Dostop do dnevnikov obdelav zdravstvenih podatkov

Datum

20.11.2023

Številka

07121-1/2023/1447

Kategorije

Pravica do seznanitve z lastnimi osebnimi podatki, Zdravstveni osebni podatki

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis in njegovo dopolnitev, v katerem pojasnjujete svoj sum, da je upravljavec osebnih podatkov (ki je izvajalec zdravstvene dejavnosti) nezakonito obdeloval vaše osebne podatke. Sum ste naznanili in upravljavec je opravil pregled in analizo dnevnikov obdelav ter ni ugotovil nezakonite obdelave. Upravljavec je zavrnil vašo zahtevo po 15. členu Splošne uredbe. Prepričani ste, da imate pravico do vpogleda v dnevnike obdelav svojih zdravstvenih podatkov. Če namreč zahtevate tak vpogled, s tem uveljavljate svojo pravico do potrditve, da se v zvezi z vami obdelujejo osebni podatki, ter menite, da imate pravico do dostopa do osebnih podatkov – tudi iz dnevnikov obdelav. Če do podatkov iz dnevnikov obdelav nimate pravice, se sprašujete, kako lahko preverite zakonitost obdelave svojih osebnih podatkov. Če te pravice nimate, menite, da imate vsaj pravico do potrditve, ali so se po določenem datumu obdelovali vaši osebni podatki ter za vsak primer obdelave tudi do informacije o namenu obdelave. Sprašujete nas, kakšne so vaše pravice in kakšen zahtevek bi morali nasloviti na upravljavca.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Nekatere informacije o obdelavi podatkov iz dnevnika obdelav najverjetneje sovpadajo z informacijami, do katerih je posameznik potencialno upravičen na podlagi točk (a) do (h) prvega odstavka 15. člena Splošne uredbe, pa tudi s samo možnostjo potrditve obdelave osebnih podatkov. Dnevniki obdelav velikokrat vsebujejo informacijo o uporabnikih osebnih podatkov ter namenih obdelave, seveda pa je to odvisno od konkretnega primera. Glede same identitete zaposlenih, ki so vpogledovali v osebne podatke, pa velja, da posameznik do te informacije načeloma ni upravičen, če so zaposleni dejanja obdelave izvajali pod vodstvom upravljavca in v skladu z njegovimi navodili, torej v imenu in za račun upravljavca. Izjema od tega je, če so te informacije nujne za to, da se posamezniku, na katerega se nanašajo osebni podatki, omogoči učinkovito uveljavljanje pravic, ki so mu podeljene s to uredbo, in se upoštevajo pravice in svoboščine teh zaposlenih. Tudi v takem primeru pa je treba ustrezno upoštevati vpliv na pravice in svoboščine drugih, torej zaposlenih znotraj upravljavca.

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

Posebej tudi izpostavljamo, da je Informacijski pooblaščenec v primeru zavrnitve pravic po 15. členu Splošne uredbe ter 41. členu Zakona o pacientovih pravicah (Uradni list RS, št. 15/08, 55/17, 177/20 in 100/22 – ZNUZSZS; v nadaljevanju ZPacP) nadzorni oziroma pritožbeni organ. Zato vam v tem mnenju ne moremo podati konkretnega odgovora za vaš konkretni primer; podamo lahko le splošne usmeritve in tolmačenje zakonodaje s področja varstva osebnih podatkov, za katero smo pristojni in ki ne bo prejudicirala naše odločitve v morebitnem nadzornem ali pritožbenem postopku.

IP pojasnjuje, da samostojna pravica do dostopa do »dnevnika obdelav« v pravu varstva osebnih podatkov ne obstaja. Imajo pa posamezniki pravico (če se pri tem omejimo na Splošno uredbo, kajti ZPacP ureja seznanitev z zdravstveno dokumentacijo in ustna pojasnila o vsebini le-te) v skladu s prvim odstavkom 15. člena Splošne uredbe pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

(a)namene obdelave;

(b)vrste zadevnih osebnih podatkov;

(c)uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

(d)kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e)obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;

(f)pravico do vložitve pritožbe pri nadzornem organu;

(g)kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;

(h)obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

Kar se tiče samih dnevnikov obdelav in povezave s 15. členom Splošne uredbe, je koristno vedeti, da se v dnevniku obdelav najverjetneje vodijo zelo različne »zaledne« informacije o obdelavi osebnih podatkov, ponekod tudi sami osebni podatki. Nekatere informacije iz dnevnika obdelav tako najverjetneje sovpadajo z informacijami, do katerih je posameznik potencialno upravičen na podlagi točk (a) do (h) prvega odstavka 15. člena Splošne uredbe, pa tudi s samo možnostjo potrditve obdelave osebnih podatkov. Pri vprašanju, »kdo« je obdeloval osebne podatke posameznika tako govorimo o kategoriji pravice iz točke (c) prvega odstavka 15. člena Splošne uredbe (»uporabniki ali kategorija uporabnikov osebnih podatkov«), pri vprašanju »zakaj« je govora o kategoriji pravice iz točke (a) prvega odstavka omenjenega člena (»nameni obdelave«), vprašanje »od koga ali od kje« pa je naslovljeno s kategorijo pravice iz točke (g) (»informacije v zvezi z virom«).

IP žal ne more komentirati, ali je dovolj, da ste zahtevali dnevnike obdelav, pa bi se to lahko štelo za zahtevo po potrditvi, ali se obdelujejo vaši osebni podatki, ter za dostop do informacij o obdelavi vaših osebnih podatkov. To je namreč lahko predmet presoje v morebitnem nadzornem postopku, in sicer natančne analize postavljenega zahtevka in v njej izražene volje ter posledične odločitve upravljavca. Vsekakor je treba biti pri uveljavljanju pravic jasen, da zahteva ustrezno izraža voljo prosilca, ter da se nanašala na pravno upravičenje, ki izhaja iz prvega odstavka 15. člena Splošne uredbe. Interpretacija vsebine zahteve pa je stvar konkretne presoje v posameznem primeru.

Kar se tiče splošne interpretacije pravice iz prvega odstavka 15. člena Splošne uredbe, naj najprej navedemo, da je stališče IP, da ima posameznik načeloma pravico do informacij (kot so naštete v točkah (a) do (h) prvega odstavka omenjenega člena) za vsako posamezno dejanje obdelave, torej na primer za vsak posamezni vpogled. Upravljavec mora svojo odločitev sprejeti in utemeljiti (skladno z 12. členom Splošne uredbe) po presoji razlogov za morebitno zavrnitev vaše pravice konkretizirano, torej za vse morebitne sklope informacij, ki jih zahtevate. IP je prav tako v svoji praksi že zavzel stališče, da v kolikor je to nujno za razumevanje obdelave osebnih podatkov in za preverjanje njene zakonitosti, ima posameznik pravico tudi do informacije o času obdelave ter pravnih podlagah za vsak posamezen namen obdelave, seveda odvisno od vsakega posameznega primera posebej ter obstoja morebitnih razlogov za zavrnitev pravice posameznika.

Pri razpravi o dnevnikih obdelav in pravici do informacij o obdelavi osebnih podatkov je treba upoštevati tudi nedavno prakso Sodišča EU v zadevi C‑579/21 z dne 22. 6. 2023, kjer je bil predmet presoje upravičenost do podatka o datumu in namenih vpogledov v osebne podatke ter o identiteti fizičnih oseb znotraj upravljavca, ki so vpogledovale v osebne podatke. Iz omenjene sodbe Sodišča EU izhaja, da pravica po prvem odstavku 15. člena Splošne uredbe ne zajema pravice v zvezi z informacijami o identiteti zaposlenih navedenega upravljavca, ki so izvedli ta dejanja pod njegovim vodstvom in v skladu z njegovimi navodili, razen če so te informacije nujne za to, da se posamezniku, na katerega se nanašajo osebni podatki, omogoči učinkovito uveljavljanje pravic, ki so mu podeljene s to uredbo, in se upoštevajo pravice in svoboščine teh zaposlenih. Generalni pravobranilec Sodišča EU je v svojih sklepnih predlogih z dne 15. 12. 2022 v tej zadevi tudi poudaril, da je situacija glede identitete zaposlenih pri upravljavcu lahko drugačna, kadar "zaposleni ne upošteva postopkov, ki jih je določil upravljavec, in na lastno pobudo nezakonito dostopa do podatkov strank ali drugih zaposlenih. V takem primeru nelojalni zaposleni ne bi deloval za račun in v imenu upravljavca" in bi se sam lahko štel za upravljavca oziroma v tem smislu uporabnika, katerega identiteto bi bilo posledično mogoče / treba razkriti.

Iz vsega navedenega torej izhaja, da posameznik načeloma res ni upravičen do informacij o »notranjih uporabnikih«, to je uporabnikih znotraj upravljavca, če so ti izvedli dejanja obdelave pod vodstvom upravljavca in v skladu z njegovimi navodili, torej v imenu in za račun upravljavca. Kot izhaja iz citirane sodbe Sodišča EU pa tudi če bi bile informacije o identiteti zaposlenih, ki so opravljali vpoglede, nujne za preverjanje zakonitosti obdelave (zlasti da se posameznik prepriča, ali so bila dejanja obdelave dejansko izvedena pod vodstvom upravljavca in v skladu z njegovimi navodili), je treba upoštevati tudi četrti odstavek 15. člena Splošne uredbe, po katerem z uresničevanjem pravic posameznika ni dopustno negativno vplivati na pravice in svoboščine drugih.

Posameznik ima tudi možnost – in to poudarja tudi Sodišče EU v zgoraj omenjeni sodbi – da zahteva preverjanje zakonitosti obdelave osebnih podatkov pred nadzornim organom za varstvo osebnih podatkov, torej Informacijskim pooblaščencem.

V vašem zaprosilu za mnenje sprašujete še o drugih pravicah, ki so vam v zvezi z obdelavo vaših osebnih podatkov na voljo. Izpostavili bi predvsem pravico do popravka ali izbrisa osebnih podatkov ter pravico do omejitve obdelave osebnih podatkov, pravico imate tudi do ugovora obdelavi osebnih podatkov. Po 41. členu ZPacP imate tudi pravico do vpogleda in kopije zdravstvene dokumentacije ter ustnih pojasnil o vsebini le-te. IP pa v mnenju ne more zagotoviti, da bi bile te pravice, če bi jih uveljavljali, zares uresničene, imate pa seveda pravico tudi do pravnega sredstva – pred Informacijskim pooblaščencem in pravico do sodnega varstva. IP bi o vaši pravici odločal v nadzornem postopku na podlagi prijave.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka

Pripravila

mag. Polona Merc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov