Ravnanje z zdravstveno dokumentacijo pri nadzoru ZZZS

Datum

07.06.2024

Številka

07120-1/2024/223

Kategorije

Zdravstveni osebni podatki, Varnost osebnih podatkov, Uradni postopki, Obveščanje o kršitvah varnosti

Pri Informacijskem pooblaščencu (IP) smo dne 26. 5. 2024 prejeli vaše zaprosilo za mnenje o dopustnosti ravnanja z zdravstveno dokumentacijo s strani nadzorne osebe ZZZS. V vaši ambulanti ste imeli napovedan nadzor s strani ZZZS. Na podlagi seznama pacientov ste pripravili zahtevano zdravstveno dokumentacijo ter jo izročili nadzorni osebi, ki je opravljala večurni nadzor v vaših prostorih brez prisotnosti zaposlenih. Ob odhodu je nadzorna oseba brez vednosti zaposlenih odnesla zdravstveno dokumentacijo s seboj.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP se lahko dokončno in konkretno opredeljuje do konkretnih primerov obdelav osebnih podatkov le v nadzornih postopkih.

Po mnenju IP je iznos reprodukcije zdravstvene dokumentacije s strani nadzorne osebe ZZZS sicer dopusten, če tako narekujejo potrebe nadzornega postopka, vendar bi bilo prav:

-da se v skladu s šestim odstavkom 41. člena ZVOP-2 to dejanje evidentira in

-da ima izvajalec zdravstvene dejavnosti v skladu drugim odstavkom 41. člena ZVOP-2 še pred iznosom možnost odločati o takem posredovanju zdravstvene dokumentacije.

Po mnenju IP je samovoljni iznos originalne zdravstvene dokumentacije s strani nadzorne osebe ZZZS načeloma lahko v nasprotju s pravili o varnosti osebnih podatkov. Če menite, da je zaradi tega dejanja bila ogrožena varnost osebnih podatkov, vam svetujemo, da ravnate po 46. členu Zakona o pacientovih pravicah (ZPacP; obvestitev IP o nedovoljeni obdelavi osebnih podatkov) ali po 33. členu Splošne uredbe (uradno obvestilo nadzornemu organu o kršitvi varstva osebnih podatkov).

Obrazložitev

Najprej pojasnjujemo:

-da iz vašega zaprosila ni razvidno, ali je nadzornica prevzela originalno zdravstveno dokumentacijo v papirni obliki ali je prevzela le njeno reprodukcijo (npr. izpise iz elektronske zdravstvene dokumentacije ali fotokopije papirne dokumentacije) in

-da ne moremo presojati pravilnosti izvajanja nadzornih postopkov drugih organov. Prav tako IP ni pristojen za razlago in presojo Pravilnika o nadzorih (ZZZS).

Zakonska podlaga za seznanitev z zdravstveno dokumentacijo pri izvajanju nadzorov je zlasti v tretjem odstavku 76. člena Zakona o zdravstvenem varstvu in zdravstvenem zavarovanju (ZZVZZ). Ta določa, da »so upravljavci zbirk osebnih in drugih podatkov, ki razpolagajo s podatki, ki se nanašajo na uresničevanje zdravstvenega zavarovanja, dolžni zavodu na njegovo obrazloženo zahtevo brezplačno posredovati zahtevane podatke, potrebne za povrnitev škode in za nadzor nad uresničevanjem pravic in obveznosti iz tega zavarovanja«. Dodatno je dostop do zdravstvene dokumentacije določen tudi v Pravilniku o nadzorih (ZZZS). Pravica nadzorne osebe do seznanitve ali dostopa do zdravstvene dokumentacije se lahko izvršuje tudi na način fizičnega prevzema reprodukcije zdravstvene dokumentacije ali na način prejema dokumentacije po pošti. Z vidika varnosti in načela najmanjšega obsega podatkov je sicer najprimerneje, če se seznanitev izvaja v prostorih izvajalca. Toda tudi iznos reprodukcije zdravstvene dokumentacije je lahko dopusten, če tako narekujejo potrebe samega nadzornega postopka. Načeloma pa je z vidika načela zagotavljanja varnosti (f. točka prvega odstavka 5. člena in 3. člen Splošne uredbe) lahko problematično, če je prišlo do samovoljnega iznosa (odvzema) originalne (papirne) zdravstvene dokumentacije s strani nadzorne osebe.

ZVOP-2 v šestem odstavku 41. člena (ta člen sicer ureja posredovanje osebnih podatkov zunanjim uporabnikom, med katere spada tudi ZZZS) določa, da upravljavec (v konkretnem primeru izvajalec zdravstvene dejavnosti) za vsako posredovanje osebnih podatkov (neposredna izročitev dokumentacije z njenim iznosom je oblika posredovanja) zagotovi možnost poznejše ugotovitve, kateri osebni podatki so bili posredovani, komu, kdaj in na kateri pravni podlagi, za kateri namen oziroma iz katerih razlogov oziroma za potrebe katerega postopka. To pomeni, da je treba vsako posredovanje zdravstvene dokumentacije (ne glede na to, ali se posreduje original ali njena fizična ali elektronska reprodukcija) evidentirati z navedbo predpisanih informacij, na primer v obliki zaznamka v elektronski zdravstveni dokumentaciji, v dnevniku posredovanj, na posebni listini, ki se jo vloži v zdravstveno mapo, v obliki zaznamka na najavi ZZZS, v zapisniku ipd.

Ker v vašem primeru niste vedeli za nameravani iznos zdravstvene dokumentacije in se o tem tudi niste uspeli dogovoriti z nadzorno osebo, vam predlagamo, da posredovanje zdravstvene dokumentacije evidentirate naknadno.

V konkretnem primeru je problematično tudi to, da kot upravljavec niste imeli možnosti za odločanje o tem, ali boste zdravstveno dokumentacijo posredovali nadzorni osebi na tak način. Drugi odstavek 41. člena ZVOP-2 določa, da »upravljavec vlagatelju zahteve, če drug zakon ne določa drugače, zahtevane osebne podatke posreduje najpozneje v 15 dneh od prejema popolne zahteve ali pa ga v tem roku pisno obvesti o razlogih, zaradi katerih mu zahtevanih osebnih podatkov ne bo posredoval«. Pri tem ni važno, ali je posredovanje zdravstvene dokumentacije po predpisih obvezno. Res je, da ste glede razkritja zdravstvene dokumentacije že predhodno sprejeli odločitev, da boste v skladu z najavo ZZZS omogočili neposredno seznanitev v vaših prostorih, vendar bo bilo primerno, če bi vam bila dana tudi možnost, da se samostojno odločite o posredovanju zdravstvene dokumentacije na način njenega iznosa iz vaših prostorov.

ZPacP v 46. členu in Splošna uredba v 33. členu predpisujeta obvezno poročanje primerov kršitev varstva osebnih podatkov IP-ju. Tako 46. člen ZPacP na primer določa, da »morajo izvajalci zdravstvene dejavnosti vsak ugotovljen ali sporočen primer nedovoljenega sporočanja ali druge nedovoljene obdelave osebnih podatkov o pacientu, ne glede na voljo pacienta, posebej raziskati in ugotoviti morebitno odgovornost zdravstvenih delavcev, zdravstvenih sodelavcev ali drugih oseb ter primer pisno dokumentirati; o tem morajo obvestiti pacienta, pristojnega zastopnika pacientovih pravic in Informacijskega pooblaščenca«.

Če bi ZZZS s prevzeto zdravstveno dokumentacijo v nadaljevanju (po iznosu) ravnal v nasprotju z načelom varnosti in zakonitosti ali v nasprotju z drugimi načeli iz 5. člena Splošen uredbe, bi bila to odgovornost ZZZS.

Lepo vas pozdravljamo,

Pripravil

dr. Urban Brulc, univ. dipl. prav., samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka