IP: Uporaba podatkov zaposlenih
Informacijski pooblaščenec je v mnenju izpostavil, da zaposleni v zdravstveni dejavnosti ne potrebujejo posebnih pooblastil za obdelavo osebnih podatkov pacientov, zlasti osnovne zdravstvene dokumentacije. Upravljavec pa mora dokazovati zagotavljanje ustrezne ravni varnosti na primer z jasno definiranimi uporabniškimi pravicami.
Mnenje je bilo objavljeno 12.2.2024
V ZVOP-2 ni izrecne in splošne zahteve o tem, da bi moral delodajalec (kot upravljavec) za obdelavo osebnih podatkov zaposlenim izdajati posebna pooblastila ali o tem sprejeti določen interni akt.
Vendar je v skladu z drugim odstavkom 5. člena Splošne uredbe upravljavec odgovoren za skladnost z načeli varstva osebnih podatkov in mora biti to skladnost tudi zmožen dokazati. To pomeni, da je praviloma treba pisno določiti osebe, ki imajo določene uporabniške pravice glede določenih zbirk osebnih podatkov, zlasti če gre za zelo pomembne oziroma občutljive zbirke osebnih podatkov, kot je na primer interni informacijski sistem za podporo zdravstvene dejavnosti.
Obrazložitev:
Za razliko od nekdanjega ZVOP-1, v ZVOP-2 ni več določena obveznost, da »upravljavci v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke«. Take izrecno določene obveznosti, ki bi splošno veljala za vse podatke, vse zbirke in vse upravljavce tudi ni v Splošni uredbi.
V prvem odstavku 5. člena Splošne uredbe so določena obvezna načela »zakonitosti, pravičnosti in preglednosti«, »omejitve namena«, »najmanjšega obsega podatkov«, »točnosti«, »omejitve shranjevanja« ter »celovitosti in zaupnosti«. V skladu z drugim odstavkom 5. člena Splošne uredbe je upravljavec odgovoren za skladnost s prvim odstavkom in je to skladnost tudi zmožen dokazati (»načelo odgovornosti«).
Med ukrepe za zagotavljanje varnosti in ukrepe za dokazovanje skladnosti praviloma spada tudi pisno določanje pooblastil oziroma uporabniških pravic zaposlenih za dostop in drugo uporabo zbirk osebnih podatkov, katerih upravljavec je delodajalec. Pisno določanje uporabniških pravic se ne izvaja nujno na način izdajanja individualnih pooblastil, pač pa gre lahko tudi na primer zgolj za vodenje seznamov. Na primer, če imajo zaposleni nivojsko oziroma selektivno omejene uporabniške pravice za uporabo informatiziranih zbirk osebnih podatkov v zdravstvu (tu gre za organizacijski in tehnični ukrep), mora biti delodajalec kadarkoli zmožen dokazati vrsto in obseg uporabniških pravic po posameznem zaposlenem (npr. s prikazom seznama iz sistema). Sicer pa velja splošno pravilo, da lahko zaposleni dostopajo do osebnih podatkov (npr. pacientov) in jih uporabljajo le za potrebe opravljanja dela. Kakšne so konkretne delovne potrebe za posameznega zaposlenega, izhaja iz različnih dokumentov, na primer iz sistemizacije delovnih mest, pogodbe o zaposlitvi, pisnih navodil, razporedov del, seznamov dodeljenih nalog v reševanje, specialnih pooblastil za določene naloge. Delovne potrebe oziroma »pooblastila« torej ne izhajajo nujno in v vseh primerih iz posebnih seznamov, pač pa se uporabniške pravice lahko dokazujejo tudi s kombinacijami omenjenih dokumentov.
Če povzamemo, v primeru posebnih zbirk osebnih podatkov zaradi velikega obsega podatkov, njihove občutljivosti ali visokih tveganj (tipičen primer so informatizirane zbirke osebnih podatkov v zdravstvu), mora biti na voljo vsaj seznam uporabnikov z jasno opredeljenimi uporabniškimi pravicami. V nasprotnem primeru upravljavec torej težko dokaže ustrezno raven zagotavljanja varnosti in siceršnje skladnosti.
Zakon lahko za določene primere določa obvezno izdajanje pooblastil. Tak primer je ZVOP-2 v 78. členu, ko gre za pooblastilo za neposredno spremljanje dogajanja pred kamerami in v 80. členu, ko gre za pooblastilo za izvajanje videonadzora javnih površin, pa tudi v 76. členu, iz katerega izhaja obveznost določitve »pooblaščene osebe« za videonadzorni sistem.
Celotno mnenje je na voljo tukaj.
Vir: IPRS
