Obdelava in hramba podatkov, povezanih z zdravjem, v oblačni rešitvi znotraj EU

Datum

17.10.2024

Številka

07121-1/2024/1263

Kategorije

Ocene učinkov v zvezi z varstvom podatkov, Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Varnost osebnih podatkov, Zdravstveni osebni podatki

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Pojasnili ste, da ste ponudnik programske opreme in storitev s področja medicinske informatike in da ste v procesu prenove spletne aplikacije oziroma portala, ki je namenjen za naročanje na termine, oddajo zahtevkov in vpogled v osebne zdravstvene podatke preteklih naročil in obravnav uporabnikom (pacientom), ki se vanj prijavijo z osebnim certifikatom preko storitve SI-PASS.

Podatki uporabnikov so hranjeni na lokaciji zdravstvenih ustanov, torej v Sloveniji, API in frontend aplikacije pa bi želeli gostovati v oblaku preko portala določenega ponudnika, ki v Sloveniji sicer nima strežnikov, so pa le-ti znotraj EU. Podatki, ki so s certifikatom prijavljenim uporabnikom posredovani in so nujni za pravilno delovanje aplikacije, niso trajno hranjeni v oblaku, ampak le v začasni seji znotraj brskalnika uporabnika, v oblaku se le obdelujejo. Podatki, hranjeni v lokalni hrambi so: ime in priimek, EMŠO, e-poštni naslov in številka mobilnega telefona. Ti podatki se začasno hranijo in obdelujejo samo v primeru prijave z osebnim certifikatom, do odjave uporabnika ali pretečene seje 30 minut. Za neprijavljene uporabnike se ne hranijo nobeni podatki. Poleg teh podatkov obdelujete tudi podatke, ki jih uporabnik vpiše v sporočilih svojim zdravnikom (ti se posredujejo najprej od brskalnika do API-ja in nato po omrežju do servisa na lokaciji zdravstvene ustanove):

·naročilo eRecepta,

·naročilo eNapotnice,

·naročilo bolniškega lista,

·naročilo medicinsko tehničnega pripomočka,

·sporočilo zdravniku,

·prošnja za termin,

·naročilo v čakalno vrsto.

ter podatke, ki jih servis pošlje preko omrežja na API in potem do brskalnika, ko uporabnik želi pregledati pretekla naročila:

·pregled bolniških staležev,

·pregled zdravil,

·pregled medicinsko tehničnih pripomočkov,

·pregled napotnic,

·pregled terminov,

·pregled komunikacije z zdravniki.

Ti podatki bi se pošiljali od izvajalca do uporabnika oz. njegovega brskalnika preko Azure strežnika (torej izven Slovenije, ampak znotraj EU), vendar se tam le obdelujejo v namene prikaza uporabnikom, ne pa tudi hranijo.

Vsa komunikacija bo potekala po kriptiranih kanalih po veljavnih varnostnih standardih.

Zaprošate nas za mnenje, ali je takšen pristop skladen s trenutno zakonodajo in na kaj morate biti posebej pozorni, da zakonodaje ne bi kršili.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Uvodoma moramo izpostaviti, da se IP v okviru nezavezujočih mnenj ne more in ne sme opredeljevati, ali je določena obdelava osebnih podatkov zakonita oziroma skladna z zakonodajo o varstvu osebnih podatkih, temveč lahko izven uradnega inšpekcijskega postopka podamo le nezavezujoče mnenje na osnovi informacij, ki in kot so nam bile predstavljene.

Glede na to, da gre za obdelavo osebnih podatkov, povezanih z zdravjem, morate biti posebej pozorni na zahteve zakonodaje o varstvu osebnih podatkov, ki se nanašajo na posebne vrste osebnih podatkov. Pravne podlage za obdelavo tovrstnih osebnih podatkov določa 9. odstavek Splošne uredbe, glede na to, da ste, če prav razumemo, v vlogi obdelovalca, ki nudi svoje programske rešitve izvajalcem zdravstvenih storitev, pa vašo pravno podlago črpate iz pogodbe, ki mora biti sklenjena med vami in naročnikom in mora ustrezati zahtevam 28. člena Splošne uredbe. Več o ureditvi pogodbene obdelave si lahko preberete na naši podstrani, kjer je na voljo tudi vzorec takšne pogodbe:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/pogodbena-obdelava.

Pozorni pa morate biti tudi na zahteve ZVOP-2, kot pojasnjujemo v nadaljevanju.

Kot smo zapisali v mnenju št. 07120-1/2023/239 IP meni, da so izvajalci zdravstvene dejavnosti, ki opravljajo zdravstvene storitve v okviru javne zdravstvene mreže zavezanci po 1. in 3. točki prvega odstavka 23. člena ZVOP-2, saj se v njihovih informacijskih sistemih glede na naravo njihove dejavnosti izvajajo obdelave osebnih podatkov, ki so določene v zakonih, ki urejajo področje zdravstvenega varstva oz. obsežne obdelave posebnih vrst osebnih podatkov. 1. odstavek 23. člena ZVOP-2 za zavezance zahteva, da za zadevne informacijske sisteme, smiselno uporabljajo določbe o varnostnih zahtevah in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost (t.j. Zakon o informacijski varnosti), ki se nanašajo na izvajalce bistvenih storitev, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost.

Dalje morate biti pozorni na zahtevo tretjega odstavka 23. člena ZVOP-2, ki določa, da če se po prvem odstavku tega člena obdelujejo biometrični osebni podatki, zdravstveni osebni podatki ali podatki iz kazenskih in prekrškovnih evidenc in obdelavo izvajajo državni organi, samoupravne lokalne skupnosti, javne agencije, javni zavodi, javna podjetja, izvajalci javnih služb ali nosilci javnih pooblastil, je prepovedana hramba, pri kateri fizična lokacija hrambe teh podatkov ni znana v vseh fazah hrambe in obdelave. Menimo, da mora ta zahteva smiselno veljati tudi v primeru, ko se npr. javni zavod odloči, da bo določen del obdelave podatkov poveril pogodbenemu obdelovalcu, sicer ne bi bil dosežen namen zakonodajalca po višjih zahteva varovanja posebnih obdelav oziroma posebnih vrst osebnih podatkov.

Prav tako pa morate biti pozorni na zahtevo četrtega odstavka 23. člena, po kateri zbirk osebnih podatkov iz 1. točke prvega odstavka 23. člena ni dovoljeno hraniti izven ozemlja Republike Slovenije.

Obrazložitev k četrtemu odstavku 23. člena ZVOP-2 izhaja iz Vladnega gradiva[1] z argumentacijo, da »za določene najpomembnejše zbirke osebnih podatkov javnega sektorja Republike Slovenije ni dovoljena hramba izven Republike Slovenije. V tem primeru gre zlasti za ti. državotvorne zbirke (iz javnega sektorja) in bistven javni interes, in se pravila prostega pretoka osebnih podatkov na področju njihove hrambe ne morejo uporabljati«. Navedena zahteva je predvidoma nastala kot odziv na nekatere varnostne incidente iz drugih držav, kjer so se tudi t.i. državotvorne zbirke v celoti znašle v zasebnih, komercialnih rokah in tako bistveno ogrozile varnostne in druge interese teh držav. Vendar pa je treba določbo po mnenju IP razlagati tako, da ne pomeni prepovedi vsakega prenosa podatkov o zdravju čez meje Republike Slovenije, saj bi to v praksi povzročilo nemalo zelo resnih težav (npr. pri uveljavljanju zdravstvenih storitev ali zdravstvenega zavarovanja v tujini itd.), temveč je po mnenju IP to določbo treba razlagati predvsem v smislu, da ni dopustno celotne baze podatkov o zdravju, hraniti izven ozemlja Republike Slovenije, posamezni dostopi in prenosi osebnih podatkov čez meje Republike Slovenije pa niso prepovedani s to določbo. Zakonodajalec izrecno uporabi izraz »hraniti« in ne širšega izraza »obdelovati«. Kot razberemo iz vašega zaprosila je takšen tudi vaš cilj, torej da bi se navedeni podatki v posameznem primeru pošiljali od izvajalca do uporabnika oz. njegovega brskalnika preko Azure strežnika (torej izven Slovenije, ampak znotraj EU), vendar se tam le obdelujejo v namene prikaza uporabnikom, ne pa tudi hranijo. Da tudi v praksi dejansko ne pride do nedovoljene hrambe izven ozemlja Republike Slovenije pa je končno odgovornost upravljavca osebnih podatkov oz. glede na vsebino pogodbenega razmerja z obdelovalcem in konkretne okoliščine primera.

Glede na to, da gre po vsej verjetnosti za rešitev, ki jo bo uporabljalo večje število izvajalcev zdravstvenih storitev vas še opozarjamo, da morajo slednji zelo verjetno izvesti oceno učinka glede varstva osebnih podatkov glede na sprejete kriterije, kdaj je tovrstna ocena učinka obvezna[2]. Več informacij o tem, vključno s smernicami glede izvedbe ocene učinka najdete na povezavi:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/ocena-u%C4%8Dinka-v-zvezi-z-varstvom-podatkov/

Oceno učinka izvede upravljavec (torej naročnik), seveda pa mu pri tem s potrebnimi informacijami mora pomagati obdelovalec. Ocena učinka je tudi primerno orodje, s katerim se naslovi tveganja, med katere sodi tudi izpolnjevanje zgoraj omenjenih zahtev, obenem pa opozarjamo na vlogo pooblaščenih oseb za varstvo osebnih podatkov, ki jih praktično morajo imeti vsi izvajalci zdravstvenih storitev, in sicer naj bi pomagale pri izbiri metodologiji in podale mnenje na ocene učinka.

Lepo vas pozdravljamo,

dr. Jelena Virant Burnik, Informacijska pooblaščenka

Pripravil

mag. Andrej Tomšič, namestnik informacijske pooblaščenke

---

[1]Vlada RS, Predlog amandmajev k Predlogu Zakona o varstvu osebnih podatkov (ZVOP-2), EPA 0189-IX, ki ga je Državnemu zboru RS predložila Vlada RS – predlog za obravnavo številka: IPP 007-87/2019 (EVA 2018-2030-0045), 21. november 2022, https://e-uprava.gov.si/drzava-in-druzba/e-demokracija/predlogi-predpisov/predlog-predpisa.html?id=10208.

[2]https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf