Prijava

Vsebina, do katere želite dostopati, je na voljo samo prijavljenim uporabnikom. Prijavite se z obstoječim uporabniškim imenom in geslom ali izpolnite obrazec za registracijo.

Pozabljeno geslo

Nazaj na prijavo

Registracija

Potrdi

Nazaj na prijavo

Ostali načini prijave

Prijava s SI-PASS

Za pomoč pri prijavi, registraciji ali pozabljenem geslu pišite na našo tehnično podporo.

Uskladitev delovanja izvajalcev zdravstvene dejavnosti s Splošno uredbo o varstvu podatkov in Zakonom o varstvu osebnih podatkov

Splošna uredba o varstvu podatkov (Splošna uredba) in Zakon o varstvu osebnih podatkov (ZVOP-2, ki je začel veljati 26. 1. 2023) sta za upravljalce osebnih podatkov vzpostavila dodatne zahteve v zvezi z zakonito obdelavo le-teh. Splošne informacije o uskladitvi delovanja s Splošno uredbo in ZVOP-2 lahko najdete na spletni strani Informacijskega pooblaščenca

Nabor najpogostejših vprašanj in odgovorov Informacijskega pooblaščenca je dostopen tukaj.

Zaradi uskladitve poslovanja zasebnih izvajalcev zdravstvenih storitev s Splošno uredbo o varstvu podatkov in prenovljenim Zakonom o varstvu osebnih podatkov je Zdravniška zbornica Slovenije naročila izdelavo novih dokumentov, ki so specifično pripravljeni za izvajalce zdravstvene dejavnosti.

Dokumente je pripravila odvetnica Simona Marko, univ. dipl. prav., ki je tudi ponudnica za pooblaščeno osebo za varstvo osebnih podatkov.

Kontakt:  Odvetnica Simona Marko, E-pošta: odvetnica.marko@siol.net.

 


Dokumenti

Pripravljeni so sledeči dokumenti

  • Pravilnik o zavarovanju osebnih podatkov skupaj s prilogami;
  • Pogodba o obdelovanju osebnih podatkov skupaj s prilogo – v povezavi s pogodbo izpostavljamo, da ne gre za obvezen akt izvajalca, jo je pa treba skleniti, kadar ima izvajalec z drugim izvajalcem sklenjeno pogodbo o izvajanju storitev;
  • Pravilnik o določanju rokov hrambe;
  • Oceno učinka v zvezi z varstvom podatkov;

ki so usklajeni s Splošno uredbo in ZVOP-2.

 

Gre za posodobljene verzije prej objavljenih dokumentov, ki upoštevajo ZVOP-2. Zlasti je pomembno, da izvajalci sprejmejo nov, posodobljen Pravilnik o varovanju osebnih podatkov in objavijo Informacije po 13. in 14. členu Splošne uredbe (Priloga 9 v Pravilniku).

Pri ostalih treh dokumentih ni bistvenih sprememb, ker se po vsebini nanašajo na konkretne tehnične in organizacijske ukrepe pri varovanju osebnih podatkov, glede katerih ima ZVOP-2 zelo malo določil in je bolj uporabljiva Splošna uredba. Teh aktov ni treba sprejemati na novo in so veljavni akti iz leta 2018, če jih izvajalec ima.

Akte je treba na novo sprejeti tudi, če so bile izvedene kakšne spremembe v procesu obdelave, zlasti pa pri izvajalcih, ki izvajajo videonadzor ali uporabljajo biometrične podatke.


Določitev pooblaščene osebe

Po določbi prvega odstavka 45. člena ZVOP-2 določijo pooblaščeno osebo upravljavci in obdelovalci v skladu s prvim odstavkom 37. člena Splošne uredbe in vsi upravljavci in obdelovalci v javnem sektorju ter upravljavci in obdelovalci, ki obdelujejo osebne podatke iz 1. do 4. točke prvega odstavka 23. člena ZVOP-2.

Splošna uredba v 37. členu določa obveznost imenovanja pooblaščene osebe kadar:

  1. obdelavo opravlja javni organ ali telo, razen sodišča, kadar delujejo kot sodni organ;
  2. temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali
  3. temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

 

Po določbah 1. do 4. točke prvega odstavka 23. člena ZVOP-2 gre za informacijske sisteme, v katerih:

  1. se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali
  2. se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona (videonadzor), ali
  3. upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali
  4. se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov.

 

Iz spletne strani Informacijskega pooblaščenca glede Pooblaščene osebe za varstvo podatkov po Splošni uredbi in ZVOP-2 sicer glede ureditve iz 37. člena Splošne uredbe izhaja sledeče:

Splošna uredba v 37. členu določa, da morajo pooblaščeno osebo imenovati:

  1. Javni organi in telesa, pri čemer ZVOP-2 v 3. točki drugega odstavka 5. člena določa, da so »javni sektor« državni organi, samoupravne lokalne skupnosti, nosilci javnih pooblastil v delu, kjer izvršujejo javna pooblastila, javne agencije, javni skladi, javni zavodi, univerze, samostojni visokošolski zavodi, zasebni vrtci in zasebne osnovne ter srednje šole, ki izvajajo javno veljavne vzgojno-izobraževalne programe, samoupravne narodne skupnosti, Svet romske skupnosti Republike Slovenije in druge osebe javnega prava, ustanovljene z zakonom;
  2. Podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati. Sem sodijo, npr. banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe. Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov, npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami, angl. CRM), zdravstveni IT sistemi. Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, niso dolžna imenovati pooblaščene osebe.
  3. Tista podjetja in institucije, ki izvajajo obsežno obdelavo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste podatkov, npr. bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev. Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ni dolžan imenovati pooblaščene osebe.

 

Na spletni strani informacijskega pooblaščenca pa lahko pridobite več informacij v zvezi s samim imenovanjem DPO in pogoji, ki jih mora ta izpolnjevati.

 

Mnenje Informacijskega pooblaščenca glede DPO

Zbornica je na Informacijskega pooblaščenca tudi naslovila sledeče vprašanje: Ali imajo ob upoštevanju določb Splošne uredbe o varstvu podatkov in ZVOP-2 obveznost določitve DPO tudi posamezni zasebni zdravniki in zobozdravniki?

 

V povezavi s tem je Informacijski pooblaščenec izdal mnenje, št. 07121-1/2023/366 z dne 17. 3. 2023, v katerem je glede tega zapisal:

Glede zasebnih (zobo)zdravnikov IP pojasnjuje, da načeloma niso dolžni imenovati pooblaščene osebe.

IP pojasnjuje, da so evropski nadzorni organi za varstvo osebnih podatkov že pripravili podrobne smernice o pooblaščenih osebah za varstvo podatkov:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf

Navedene smernice kot primer neobsežne obdelave med drugim navajajo obdelavo podatkov o bolnikih s strani posameznega zdravnika (str. 9). Glede na to tako načeloma posamezni zasebni zdravstveni delavci niso dolžni imenovati pooblaščene osebe za varstvo podatkov.

 

Stališče Informacijskega pooblaščenca je torej, da obveznost imenovanja DPO pri posameznih zasebnih zdravstvenih delavcih načeloma ne obstaja, lahko pa izvajalci to vseeno storijo.


Globe

ZVOP-2 vzpostavlja možnost nadzornega organa, tj. Informacijskega pooblaščenca, da izreka globe, določene s Splošno uredbo. Ta določbe o upravnih globah, ki se zaradi kršitev obveznosti iz Splošne uredbe lahko izrečejo pravnim osebam, vsebuje v 83. členu. ZVOP-2 dodatno določa še globe, ki se lahko zaradi teh istih kršitev izrečejo odgovornim osebam teh pravnih oseb.

Poleg tega ZVOP-2 predpisuje še globe za kršitev določenih obveznosti iz samega ZVOP-2.

 

Uskladitev delovanja zbornice z GDPR

 

V petek, 25. maja 2018 se je začela uporabljati Splošna uredba o varstvu podatkov (GDPR), ki določa nova pravila glede varstva osebnih podatkov. Zbornica je zato pristopila k vsem potrebnim ukrepom za uskladitev svojega delovanja s Splošno uredbo o varstvu podatkov. Kot določa statut, je delo zbornice javno, kar zbornica zagotavlja tako, da svoje člane neposredno obvešča o zadevah iz svojega poslovanja, skladno z zakonom in akti zbornice (14. člen statuta).

Zaradi skladnosti delovanja zbornice s Splošno uredbo o varstvu podatkov vas obveščamo, da je za sledeča obvestila zbornice potrebna vaša aktivna privolitev:

  • informacije o prostih delovnih mestih,
  • informacije in vabila na pomembna strokovna izobraževanja, konference in simpozije drugih organizatorjev ter
  • druga strokovna obvestila in informacije komercialne narave.

Svoje privolitve za posredovanje obvestil lahko vedno urejate tudi v svojem profilu.