Izpis vpogledov v zdravstveni karton

Datum

11.06.2024

Številka

07121-1/2024/680

Kategorije

Pravica do seznanitve z lastnimi osebnimi podatki, Zdravstveni osebni podatki

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Zaradi suma nepooblaščenih vpogledov v vašo e-kartoteko vas zanima, kje in kako lahko zaprosite za izpis vseh vpogledov vanjo.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Pravica do dostopa do osebnih podatkov po 15. členu Splošne uredbe omogoča pridobitev določenih informacij o obdelavi osebnih podatkov, med drugim o namenu obdelave in uporabnikih ali kategorijah uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki.

Ta pravica pa načeloma ne vključuje informacije o identiteti zaposlenih, ki so vpogledali v posameznikove osebne podatke, razen:

-če zaposleni deluje izven vodstva upravljavca in prekorači njegova navodila, kar ga postavi v vlogo uporabnika, ali

-če so informacije nujne za učinkovito uveljavljanje pravic, zlasti za preverjanje zakonitosti, ob upoštevanju pravic in svoboščin zaposlenih.

Zahtevo za dostop do osebnih podatkov posameznik vloži pri upravljavcu, za katerega meni, da obdeluje osebne podatke, ki se nanašajo nanj.

Obrazložitev

Pravica posameznika do seznanitve z lastnimi osebnimi podatki je temeljna človekova pravica, določena v tretjem odstavku 38. člena Ustave Republike Slovenije (Uradni list RS, št. 33/91-I, s spremembami in dopolnitvami), ki predpisuje, da se ima vsakdo pravico seznaniti z zbranimi osebnimi podatki, ki se nanašajo nanj. Ta pravica, poimenovana kot pravica dostopa posameznika, na katerega se nanašajo osebni podatki, je konkretizirana v 15. členu Splošne uredbe, ki določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti 1) potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, 2) dostop do osebnih podatkov in 3) določene informacije o obdelavi osebnih podatkov, med drugim o namenu obdelave in uporabnikih ali kategorijah uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki.

Namen pravice do dostopa je omogočiti posamezniku, na katerega se nanašajo osebni podatki, razumeti obdelavo osebnih podatkov in posledice takšne obdelave, preveriti njeno zakonitost in točnost obdelanih podatkov ter druge vidike obdelave v skladu s Splošno uredbo. Kot izhaja iz sodbe Sodišča EU v zadevi št. C-579/21 z dne 22. junija 2023 (Pankki S), pravica do dostopa zato načeloma ne vključuje informacije o identiteti zaposlenih, ki so vpogledali v posameznikove osebne podatke, razen:

-če zaposleni deluje izven vodstva upravljavca in prekorači njegova navodila, kar ga postavi v vlogo uporabnika, ali

-če so informacije nujne za učinkovito uveljavljanje pravic, zlasti za preverjanje zakonitosti, ob upoštevanju pravic in svoboščin zaposlenih.

IP pojasnjuje, da se zahteva za dostop do osebnih podatkov vloži pri upravljavcu, za katerega posameznik meni, da obdeluje njegove osebne podatke. Obdelavo predstavlja tudi priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa do osebnih podatkov. Upravljavec Centralnega registra podatkov o pacientih (CRPP) je NIJZ. Če pa sumite, da se nezakoniti vpogledi vršijo v okviru vašega delodajalca, lahko zahtevo vložite tudi pri njem.

Postopkovna pravila so urejena v 11. in 12. členu Splošne uredbe, kjer je predpisan rok za odgovor upravljavca en mesec po prejemu zahteve, nekatere postopkovne določbe pa vsebuje tudi ZVOP-2 v členih od 12 do 21. Skladno s 14. členom ZVOP-2 upravljavci, ki niso državni organi ali samoupravne lokalne skupnosti, o zahtevi praviloma odločijo s pisnim obvestilom. Odločitev mora vsebovati razloge in informacijo o pravici do pritožbe pri nadzornem organu (IP) v roku 15 dni od seznanitve z odločitvijo po določbah točke f) prvega odstavka 15. člena Splošne uredbe. Odločitev ima lahko obliko uradnega zaznamka, ki se pošlje posamezniku na način, ki omogoča seznanitev z odločitvijo in dokazovanje njenega prejema. Zoper molk upravljavca (tj. če posamezniku ne odgovori v enomesečnem ali v izjemoma podaljšanem roku) ali zoper zavrnilni odgovor upravljavca je mogoča pritožba oziroma prijava, za reševanje katere je pristojen IP. Ta se rešuje v »postopku na podlagi prijave prijavitelja s posebnim položajem« in poteka po pravilih ZVOP-2 (30. do 34. člen) in ZUP ter v skladu s preiskovalnimi pooblastili IP iz Splošne uredbe.

Pri vložitvi zahteve za dostop do osebnih podatkov pri upravljavcu in v primeru vložitve morebitne prijave pri IP si lahko pomagate z obrazci, ki so dostopni na spletni strani: https://www.ip-rs.si/obrazci/.

Lepo vas pozdravljamo,

Pripravila

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka