Številka: 0603-59/2021/5
Datum: 21. 03. 2022
Informacijski pooblaščenec (v nadaljevanju prekrškovni organ) po pooblaščeni uradni osebi … po uradni dolžnosti izdaja na podlagi drugega odstavka 51. člena in 46. člena Zakona o prekrških (Uradni list RS, št. 29/11-UPB8, s spr., v nadaljevanju ZP-1) ter 2. in 8. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07), v postopku o prekršku zoper odgovorno osebo … (v nadaljevanju: …), …, zaradi prekrška po drugem odstavku 91. člena v povezavi s 1. točko prvega odstavka 91. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20, v nadaljevanju ZVOP-1), naslednjo
ODLOČBO O PREKRŠKU
Kršiteljica: …, EMŠO: …, … državljanka, v času storitve prekrška zaposlena v …, na delovnem mestu …, je
odgovorna za prekršek
po drugem odstavku 91. člena ZVOP-1 v povezavi s 1. točko prvega odstavka 91. člena ZVOP-1,
ki ga je storila s tem, da je dne 24. 12. 2020 ob 8:44 uri v prostorih … z uporabo osebnega gesla priklicala in vpogledala v osebne podatke pacientke …, ki se vodijo v informacijskem sistemu ISOZ21 (akcija: Pacient), ne da bi za takšno obdelavo (priklic in vpogled) osebnih podatkov imela podlago v zakonu, saj jih ni obdelovala za namen zdravstvene obravnave pacientke ali za druge zakonite namene v okviru opravljanja svojih del in nalog v …, za obdelavo osebnih podatkov pa tudi ni imela pacientkine osebne privolitve, s čimer je kršila 8. člen ZVOP-1.
Navedeni prekršek je storila pri opravljanju dejavnosti pravne osebe … (v času storitve prekrška je bila pooblaščena opravljati dela in naloge …) in z njenimi sredstvi (z uporabo službenega računalnika in dostopnih pravic do zbirke osebnih podatkov pacientov v informacijskem sistemu ISOZ21, ki so ji bile dodeljene za namen opravljanja njenih delovnih nalog v …), zaradi česar na podlagi prvega odstavka 15. člena in prvega odstavka 15.a člena ZP-1 za prekršek odgovarja kot odgovorna oseba pravne osebe.
Kršiteljici se zato na podlagi drugega odstavka 91. člena ZVOP-1 v povezavi s 1. točko prvega odstavka 91. člena ZVOP-1 in ob uporabi tretjega odstavka 52. člena ZP-1
i z r e č e
GLOBA v znesku 830 EUR.
Kršiteljica mora plačati globo na transakcijski račun št. 01100-8450051825 (po priloženem UPN).
Kršiteljica mora na podlagi prvega odstavka 143. člena v zvezi s prvim odstavkom 144. člena in drugim odstavkom 58. člena ZP-1 plačati sodno takso v znesku 83 EUR. Sodno takso, ki je kršiteljici za izrečeno globo odmerjena po tarifni številki 8111 Zakona o sodnih taksah (Uradni list RS, št. 37/08, s spr.), mora kršiteljica plačati na transakcijski račun št. 01100-8450162502 (po priloženem UPN).
Kršiteljica mora plačati celotni znesek izrečene globe in sodno takso v 15 dneh po pravnomočnosti odločbe o prekršku. Po preteku roka za plačilo lahko kršiteljica pri organu, pristojnem za prisilno izterjavo (FURS), zaprosi za plačilo globe in stroškov postopka v obrokih. Če kršiteljica v določenem roku globe in stroškov postopka ne bo plačala, se bodo neplačana globa in stroški postopka izterjali prisilno. Če globe ne bo mogoče izterjati niti prisilno, se bo globa, ki je bila izrečena kršiteljici, lahko v skladu z zakonom izvršila z nadomestnim zaporom. Če kršiteljica zaradi svojega premoženjskega stanja oziroma zmožnosti za plačilo, ki bi bila upravičena do redne brezplačne pravne pomoči po materialnem kriteriju iz zakona, ki ureja brezplačno pravno pomoč, ne more plačati globe in stroškov postopka v višini najmanj 300 EUR, lahko najpozneje do poteka roka za plačilo vloži pri organu, ki je izdal odločbo, predlog, da se plačilo globe in stroškov postopka nadomesti z delom v splošno korist.
O b r a z l o ž i t e v
I.
(Izjava kršiteljice)
Prekrškovni organ je dne 2. 2. 2022 kršiteljici poslal pisno obvestilo, da se izjavi o dejstvih oziroma okoliščinah prekrška, ki ji je bilo vročeno dne 9. 2. 2022. Kršiteljica je v svoji pravočasni izjavi z dne 11. 2. 2022, ki jo je prekrškovni organ prejel dne 14. 2. 2022 navedla, da zdravstvenih podatkov sodelavke ni preverjala, možno pa je, da je preverila kdaj ima sodelovka rojstni dan. Iz zapisa akcije: Pacient je razvidno, da ni vpogledovala v njene zdravstvene podatke ter da se zaveda, da je uporaba in druga obdelava pacientovih zdravstenih in drugih osebnih podatkov izven postopkov zdravstvene oskrbe dovoljena le z njegovo privolitvijo. Na delovnem mestu pazi, ko zapusti delovno mesto, da se vedno odjavi iz sistema, geslo menja v skladu z navodili delodajalca ter ima gesla skrita na samo njej znanem mestu. V skladu z zgoraj navedenim očitanim prekrškom izjavlja, da ni odgovorna za očitani prekršek.
II.
(Pravne podlage za obdelavo osebnih podatkov in ugotovitve prekrškovnega organa)
Osebni podatek je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen, posameznik pa je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek (1. in 2. točka 6. člena ZVOP-1). Obdelava osebnih podatkov v skladu s 3. točko 6. člena ZVOP-1 pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje. Vsi osebni podatki sami po sebi torej ne uživajo zaščite po ZVOP-1, ampak so te zaščite deležni le v primeru, če so del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov.
V konkretnem primeru je šlo za obdelavo (priklic in vpogled) osebnih podatkov pacientke in hkrati zaposlene v … , ki jih … kot upravljavec zbirke osebnih podatkov pacientov vodi v informacijskem sistemu ISOZ21, med katerimi so tudi podatki o zdravstvenem stanju, ki se skladno z 19. točko 6. člena ZVOP-1 štejejo med občutljive osebne podatke.
Po določbi prvega odstavka 8. člena ZVOP-1 se lahko osebni podatki obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. Drugi odstavek istega člena določa, da mora biti namen obdelave osebnih podatkov določen v zakonu, v primeru obdelave osebnih podatkov na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov. Ker je določba prvega odstavka 8. člena ZVOP-1 splošne narave, so pravne podlage za dopustno obdelavo osebnih podatkov podrobneje določene v 9. členu ZVOP-1 za javni sektor in v 10. členu ZVOP-1 za zasebni sektor. … se v skladu z 22. točko 6. člena ZVOP-1 šteje v javni sektor.
Prvi odstavek 9. člena ZVOP-1 določa, da se osebni podatki v javnem sektorju lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon, z zakonom pa se lahko določi, da se določeni osebni podatki obdelujejo le na podlagi osebne privolitve posameznika. Po določbi drugega odstavka 9. člena ZVOP-1 lahko nosilci javnih pooblastil obdelujejo osebne podatke tudi na podlagi osebne privolitve posameznika brez podlage v zakonu, kadar ne gre za izvrševanje njihovih nalog kot nosilcev javnih pooblastil. Zbirke osebnih podatkov, ki nastanejo na tej podlagi, morajo biti ločene od zbirk osebnih podatkov, ki nastanejo na podlagi izvrševanja nalog nosilca javnih pooblastil. Ne glede na prvi odstavek 9. člena ZVOP-1 se lahko v javnem sektorju obdelujejo osebni podatki posameznikov, ki so z javnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe (tretji odstavek 9. člena ZVOP-1), in izjemoma tisti osebni podatki, ki so nujni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo (četrti odstavek 9. člena ZVOP-1).
Prekrškovni organ je postopek o prekršku zoper kršiteljico uvedel na podlagi dokumentov, ki so bili prekrškovemu organu poslani s strani … , in sicer Uradnega zaznamka glede ugotovitev ob možnih neupravičenih vpogledih v zdravstveno dokumentacijo z dne 15. 4. 2021, izpis iz informacijskega sistema ISOZ21 Varovanje podatkov – Seznam uporabnikov, ki so dostopali do podatkov pacienta z dne 26. 3. 2021 (dokument št. 0610-96/2021/8 z dne 15. 4. 2021 in dokument št. 0610-96/2021/10 z dne 6. 5. 2021). V dokumentu št. 0610-96/2021/8 z dne 15. 4. 2021 je … navedel, da je v njihovem zavodu dne 31. 3. 2021 in 1. 4. 2021 potekalo pojasnjevanje možnosti neupravičenih vpogledov v zdravstveno dokumentacijo poasmeznikov na osnovi pritožbe pacientke. Skupaj z njihovo pooblaščeno osebo za varstvo podatkov … so pripravili zapisnik, v katerem so zabeležili pojasnila zaposlenih glede vpogledov v zdravstveno dokumentacijo, ki so bili zabeleženi v obdobju od novembra 2020 do marca 2021. Na podlagi zapisanih pojasnil so ugotovili, da nekaj zaposlenih ni uspelo zadovoljivo pojasniti namena vpogleda, se ga niso spomnili oziroma niso ustrezno varovali svojega uporabniškega imena in gesla. Med temi zaposlenimi je bila tudi kršiteljica, s katero je … v internem postopku opravil razgovor ter kot dokaz predložil izpis iz bolnišničnega informacijskega sistema ISOZ21 (dokument št. 0610-96/2021/10 z dne 6. 5. 2021), iz katerega je razvidno, kdaj je kršiteljica obdelovala pacientkine osebne podatke.
Prekrškovni organ je na podlagi izjave kršiteljice in dokumentacije, ki jo je prejel od …, zaključil, da kršiteljica za obdelavo osebnih podatkov pacientke ni imela nobene od pravnih podlag iz 8. in 9. člena ZVOP-1. Kršiteljica bi osebne podatke pacientke lahko uporabila le za namen njene zdravstvene obravnave in druge namene, ki jih določa zakon, ne bi pa jih smela brez pacientkine privolitve uporabiti v zasebne namene. Četrti odstavek 44. člena ZPacP namreč določa, da je uporaba in druga obdelava pacientovih zdravstvenih in drugih osebnih podatkov izven postopkov zdravstvene oskrbe dovoljena le z njegovo privolitvijo ali privolitvijo oseb, ki imajo pravico do privolitve v medicinski poseg ali zdravstveno oskrbo, če pacient ni sposoben odločanja o sebi.
Prekrškovni organ poudarja, da dodelitev pravic za dostop do osebnih podatkov v informacijskem sistemu ISOZ21 ne pomeni, da lahko pooblaščene osebe (osebe, ki jih je določil …) podatke obdelujejo kadarkoli in izven namenov, ki jih določa področna zakonodaja. Pooblaščene osebe lahko do osebnih podatkov pacientov dostopajo izključno za potrebe opravljanja svojega dela v …, kar pomeni, da mora vsaka pooblaščena oseba izkazati zakonit namen za vsak vpogled v podatke, ki ga je opravila. Konkreten vpogled v osebne podatke ni bil povezan z opravljanjem dela kršiteljice, kar je tudi sama s svojo navedbo »mogoče sem preverjala kdaj ima sodelavka rojstni dan« delno priznala tako v internem postopku, ki ga je zoper njo vodil delodajalec …, kot tudi v tem prekrškovnem postopku. Kršiteljica je osebne podatke obdelovala v lastne namene, in sicer da je preverila kdaj ima sodelavka rojstni dan.
V zvezi z namenom obdelave osebnih podatkov prekrškovni organ opozarja na načelo namembnosti, ki ga ureja 16. člen ZVOP-1, ki določa, da se osebni podatki lahko zbirajo le za določene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, če zakon ne določa drugače. Smiselno enako določbo vsebuje tudi prvi odstavek 38. člena Ustave Republike Slovenije.
III.
(Sklep)
Na podlagi zgoraj navedenega je prekrškovni organ zaključil, da je … z v izreku odločbe opisanim ravnanjem izpolnila zakonske znake prekrška po drugem odstavku 91. člena ZVOP-1 v povezavi s 1. točko prvega odstavka 91. člena ZVOP-1, za katerega je predpisana globa od 830 do 2.080 EUR.
Prekrškovni organ je pri določitvi sankcije ravnal v skladu s svojo dosedanjo prakso in kršiteljici izrekel sankcijo, kakršno je kršiteljem izrekal v podobnih primerih. Pri odmeri sankcije je upošteval tretji odstavek 52. člena ZP-1, ki določa, da se v primeru, če je globa predpisana v razponu, v hitrem postopku izreče najnižje predpisana mera globe, če z zakonom ni določeno drugače.
Prekrškovni organ dodaja, da v konkretnem primeru niso izpolnjeni pogoji za izrek opomina, ki ga sme skladno s prvim odstavkom 21. člena ZP-1 izreči za prekršek, storjen v takih olajševalnih okoliščinah, ki ga delajo posebno lahkega, skladno z drugim odstavkom istega člena pa tudi, če je prekršek v tem, da ni bila izpolnjena predpisana obveznost, ali je bila s prekrškom povzročena škoda, storilec pa je pred izdajo odločbe oziroma sodbe o prekršku izpolnil predpisano obveznost oziroma popravil ali povrnil povzročeno škodo. Prekrškovni organ je ugotovil, da pri obravnavanem prekršku ne gre za neizpolnjevanje predpisane obveznosti ali povrnitev povzročene škode s strani kršiteljice, prav tako ni našel olajševalnih okoliščin, saj kršiteljica prekrška ni storila po pomoti, ampak namerno, da bi si pridobila določene osebne podatke pacientke, za kar je zlorabila dostopne pravice, ki ji jih je dodelil delodajalec za namen opravljanja njenega dela. Kot obteževalno okoliščino je prekrškovni organ upošteval tudi dejstvo, da je bil pri konkretnem prekršku opravljen vpogled v osebne podatke pacientke, ki je hkrati tudi zaposlena v istem zavodu kot kršiteljica. Glede na kršiteljičino navedbo, da je možno, da je preverila, kdaj ima sodelavka rojstni dan, pa se tudi zastavlja vprašanje zakaj podatkov ni preverila pri sami pacientki oziroma sodelavki ali pa podatka ni preverila pri pristojni službi v sklopu zavoda.
IV.
(Stroški postopka)
Kršitelj mora na podlagi prvega odstavka 143. člena v zvezi s prvim odstavkom 144. člena in drugim odstavkom 58. člena ZP-1, v roku 15 dni od pravnomočnosti te odločbe o prekrških plačati sodno takso v znesku, navedenem v izreku te odločbe, lahko pa v navedenem roku predlaga plačilo sodne takse na obroke. Sodna taksa je kršitelju odmerjena za izrečeno globo, ki po tarifni številki 8111 Zakona o sodnih taksah (Uradni list RS, št. 37/08in 97/10, s spremembami, v nadaljevanju ZST-1) (izrek globe – 10% od zneska globe vendar najmanj 40 EUR in največ 10.000 EUR) znaša 83 EUR (10% od zneska globe vendar najmanj 40 EUR in največ 10.000 EUR).
PRAVNI POUK: Zoper odločbo o prekrških sme kršitelj, njegov zakoniti zastopnik oziroma zagovornik vložiti zahtevo za sodno varstvo, pod pogojem, da je upravičenec pravočasno pisno napovedal njeno vložitev. Zahteva za sodno varstvo se lahko vloži v roku 8 dni od vročitve te odločbe o prekršku. Zahtevo je treba vložiti pisno po pošti ali osebno v dveh izvodih pri Informacijskem pooblaščencu, Dunajska cesta 22, 1000, Ljubljana, in velja za pravočasno, če je oddana zadnji dan roka za vložitev zahteve priporočeno po pošti ali neposredno pri organu. O zahtevi za sodno varstvo bo najprej odločal prekrškovni organ v skladu s petim odstavkom 63. člena ZP-1. Če prekrškovni organ odločbe ne bo odpravil ali postopka za prekrške ustavil, ali jo odpravil in nadomestil z novo odločbo, bo zahtevo za sodno varstvo na podlagi sedmega odstavka 63. člena ZP-1 posredoval v odločitev krajevno pristojnemu sodišču prve stopnje, ki je pristojno za odločanje o prekrških po določbah rednega sodnega postopka
Pod pogoji in v skladu s predpisi, ki urejajo finančno poslovanje prekrškovnega organa, lahko kršitelj plača globo in stroške postopka tudi z negotovinskim plačilnim sredstvom.
Pooblaščena uradna oseba:
….
državna nadzornica za varstvo osebnih podatkov
Vročiti:
· …., z vročilnico;
· arhiv, tu.
Priloga :
- UPN – izpolnjen univerzalni plačilni nalog za plačilo globe, z napisanim zneskom 830 eurov;
