Vpis podatkov v eRCO in druge registre s področja zdravstvenega varstva

Datum

08.03.2024

Številka

07121-1/2024/256

Kategorije

Pravica do seznanitve z lastnimi osebnimi podatki, Pravne podlage, Privolitev, Zdravstveni osebni podatki

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem sprašujete:

1.kako oziroma na kakšen način lahko izveste za vaše vpisane zdravstvene podatke v centralni register;

2.ali je poleg eRCO še kak drug register;

3.kdo je odgovoren za vpis podatkov v register, kdo podatke vpisuje in katere;

4.kateri podatki se v tem sistemu nahajajo od vaših nepolnoletnih otrok;

5.ali lahko odločate o tem, katere podatke dovolite vpisati;

6.kako lahko uredite omejen vpogled v podatke, saj smatrate, da ima vanje vpogled vsak, ki do registra lahko dostopa.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, v nadaljevanju: ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju: ZInfP) posredujemo odgovore na vaša zgoraj navedena vprašanja.

1.Iz vašega dopis sicer ni jasno razvidno, kateri centralni register imate v mislih, zato IP glede na vaša vprašanja sklepa, da imate v mislih Elektronski register cepljenih oseb in neželenih učinkov po cepljenju (eRCO), katerega upravljavec je Nacionalni inštitut za javno zdravje (NIJZ) in se vodi na podlagi Zakona o zbirkah podatkov s področja zdravstvenega varstva (ZZPPZ). Posameznik se lahko z osebnimi podatki, ki so vpisani v navedeni register in se nanašajo nanj, seznani z uveljavljanjem pravice do seznanitve z zdravstveno dokumentacijo po 41. členu Zakona o pacientovih pravicah (ZPacP) ter z uveljavljanjem pravice posameznika do dostopa do osebnih podatkov, ki se nanašaj naj, po 15. členu Splošne uredbe. Posameznik se lahko s povzetkom podatkov o pacientu oziroma z osebnimi podatki, ki se nanašajo nanj, seznani tudi preko portala zVEM.

2.IP predvideva, da ste pri vprašanju o tem, ali je poleg eRCO še kak drug register, imeli v mislih registre oziroma zbirke osebnih podatkov, ki se vodijo na področju zdravstvenega varstva. IP pojasnjuje, da so evidence, ki se vodijo na področju zdravstvenega varstva, določene v ZZPPZ, ki določa obdelavo podatkov in zbirke podatkov s področja zdravstvenega varstva in eZdravja, njihove upravljavce in upravičence do podatkov.

3.IP v zvezi z vašim vprašanjem o tem, kdo je odgovoren za vpis podatkov v register, kdo podatke vpisuje in katere, pojasnjuje, da ZZPPZ za vsako od zbirk osebnih podatkov, ki se vodijo na področju zdravstvenega varstva, določa: zaporedno številko, naziv zbirke, vsebino (vrste osebnih podatkov, ki se vodijo v zbirki), namen, poročila, kdo mora dati podatke in kdaj, upravljavca zbirke, način dajanja podatkov in čas hranjenja podatkov.

4.V posamezni zbirki osebnih podatkov, ki se vodi na področju zdravstvene dejavnosti, se lahko vodijo tiste vrste osebnih podatkov o nepolnoletnih otrocih (in ostalih), ki so za posamezno zbirko določeni v ZZPPZ. O tem, kateri konkretni osebni podatki se o posameznem mladoletnem otroku vodijo v posamezni zbirki, se lahko posameznik oziroma za mladoletnega otroka njegov zakoniti zastopnik oziroma skrbnik seznani z uveljavljanjem pravice do seznanitve z zdravstveno dokumentacijo ozirom z osebnimi podatki, ki se nanašajo nanj, kot je že pojasnjeno v odgovoru na vaše vprašanje pod točko 1.

5.V primeru, ko vpis oziroma vodenje osebnih podatkov v posamezni zbirki določa zakon, posameznik ne more odločati o tem, katere podatke dovoli vpisati in voditi v zbirki. Izjema so lahko le tisti osebni podatki, za katere je v zakonu izrecno določeno, da se lahko pridobijo in vodijo le na podlagi privolitve posameznika. Na področju zdravstvenega varstva so to osebni podatki, ki se nanašajo na rasno, narodno in drugo poreklo, politična, verska in druga prepričanja ali spolno vedenje, saj ZZPPZ v šestem odstavku 4. člena za te vrste podatkov izrecno določa, da lahko upravljavci zbirk podatkov pridobijo te podatke neposredno ali posredno le na podlagi pisne privolitve posameznika.

6.Pacient ima na podlagi tretjega odstavka 14.c člena ZZPPZ pravico s pisno izjavo prepovedati vpogled v povzetek podatkov o pacientu, ki se vodijo v Centralnem registru podatkov o pacientih (CRPP). Prepoved se lahko poda za izvajalca ali državo izvajalca. Pacient lahko s pisno izjavo omeji uporabo svojih kontaktnih podatkov. Prepoved ni mogoča za naslednje podatke: osebno ime; EMŠO, ZZZS številko zavarovane osebe, podatek o pisnih izjavah volje pacienta iz podtočke p) 1. točke četrtega odstavka 14.b člena ZZPPZ, podatek o pisni izjavi pacienta iz tretjega odstavka 14.c člena ZZPPZ ter podatek o smrti: dan, mesec, leto, ura in kraj smrti. Varstvo pacientovih osebnih podatkov in s tem povezane pravice pacienta glede odločanja o obdelavi njegovih osebnih podatkov, podrobneje določa 44. člen ZPacP.

Obrazložitev

IP uvodoma poudarja, da izven konkretnih nadzornih ali drugih upravnih postopkov ne more presojati konkretnih obdelav osebnih podatkov in podajati konkretnih stališč v zvezi s posameznimi vprašanji s področja varstva osebnih podatkov, pač pa lahko v okviru mnenja poda zgolj splošna pojasnila, priporočila in usmeritve v zvezi z obdelavo osebnih podatkov, odgovornost za zakonito in pošteno obdelavo osebnih podatkov pa je vedno na upravljavcu osebnih podatkov.

Glede na to, da v iz vašega dopisa sicer ni jasno razvidno, kateri centralni register imate v mislih, IP iz vaših vprašanj sklepa, da imate v mislih Elektronski register cepljenih oseb in neželenih učinkov po cepljenju (eRCO) in da se vaša vprašanja nanašajo na zbirke osebnih podatkov, ki se vodijo na področju zdravstvenega varstva.

Več informacij v zvezi z eRCO najdete na spletni strani NIJZ, na naslovu:

https://nijz.si/nalezljive-bolezni/cepljenje/elektronski-register-cepljenih-oseb-in-nezelenih-ucinkov-po-cepljenju-erco/

Obdelavo podatkov in zbirke podatkov s področja zdravstvenega varstva in eZdravja, njihove upravljavce in upravičence do podatkov, določa Zakon o zbirkah podatkov s področja zdravstvenega varstva (Uradni list RS, št. 65/00, s sprem., v nadaljevanju ZZPPZ). Na podlagi in v skladu z navedenim zakonom se v okviru zdravstvenega informacijskega sistema eZdravje, s katerim upravlja NIJZ, vodi 8 zbirk osebnih podatkov, poleg tega pa se vodi še 76 drugih zbirk, ki jih vodi NIJZ in ostali izvajalci zdravstvene dejavnosti v Republiki Sloveniji. ZZPPZ v prilogi za vsako od zbirk osebnih podatkov določa: zaporedno številko zbirke, naziv zbirke, vsebino (vrste osebnih podatkov, ki se vodijo v zbirki), namen, poročila, kdo mora dati podatke in kdaj, upravljavca zbirke, način dajanja podatkov in čas hranjenja podatkov.

Med zbirkami osebnih podatkov, ki se vodijo na podlagi ZZPPZ, je tudi Register obveznikov za cepljenje in izvajanja cepljenja (zbirka št. NIJZ 49.) in Register stranskih pojavov po cepljenju (zbirka št. NIJZ 51.). Kot izhaja iz pojasnil na spletnih straneh NIJZ, sta navedena registra združena v eRCO in se od leta 2017 dalje vodita v okviru eZdravja. Vrste osebnih podatkov, ki se vodijo v navedenih zbirki oziroma registru, namen obdelave osebnih podatkov v zbirki, subjekti, ki morajo dajati podatke v zbirko in kdaj, upravljavca zbirke, način dajanja podatkov in čas hranjenja podatkov, določa priloga Priloga 1 ZZPPZ.

Pravica in način seznanitve z zdravstveno dokumentacijo ureja 41. člen Zakona o pacientovih pravicah (Uradni list RS, št. št. 15/08, 55/17 in 177/20), v nadaljevanju ZPacP), ki v prvem odstavku določa, da ima pacient ob prisotnosti zdravnika ali drugega zdravstvenega delavca oziroma zdravstvenega sodelavca pravico do neoviranega vpogleda in prepisa zdravstvene dokumentacije, ki se nanaša nanj. Fotokopiranje ali drugo reprodukcijo zdravstvene dokumentacije mora zagotoviti izvajalec zdravstvene dejavnosti. Verodostojno reprodukcijo slikovne dokumentacije, ki se ne hrani v elektronski obliki, je izvajalec zdravstvene dejavnosti dolžan zagotoviti, če razpolaga s tehničnimi sredstvi, ki to omogočajo. Izvajalec zdravstvene dejavnosti mora skladno s tretjim odstavkom 41. člena ZPacP navedeno pravico pacientu omogočiti takoj ali najpozneje pet delovnih dni po prejemu zahteve.

Poleg zgoraj navedene pravice ima pacient na podlagi petega odstavka 41. člena ZPacP tega člena pravico zahtevati tudi:

-da se dodajo njegove pripombe k zapisom v zdravstveni dokumentaciji,

-osnovna ustna pojasnila o vsebini zdravstvene dokumentacije, razen kadar pacient prejme izčrpna pojasnila na podlagi 20. člena tega zakona,

-izčrpna ustna pojasnila o vsebini zdravstvene dokumentacije, če glede posameznih delov dokumentacije ni prejel pojasnil na podlagi 20. člena tega zakona.

Izvajalec zdravstvene dejavnosti mu mora omogočiti uresničitev pravice iz prve in druge alineje tega odstavka v roku iz tretjega odstavka tega člena, uresničitev pravice iz tretje alineje tega odstavka pa v 15 dneh od prejema zahteve.

V devetem odstavku 41. člena ZPacP je še določeno, da ima pacient na podlagi smiselne uporabne določb prejšnjih odstavkov tega člena pravico do samostojnega dostopa do svojega elektronskega zdravstvenega zapisa in podatkov v informacijskem sistemu kartice zdravstvenega zavarovanja, če zdravstveni sistem to omogoča.

Pravica dostopa posameznika do osebnih podatkov, ki se nanašaj naj, je urejena tudi v 15. členu Splošne uredbe, po katerem mora upravljavec posamezniku poleg dostopa do osebnih podatkov, ki se nanašajo naj ter informacij iz prvega odstavka tega člena, zagotoviti tudi kopijo osebnih podatkov, ki se obdelujejo.

Rok za izvršitev pravic posameznika iz 15. člena Splošne uredbe je določen v tretjem odstavku 12. člena Splošne uredbe, ki določa, da upravljavec informacije o ukrepih, sprejetih na zahtevo v skladu s členi 15 do 22, posamezniku, na katerega se nanašajo osebni podatki, zagotovi brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev.

Več o možnostih in načinu uveljavljanju pravic pacienta ter pravic posameznika v zvezi z osebnimi podatki, ki se nanašajo nanj, si lahko preberete na spletni strani IP, v rubriki »Pravice posameznika«, na naslovu: https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/

Kar zadeva vaše vprašanje o tem, ali lahko odločate, katere podatke dovolite vpisati v register oziroma zbirko osebnih podatkov, IP pojasnjuje, da je osebna privolitev posameznika zgolj ena od pravnih podlag, ki so za obdelavo osebnih podatkov določene v 6. in 9. členu Splošne uredbe. Kadar obdelavo osebnih podatkov zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti določa zakon, posameznik ne more odločati o tem, katere podatke dovoli vpisati in voditi v zbirki. Izjema so lahko le tisti osebni podatki, za katere je v zakonu izrecno določeno, da se lahko pridobijo in vodijo le na podlagi privolitve posameznika. Na področju zdravstvenega varstva so to osebni podatki, ki se nanašajo na rasno, narodno in drugo poreklo, politična, verska in druga prepričanja ali spolno vedenje, saj ZZPPZ v šestem odstavku 4. člena za te vrste izrecno določa, da lahko upravljavci zbirk podatkov pridobijo te podatke neposredno ali posredno le na podlagi pisne privolitve posameznika

IP v zvezi z vašim vprašanjem o tem, kako lahko uredite omejen vpogled v podatke, saj smatrate, da ima vanje vpogled vsak, ki do registra lahko dostopa, pojasnjuje, da ima pacient na podlagi tretjega odstavka 14.c člena ZZPPZ pravico s pisno izjavo prepovedati vpogled v povzetek podatkov o pacientu, ki se vodijo v Centralnem registru podatkov o pacientih (CRPP). Prepoved se lahko poda za izvajalca ali državo izvajalca. Pacient lahko s pisno izjavo omeji uporabo svojih kontaktnih podatkov. Prepoved ni mogoča za naslednje podatke: osebno ime; EMŠO, ZZZS številko zavarovane osebe, podatek o pisnih izjavah volje pacienta iz podtočke p) 1. točke četrtega odstavka 14.b člena ZZPPZ, podatek o pisni izjavi pacienta iz tretjega odstavka 14.c člena ZZPPZ ter podatek o smrti: dan, mesec, leto, ura in kraj smrti.

Varstvo pacientovih osebnih podatkov in s tem povezane pravice pacienta glede odločanja o obdelavi njegovih osebnih podatkov, podrobneje določa 44. člen ZPacP, ki določa:

(1)Pacient ima pravico do zaupnosti osebnih podatkov, vključno s podatki o obisku pri zdravniku in drugih podrobnostih o svojem zdravljenju.

(2)S pacientovimi zdravstvenimi in drugimi osebnimi podatki morajo zdravstveni delavci in zdravstveni sodelavci ravnati v skladu z načelom zaupnosti in predpisi, ki urejajo varstvo osebnih podatkov.

(3)Uporaba in druga obdelava pacientovih zdravstvenih in drugih osebnih podatkov je za potrebe zdravljenja dopustna tudi na podlagi pacientove privolitve ali privolitve oseb, ki imajo pravico do privolitve v medicinski poseg ali zdravstveno obravnavo, če pacient ni sposoben odločanja o sebi.

(4)Uporaba in druga obdelava pacientovih zdravstvenih in drugih osebnih podatkov izven postopkov zdravstvene obravnave je dovoljena le z njegovo privolitvijo ali privolitvijo oseb, ki imajo pravico do privolitve v medicinski poseg ali zdravstveno obravnavo, če pacient ni sposoben odločanja o sebi. Po pacientovi smrti lahko dajo privolitev njegovi ožji družinski člani, razen če je pacient to pisno prepovedal.

(5)Ne glede na določbo prejšnjega odstavka lahko uporabo pacientovih zdravstvenih in drugih osebnih podatkov izven postopkov zdravstvene obravnave določa zakon.

(6)Privolitev za uporabo in drugo obdelavo osebnih podatkov po tretjem in četrtem odstavku tega člena ni potrebna:

-če za namene epidemioloških in drugih raziskav, izobraževanja, medicinskih objav ali druge namene pacientova istovetnost ni ugotovljiva,

-če za namene spremljanja kakovosti in varnosti zdravstvene obravnave pacientova istovetnost ni ugotovljiva,

-kadar prijavo zdravstvenega stanja zahteva zakon,

-kadar se zaradi potreb zdravljenja podatki posredujejo drugemu izvajalcu zdravstvene dejavnosti,

-kadar to določa drug zakon.

(7)Osebni podatki, ki se obdelujejo v skladu s tretjim, četrtim in petim odstavkom tega člena, morajo biti ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo.

(8)Pacient ima pravico določiti osebe, ki se lahko seznanijo z njegovo zdravstveno dokumentacijo, in osebe, katerim seznanitev z njegovo zdravstveno dokumentacijo prepoveduje, če to ni v nasprotju z zakonom. Pravica iz tega odstavka se uresničuje na način in pod pogoji, ki jih določa 45. člen tega zakona.

Lep pozdrav,

Pripravil

Jože Bogataj, namestnik informacijske pooblaščenke

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka