Datum: 12.02.2024
Številka: 07120-1/2024/53
Kategorije: Varnost osebnih podatkov, Zdravstveni osebni podatki, Pridobivanje OP iz zbirk, Delovna razmerja

Pri Informacijskem pooblaščencu (IP) smo dne 6. 2. 2024 prejeli vaše vprašanje o tem, ali mora delodajalec, ki je izvajalec zdravstvene dejavnosti zaposlenim izdati posebna pooblastila za dostop oziroma obdelavo osebnih podatkov pacientov, zlasti osnovne zdravstvene dokumentacije.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena ZVOP-2, 58. členom Splošne uredbe o varstvu podatkov, 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. Pojasnjujemo še, da se lahko dokončno opredeljujemo do konkretnih obdelav osebnih podatkov le v nadzornih postopkih in ob upoštevanju vseh okoliščin konkretnega primera.

V ZVOP-2 ni izrecne in splošne zahteve o tem, da bi moral delodajalec (kot upravljavec) za obdelavo osebnih podatkov zaposlenim izdajati posebna pooblastila ali o tem sprejeti določen interni akt.

Vendar je v skladu z drugim odstavkom 5. člena Splošne uredbe upravljavec odgovoren za skladnost z načeli varstva osebnih podatkov in mora biti to skladnost tudi zmožen dokazati. To pomeni, da je praviloma treba pisno določiti osebe, ki imajo določene uporabniške pravice glede določenih zbirk osebnih podatkov, zlasti če gre za zelo pomembne oziroma občutljive zbirke osebnih podatkov kot je na primer interni informacijski sistem za podporo zdravstvene dejavnosti.

O b r a z l o ž i t e v:

Za razliko od nekdanjega ZVOP-1, v ZVOP-2 ni več določena obveznost, da »upravljavci v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke«. Take izrecno določene obveznosti, ki bi splošno veljala za vse podatke, vse zbirke in vse upravljavce tudi ni v Splošni uredbi.

V prvem odstavku 5. člena Splošne uredbe so določena obvezna načela »zakonitosti, pravičnosti in preglednosti«, »omejitve namena«, »najmanjšega obsega podatkov«, »točnosti«, »omejitve shranjevanja« ter »celovitosti in zaupnosti«. V skladu z drugim odstavkom 5. člena Splošne uredbe je upravljavec odgovoren za skladnost s prvim odstavkom in je to skladnost tudi zmožen dokazati (»načelo odgovornosti«).

Med ukrepe za zagotavljanje varnosti in ukrepe za dokazovanje skladnosti praviloma spada tudi pisno določanje pooblastil oziroma uporabniških pravic zaposlenih za dostop in drugo uporabo zbirk osebnih podatkov, katerih upravljavec je delodajalec. Pisno določanje uporabniških pravic se ne izvaja nujno na način izdajanja individualnih pooblastil, pač pa gre lahko tudi na primer zgolj za vodenje seznamov. Na primer, če imajo zaposleni nivojsko oziroma selektivno omejene uporabniške pravice za uporabo informatiziranih zbirk osebnih podatkov v zdravstvu (tu gre za organizacijski in tehnični ukrep), mora biti delodajalec kadarkoli zmožen dokazati vrsto in obseg uporabniških pravic po posameznem zaposlenem (npr. s prikazom seznama iz sistema). Sicer pa velja splošno pravilo, da lahko zaposleni dostopajo do osebnih podatkov (npr. pacientov) in jih uporabljajo le za potrebe opravljanja dela. Kakšne so konkretne delovne potrebe za posameznega zaposlenega, izhaja iz različnih dokumentov, na primer iz sistemizacije delovnih mest, pogodbe o zaposlitvi, pisnih navodil, razporedov del, seznamov dodeljenih nalog v reševanje, specialnih pooblastil za določene naloge. Delovne potrebe oziroma »pooblastila« torej ne izhajajo nujno in v vseh primerih iz posebnih seznamov, pač pa se uporabniške pravice lahko dokazujejo tudi s kombinacijami omenjenih dokumentov.

Če povzamemo, v primeru posebnih zbirk osebnih podatkov zaradi velikega obsega podatkov, njihove občutljivosti ali visokih tveganj (tipičen primer so informatizirane zbirke osebnih podatkov v zdravstvu), mora biti na voljo vsaj seznam uporabnikov z jasno opredeljenimi uporabniškimi pravicami. V nasprotnem primeru upravljavec torej težko dokaže ustrezno raven zagotavljanja varnosti in siceršnje skladnosti.

Zakon lahko za določene primere določa obvezno izdajanje pooblastil. Tak primer je ZVOP-2 v 78. členu, ko gre za pooblastilo za neposredno spremljanje dogajanja pred kamerami in v 80. členu, ko gre za pooblastilo za izvajanje videonadzora javnih površin, pa tudi v 76. členu, iz katerega izhaja obveznost določitve »pooblaščene osebe« za videonadzorni sistem. 

Pripravil:
dr. Urban Brulc, univ. dipl. prav.
samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka

Vir: Informacijski pooblaščenec >>