Dodatna vprašanja glede nedovoljene obdelava osebnih podatkov pacientov

Datum

17.03.2023

Številka

07120-1/2023/142

Kategorije

Zdravstveni osebni podatki, Pravne podlage

Pri Informacijskem pooblaščencu (IP) smo 9. 3. 2023 prejeli vaše zaprosilo za dodatna pojasnila glede ustreznega postopanja v primeru nedovoljene obdelave osebnih podatkov pacientov na podlagi Zakona o pacientovih pravicah. Zanima vas, v katerem primeru morate na podlagi 46. člena Zakona o pacientovih pravicah obvestiti pacienta, pristojnega zastopnika pacientovih pravic in Informacijskega pooblaščenca? Sprašujete tudi, ali morate o uvedbi internega postopka obvestiti tudi zdravstvenega delavca, zdravstvenega sodelavca ali drugo osebo, ki naj bi nedovoljeno obdeloval osebne podatke pacientov?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1. Izvajalci zdravstvene dejavnosti morajo na podlagi 46. člena ZPacP obvestiti pacienta, pristojnega zastopnika pacientovih pravic in Informacijskega pooblaščenca o izvedbi in ugotovitvah vseh internih postopkov ugotavljanja odgovornosti za nepooblaščeno obdelavo podatkov, ne glede na to, ali je bila ugotovljena kršitev varstva osebnih podatkov ali ne.

2. ZPacP ne ureja vprašanja, ali ter pod katerimi pogoji lahko informacije o ugotovitvah internega postopka ugotavljanja odgovornosti za nepooblaščeno obdelavo podatkov razkrijete zdravstvenemu delavcu, zdravstvenemu sodelavcu ali drugi osebi, ki naj bi nedovoljeno obdelovala osebne podatke pacientov.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

Zakon o pacientovih pravicah (Uradni list RS, št. 15/08, 55/17, 177/20 in 100/22 – ZNUZSZS, v nadaljevanju: ZPacP) v 46. členu določa, da morajo izvajalci zdravstvene dejavnosti raziskati vsak ugotovljen ali sporočen primer nedovoljenega sporočanja ali druge nedovoljene obdelave osebnih podatkov o pacientu in ugotoviti morebitno odgovornost zdravstvenih delavcev, zdravstvenih sodelavcev ali drugih oseb ter primer pisno dokumentirati ter o tem obvestiti pacienta, pristojnega zastopnika pacientovih pravic in Informacijskega pooblaščenca. IP meni, da ZPacP glede dolžnosti obveščanja navedenih subjektov ne razlikuje med postopki, v katerih je ugotovljeno, da je prišlo do nedovoljene obdelave osebnih podatkov, in tistimi, v katerih kršitev ni bila ugotovljena. Zato morajo izvajalci zdravstvene dejavnosti obvestiti pacienta, pristojnega zastopnika pacientovih pravic in Informacijskega pooblaščenca o izvedbi in ugotovitvah vseh internih postopkov ugotavljanja odgovornosti za nepooblaščeno obdelavo podatkov, ne glede na to, ali je bila ugotovljena kršitev varstva osebnih podatkov ali ne.

Glede vašega drugega vprašanja IP pojasnjuje, da ZPacP ne ureja vprašanja, ali ter pod katerimi pogoji lahko informacije o ugotovitvah internega postopka ugotavljanja odgovornosti za nepooblaščeno obdelavo podatkov razkrijete zdravstvenemu delavcu, zdravstvenemu sodelavcu ali drugi osebi, ki naj bi nedovoljeno obdelovala osebne podatke pacientov.

Če bo v internem postopku ugotovljena kršitev varstva osebnih podatkov, bo lahko Informacijski pooblaščenec na podlagi vašega obvestila v skladu s 46. členom ZPacP in okoliščin vsakega posameznega primera uvedel prekrškovni postopek zoper zdravstvenega delavca, zdravstvenega sodelavca ali drugo osebo, ki naj bi neupravičeno vpogledala v podatke pacienta, v teku katerega ga bo v skladu z določbami Zakona o prekrških tudi obvestil o prekršku ter ga pozval, da se izjavi o okoliščinah primera in navaja dejstva in dokaze v svojo korist.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila

dr. Pika Šarf, Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka