Obdelava osebnih podatkov v domu starejših občanov

Datum

18.12.2024

Številka

07121-1/2024/1544

Kategorije

Definicija OP, Varnost osebnih podatkov

Pri Informacijskem pooblaščencu (IP) smo 30. 11. 2024 prejeli vaše zaprosilo za mnenje, in sicer vas zanima, ali se podatki iz dogovora o izvajanju socialnovarstvenih storitev v domu starejših občanov spadajo k varstvu osebnih podatkov. Dodajate, da imate očeta v domu starejših občanov, kjer na recepciji, ki se uporablja tudi kot kavarna, socialne delavke pustijo dokumentacijo za svojce, tako da imajo lahko vpogled v to dokumentacijo vsi, ki delajo v domu.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Osebni podatek je katera koli informacija v zvezi z določenim ali določljivim posameznikom, ob čemer je določljiv posameznik tisti, ki ga je mogoče neposredno ali posredno določiti (zlasti z navedbo identifikatorja, ali pa z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika). Za vsako zakonito obdelavo osebnih podatkov obstajati ena izmed pravnih podlag, kot določa prvi odstavek 6. člena Splošne uredbe.

Obdelava osebnih podatkov (kamor spada tudi vpogled) mora biti omejena na to, kar je potrebno za namene, za katere se ti podatki obdelujejo. V dokumentacijo lahko torej vpogledujejo le tiste osebe, ki te podatke nujno potrebujejo za opravljanje svojih delovnih nalog, in sicer zgolj v obsegu zasledovanja konkretnega namena, za katerega so bili osebni podatki primarno pridobljeni.

Obrazložitev:

Glede vprašanja, ali dogovor o izvajanju socialnovarstvenih storitev v domu starejših občanov spada k varstvu osebnih podatkov, najprej pojasnjujemo definicijo osebnega podatka, in sicer je osebni podatek katera koli informacija v zvezi z določenim ali določljivim posameznikom, ob čemer je določljiv posameznik tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja (npr. ime, identifikacijska številka, podatki o lokaciji, spletni identifikator), ali pa z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Osebni podatki so torej podatki določenih ali določljivih posameznikov v omenjenem dogovoru.

Nadalje pojasnjujemo, da je vsak, ki obdeluje osebne podatke, zavezan k spoštovanju določb ZVOP-2 in Splošne uredbe. Osebni podatki se lahko obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov, kot jih določa Splošna uredba. Te so določene v prvem odstavku 6. člena Splošne uredbe in so sledeče:

· privolitev (točka a)),

· sklenitev ali izvajanje pogodbe (točka b)),

· zakonska obveznost (točka c)),

· zaščita življenjskih interesov posameznika (točka d)),

· izvajanje javne naloge (točka e) v zvezi s četrtim odstavkom 6. člena ZVOP-2),

· zakoniti interesi upravljavca, če ne prevladajo interesi in pravice oz. svoboščine posameznika (točka f)).

Glede puščanja dokumentacije na recepciji pa pojasnjujemo, da se morajo osebni podatki obdelovati na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo (sem spada tudi vpogled) ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi. Upravljavec mora pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru. Obdelava oziroma dostop do osebnih podatkov znotraj upravljavca je načeloma stvar odločitve vodstva ter posledično notranje organizacije upravljavca in ureditve v internih aktih, pri čemer mora upravljavec osebnih podatkov upoštevati temeljna načela iz 5. člena Splošne uredbe. V skladu z načelom najmanjšega obsega podatkov mora biti obdelava osebnih podatkov omejena na to, kar je potrebno za namene, za katere se ti podatki obdelujejo. Za posamezno vrsto osebnih podatkov je tako treba pretehtati, kateri izmed zaposlenih se morajo seznaniti s temi podatki glede na namene, za katere se obdelujejo. V dokumentacijo lahko torej vpogledujejo le tiste osebe, ki te podatke nujno potrebujejo za opravljanje svojih delovnih nalog, in sicer zgolj v obsegu zasledovanja konkretnega namena, za katerega so bili osebni podatki primarno pridobljeni.

Lepo vas pozdravljamo.

dr. Jelena Virant Burnik,

informacijska pooblaščenka