, dostopa do pacientovih izvidov, ki so s strokovnega vidika lahko pomembni za tekočo zdravstveno oskrbo pacienta. Kljub temu so nekateri dostopi v CRPP že tehnično omejeni, na primer dostopi do dokumentov s področja klinične genetike, ginekologije in porodništva ter duševnega zdravja. Vsak konkretni dostop je treba presojati individualno in ob upoštevanju konkretnih okoliščin primera, zlasti pa je treba z medicinskega vidika oceniti, ali je bil dostop potreben za izvedbo kakovostne, primerne in varne zdravstvene oskrbe pacienta.
Več o ukrepih za zavarovanje osebnih podatkov si lahko preberete v Smernicah IP Zavarovanje osebnih podatkov, ki so dostopne na:
https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf (predvsem stran 24), nasveti za upravljavce pa so dostopni tudi na spletni strani upravljavec.si, npr. glede zavarovanja osebnih podatkov na povezavi https://upravljavec.si/zagotovite-varnost/.
V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.
dr. Jelena Virant Burnik,
informacijska pooblaščenka
Pripravila:
Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo
---
Financira Evropska unija. Izražena stališča in mnenja so izključno mnenja avtorja in ne odražajo nujno stališč in mnenj Evropske unije ali Evropske komisije. Niti Evropska unija niti organ, ki dodeljuje sredstva, zanje ne odgovarjata.