Dostop do zdravstvenih osebnih podatkov med izvajanjem zunanje presoje

Datum

03.04.2026

Številka

07121-1/2026/321

Kategorije

Potrjevanje - Certifikacija, Pogodbena obdelava podatkov, Občutljivi OP / posebne vrste OP, Zdravstveni osebni podatki

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede dostopa do zdravstvene dokumentacije med izvajanjem zunanje presoje izvajalcev zdravstvene dejavnosti.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1, 10/26 – ZP-1L; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Zunanji presojevalec črpa pravno podlago iz pravne podlage primarnega upravljavca (v konkretnem primeru izvajalca zdravstvene dejavnosti) in medsebojnega dogovora o vsebini zunanje presoje.

IP meni, da bi zunanji presojevalec lahko obdeloval (vpogledoval) v zdravstvene podatke v neanonimizirani obliki le v zelo omejenem obsegu, če je to res nujno potrebno za izvedbo zunanje presoje.

Izvajalec zunanje presoje mora kot zaupne varovati vse podatke, dejstva in okoliščine, za katere je izvedel pri opravljanju zunanje presoje.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP splošno pojasnjuje, da Splošna uredba v 6. členu določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

IP meni, da se izvajalce zunanje presoje z vidika obdelave osebnih podatkov v določeni meri lahko primerja z notranjimi revizorji. IP je v Smernicah o pogodbeni obdelavi (te so objavljene na spletni strani IP) zapisal, da se revizorje oziroma revizijsko družbo šteje kot obdelovalce izključno v primerih, ko pravna oseba najame storitve teh subjektov za namene izvedbe notranje revizije ali storitev na ostalih strokovnih področjih povezanih z revidiranjem. Kadar torej gre za izvajanje storitev v okviru notranje revizije za drugo pravno osebo (upravljavca), je mogoče šteti, da revizorji oziroma zunanji presojevalci, najeti za izvedbo notranje revizije (ali storitev na ostalih strokovnih področjih povezanih z revidiranjem, kot jih opredeljuje ZRev-2) oziroma zunanje presoje, nastopajo kot podaljšana roka upravljavca in s tem v vlogi pogodbenega obdelovalca. To pomeni, da je morata upravljavec in pogodbeni obdelovalec skleniti pogodbo ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Vsebina te pogodbe ali drugega pravnega akta je določena v tretjem odstavku 28. člena Splošne uredbe. Tak pisni akt zagotavlja, da se tako upravljavec kot obdelovalec zavedata svojih pravic in obveznosti v zvezi z obdelavo osebnih podatkov. Odgovornost za zakonito obdelavo osebnih podatkov je primarno na strani upravljavca in ostaja njegova odgovornost tudi po njihovem posredovanju pogodbenemu obdelovalcu. Ker obdelovalec deluje v imenu in za račun upravljavca, je eden pomembnih elementov razmerja med njima tudi nadzor upravljavca nad obdelavo osebnih podatkov, ki jo zanj izvaja obdelovalec. Ob tem pa IP opozarja, da ima v določenem delu obdelovalec podobne obveznosti kot upravljavec osebnih podatkov in je neposredno odgovoren za zakonito obdelavo osebnih podatkov v okviru svojih pooblastil. Pravila zakonite obdelave osebnih podatkov mora poznati in jih v praksi tudi ustrezno izvrševati.

Upravljavec in obdelovalec osebnih podatkov morata tako sama identificirati oziroma opredeliti obdelave, ki pomenijo obdelavo osebnih podatkov v konkretnem primeru. IP v okviru neobvezujočega mnenja tega ne more narediti namesto njiju, saj je treba pri presoji izhajati iz konkretnih okoliščin primera.

IP posebej poudarja, da zunanji presojevalec črpa pravno podlago iz pravne podlage primarnega upravljavca (v konkretnem primeru izvajalca zdravstvene dejavnosti) in medsebojnega dogovora o vsebini zunanje presoje, pri čemer osebnih podatkov, s katerimi se seznani, ne sme obdelovati za nobene lastne namene, ampak zgolj na zakonsko predpisan način, ki velja zanj in v skladu z etičnimi in drugimi pravili, kodeksi in standardi, ki veljajo zanj in ki urejajo posamezno stroko.

IP nadalje pojasnjuje, da presoja skladnosti vodenja procesov običajno služi predvsem kot pomoč poslovodstvu podjetja, da bi učinkovito opravljalo naloge vodenja ter zagotavljanje strokovnih ocen stanja in priporočil za izboljšanje poslovanja na presojanem področju. Presoja je namenjena preverjanju ustreznosti notranjih sistemov poslovanja ter svetovanju poslovodstva pri izboljšanju poslovanja. Odločitev o tem, katera dokumentacija in s tem kateri osebni podatki bodo predmet zunanje presoje, je načeloma tako v pristojnosti presojevalca (v konkretnem primeru vaše družbe), sam subjekt presoje (v konkretnem primeru izvajalec zdravstvene dejavnosti) nanjo nima nikakršnega vpliva. Presojevalcem mora biti zagotovljena samostojnost in neodvisnost pri njihovem delu, predvsem pa jim mora biti omogočen dostop do dokumentov in s tem tudi osebnih podatkov, pomembnih za presojo. Dostop do omenjene dokumentacije in s tem tudi do osebnih podatkov omogoča nadaljnjo obdelavo, ki je potrebna za izvedbo storitve zunanje presoje. IP ob tem opozarja na pazljivost in spoštovanje vseh obveznosti s področja varstva osebnih podatkov, če bi morda ob tem prišlo do prenosa osebnih podatkov izven upravljavca, kopiranja osebnih dokumentov ali njihove hrambe pri izvajalcu zunanje presoje. V kolikor pa podobna dejanja obdelave v konkretnem primeru niso nujno potrebna, IP svetuje, da se jim izogne oziroma se osebne podatke, za katere zakon ne določa nadaljnje hrambe, izbriše oziroma uniči takoj po koncu izvajanja zunanje presoje.

Ob tem IP posebej opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za izpolnitev posamičnega zakonitega namena obdelave (v konkretnem primeru ustrezno izvedbo zunanje presoje). IP ob tem poudarja, da je primarni namen zunanje presoje v konkretnem primeru preverjanje sistema vodenja kakovosti in s tem povezanih postopkov, ne pa obdelava osebnih podatkov pacientov. IP zato meni, da bi zunanji presojevalec lahko obdeloval (vpogledoval) v zdravstvene podatke v neanonimizirani obliki le v zelo omejenem obsegu, če je to res nujno potrebno za izvedbo zunanje presoje, vsekakor pa IP priporoča, da se tudi v teh primerih vpogleda v anonimizirane ali vsaj psevdonimizirane podatke o pacientu.

IP poudarja tudi, da mora izvajalec zunanje presoje kot zaupne varovati vse podatke, dejstva in okoliščine, za katere je izvedel pri opravljanju zunanje presoje.

IP dodaja, da Splošna uredba v 42. členu določa tudi možnost potrjevanja (certificiranja). Gre sicer za popolnoma prostovoljni postopek, njegov namen pa je dokazovanje, da so dejanja obdelave osebnih podatkov upravljavcev in obdelovalcev skladna s Splošno uredbo.

IP sklepno ponavlja, da tega, katere podatke izvajalec zunanje presoje dejansko potrebuje v konkretnem primeru za njeno uspešno in učinkovito izvedbo, ne more presojati v okviru izdaje neobvezujočega mnenja, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava osebnih podatkov zakonita. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov, ki nosi tudi odgovornost za tovrstno opravljeno presojo.

Lepo vas pozdravljamo.

Pripravil:

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka