Številka: 07100-3/2023/7
Datum: 28. 3. 2023
Informacijski pooblaščenec po informacijski pooblaščenki Mojci Prelesnik (v nadaljevanju IP), na podlagi 77. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), na podlagi 34. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2) in na podlagi četrtega odstavka 65. člena Zakona o splošnem upravnem postopku (Uradni list RS, št. 24/06 – uradno prečiščeno besedilo, 105/06 – ZUS-1, 126/07, 65/08, 8/10, 82/13, 175/20 – ZIUOPDVE in 3/22 – ZDeb; v nadaljevanju ZUP), o vlogi prijavitelja: ……., z dne 27. 1. 2023 zoper ravnanje upravljavca: Nacionalni inštitut za javno zdravje, Trubarjeva cesta 2, 1000 Ljubljana, v zadevi seznanitve z lastnimi osebnimi podatki, izbrisa osebnih podatkov ter prepovedi obdelave osebnih podatkov izdaja naslednjo
O D L O Č B O:
1. Ugotovi se:
- da je bil na dan vložitve prijaviteljeve vloge upravljavec v molku glede prijaviteljeve zahteve za izbris osebnih podatkov, z dne 14. 10. 2022 in
- da je molk odpravljen z odločitvijo upravljavca št. ….., z dne 14. 2. 2023, zaradi česar v tem delu ni več razlogov za vodenje nadzornega postopka.
2. Ugotovi se, da upravljavec glede prijaviteljeve zahteve za izbris osebnih podatkov, z dne 14. 10. 2022 ni kršil 17. člena Splošne uredbe o varstvu podatkov, ker prijavitelj ni upravičen do izbrisa njegovih osebnih podatkov, ki so nastali ali so bili pridobljeni v zvezi s cepljenji, testiranji ali zdravljenjem bolezni COVID-19 v času epidemije COVID-19, in se nahajajo v Centralnem registru podatkov o pacientih ali v Registru cepljenih oseb.
3. Ugotovi se, da je upravljavec glede prijaviteljeve zahteve za seznanitev z lastnimi osebnimi podatki, z dne 10. 10. 2022 v molku, zaradi česar je kršil četrti odstavek 12. člena Splošne uredbe o varstvu podatkov, in se odloči: Upravljavec mora o tej zahtevi vsebinsko odločiti brez nepotrebnega odlašanja najkasneje v enem mesecu od vročitve te odločbe v skladu z 12. in 15. členom Splošne uredbe o varstvu podatkov, ter o odločitvi obvestiti IP v roku 5 dni od odločitve.
4. Posebni stroški v tem postopku niso nastali. Prijavitelj in upravljavec sama nosita svoje stroške.
in naslednji
S K L E P:
1. Vloga prijavitelja v zvezi zahtevo za prepoved obdelave osebnih podatkov v Centralnem registru podatkov o pacientih, se zavrže.
2. Posebni stroški v tem postopku niso nastali. Prijavitelj in upravljavec sama nosita svoje stroške.
O b r a z l o ž i t e v:
1. Dejansko stanje in postopek
Prijavitelj je dne 14. 10. 2022 (datum prejema) pri upravljavcu vložil zahtevo za izbris njegovih osebnih podatkov, ki se nanašajo na COVID-19 in so nastali v času epidemije, vključno s podatki o testiranjih. Upravljavec je, po predhodnem pritožbenem postopku zaradi molka, izdal odločitev št. ……, z dne 14. 2. 2023, s katero zahtevi ni ugodil, ker je po mnenju upravljavca neutemeljena. Zaradi znakov žaljivega in šikanoznega značaja je upravljavec dne 17. 10. 2022 zadevo predal tudi v obravnavo na policijo. Dne 27. 2. 2023 je IP prejel pritožbo prijavitelja, z dne 22. 2. 2023. V njej je prijavitelj zatrjeval, da je upravljavec neutemeljeno zavrnil njegovo zahtevo za izbris osebnih podatkov, kar pomeni, da njegovi osebnih podatki še vedno niso bili izbrisani. Iz odgovora upravljavca izhaja, da je prijavitelj prvo zahtevo za izbris vložil že 9. 5. 2022. Upravljavec je to prijaviteljevo zahtevo zavrnil že dne 27. 6. 2022. Ta zavrnitev ni predmet tega pritožbenega postopka pri IP, ker je rok za pritožbo že potekel.
Prijavitelj je dne 10. 10. 2022 pri upravljavcu vložil tudi zahtevo za seznanitev z lastnimi osebnimi podatki, in sicer na obrazcu »zahteva za seznanitev z lastnimi osebnimi podatki«. Zahteval je izpis vseh njegovih osebnih podatkov in informacijo o roku hrambe podatkov. V vlogi, ki jo je prejel IP, je pojasnil, da zaprošenih osebnih podatkov do 22. 2. 2023 še ni prejel.
Prijavitelj je v vlogi navedel še, da je pri upravljavcu vložil prepoved obdelave osebnih podatkov v Centralnem registru podatkov o pacientih, o čemer ni prejel odgovora.
Prijavitelj je dne 27. 1. 2023 pri IP vložil vlogo z navedbami, da upravljavec ni ugodil nobeni od njegovih zahtev.
IP je 27. 2. 2023 prejel dodatna pojasnila prijavitelja o njegovih zahtevah, odgovorih upravljavca ter o razlogih za vlogo pri IP.
IP je dne 8. 3. 2023 izdal »zapis bistvenih ugotovitev in poziv za izjavo pred odločitvijo« na podlagi drugega odstavka 32. člena in drugega odstavka 33. člena ZVOP-2, ter ga vročil upravljavcu in prijavitelju.
Upravljavec je na zgornji dopis odgovoril dne 16. 3. 2023, prijavitelj pa dne 20. 3. 2023.
Ker je IP ocenil, da je dejansko stanje dovolj razčiščeno, ni izvedel drugih procesnih dejanj.
2. Predmet in meje nadzornega postopka
IP je v predmetnem nadzornem postopku postopal po določbah 30. do 35. člena ZVOP-2 (postopek na podlagi vloge prijavitelja s posebnim položajem). Za ta postopek je med drugim značilno, da je upravljavec tudi stranka postopka, da ne velja pravilo o tajnosti vira prijave in da IP postopa v skladu s preiskovalnimi in ureditvenimi pooblastili iz 58. člena Splošne uredbe o varstvu podatkov in 28. ter 29. člena ZVOP-2 ter v skladu s splošnimi pravili ZUP.
IP je na podlagi navedb upravljavca in prijavitelja ugotovil, da je treba v tem nadzornem postopku ugotoviti, ali je glede pravice do seznanitve in pravice do izbrisa osebnih podatkov upravljavec v molku, ali je glede pravice do izbrisa upravljavec upravičeno zavrnil prijaviteljevo zahtevo, ali je prosilec upravičen do realizacije prepovedi obdelave v CRPP oziroma, ali gre za pravico iz Splošne uredbe o varstvu podatkov.
IP v tem postopku ni presojal domnevne šikanoznosti in žaljivosti prijaviteljevih zahteve, ker se upravljavec pri odločanju ni izrecno skliceval na t.i. očitno neutemeljenost zahteve po petem odstavku 12. člena Splošne uredbe o varstvu podatkov. Ta določa, da kadar je zahteva posameznika očitno neutemeljena, lahko upravljavec zavrne ukrepanje v zvezi z zahtevo, dokazno breme pa nosi upravljavec. IP se strinja, da je prijavitelj v zahtevah uporabljal neprimerno besedišče, vendar bi moral upravljavec – če je šikanoznost in žaljivost zahtev štel kot razlog za očitno neutemeljenost – o tem formalno odločiti. Splošna uredba o varstvu podatkov za take primere torej ne dopušča molka in prevlada nad določbami o Uredbe o upravnem poslovanju.
IP v predmetnem nadzornem postopku – v skladu z načelom ekonomičnosti postopka ter 138. in 139. členom ZUP – ni na konkretni ravni presojal, katere konkretne podatke upravljavec vodi v zvezi s prijaviteljem v povezavi z epidemijo COVID-19 (podatki o cepljenju, testiranju in zdravljenju), ker za to ni bilo potrebe, saj:
- je sporno le pravno vprašanje o pogojih za izbris,
- v zvezi s presojo domnevnega molka ne gre za vsebinsko presojo utemeljenosti prijaviteljeve zahteve, pač pa le za procesno problematiko in
- IP ni upravljavec ali pritožbeni organ glede prepovedi obdelave podatkov v CRPP.
3. Splošno o pravici do izbrisa, seznanitve in prepovedi obdelave
3.1. Pravica posameznika do izbrisa lastnih osebnih podatkov
Po prvem odstavku 17. člena Splošne uredbe o varstvu podatkov posameznik lahko pri upravljavcu uveljavlja pravico do izbrisa osebnih podatkov oziroma pravico do pozabe (alternativni pogoji):
- če ti ne služijo več prvotnemu namenu obdelave;
- če posameznik prekliče privolitev in za nadaljnjo obdelavo ni druge pravne podlage;
- če za obdelavo osebnih podatkov ni (več) pravne podlage, ker je posameznik uveljavljal ugovor po 21. členu Splošne uredbe o varstvu podatkov;
- če so bili podatki obdelani nezakonito;
- če je izbris podatkov obvezen po predpisih;
- če so bili podatki zbrani v zvezi s storitvami informacijske družbe po prvem odstavku 8. člena Splošne uredbe o varstvu podatkov.
3.2. Pravica posameznika do seznanitve z lastnimi osebnimi podatki
Pravica posameznika do seznanitve z lastnimi osebnimi podatki je kot temeljna človekova pravica, konkretizirana v prvem odstavku 15. člena Splošne uredbe, ki določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov ter določene konkretne informacije v zvezi z obdelavo osebnih podatkov. Poleg izhodiščne predpostavke, to je obstoja zahtevanih osebnih podatkov, so materialnopravni pogoji za uresničitev pravice do seznanitve z lastnimi osebnimi podatki po 15. členu Splošne uredbe naslednji:
- zahtevani podatki morajo ustrezati definiciji osebnih podatkov (pogoj podvrženosti pojmu osebnega podatka);
- zahtevani osebni podatki se morajo nanašati na prosilca (pogoj navezovanja osebnih podatkov na prosilca);
- zahtevani osebni podatki oziroma zahtevano dokumentarno gradivo kot nosilec osebnih podatkov mora obstajati v zunaj zaznavni fizični ali elektronski obliki (pogoj materializirane oblike);
- zahtevani osebni podatki se morajo nahajati v posameznikovi zbirki osebnih podatkov v smislu definicije zbirke oziroma morajo biti osebni podatki vodeni na način, da ustvarjajo zbirko osebnih podatkov (pogoj obstoja zbirke osebnih podatkov; IP namreč ni pristojen za odločanje o seznanitvi z lastnimi osebnimi podatki, ki se nahajajo izven zbirke osebnih podatkov, temveč ima glede teh posameznik pravico do sodne presoje);
- z zahtevanimi osebnimi podatki mora razpolagati upravljavec (pogoj obstoja upravljavca osebnih podatkov);
- glede zahtevanih osebnih podatkov ne smejo obstajati posebne zakonske omejitve (v smislu omejitev, ki jih predvideva četrti odstavek 15. člena in 23. člen Splošne uredbe) ali nadzakonskih omejitev dostopa do lastnih osebnih podatkov.
3.3. Pravica posameznika do prepovedi obdelave osebnih podatkov v CRPP
V drugem in tretjem odstavku 14.c člena Zakona o zbirkah podatkov s področja zdravstvenega varstva (ZZPPZ) je določeno, da ima pacient pravico s pisno izjavo prepovedati vpogled v povzetek podatkov o pacientu. Prepoved se lahko poda za izvajalca ali državo izvajalca. Pacient lahko s pisno izjavo omeji uporabo svojih kontaktnih podatkov. Prepoved ni mogoča za naslednje podatke:
- osebno ime;
- EMŠO;
- ZZZS številka zavarovane osebe;
- podatek o pisnih izjavah volje pacienta pod podtočko p) 1. točke četrtega odstavka prejšnjega člena;
- podatek o pisni izjavi pacienta iz prejšnjega odstavka;
- podatek o smrti: dan, mesec, leto, ura in kraj smrti.
4. Presoja prijaviteljevih navedb o molku in zavrnitvi zahteve za izbris
1. Na podlagi pregleda razpoložljivega dokumentarnega gradiva je IP ugotovil, je prijavitelj dne 27. 1. 2023 vložil vlogo pri IP. Zahtevo za izbris je pri upravljavcu vložil dne 14. 10. 2022. Po pozivanju upravljavca s strani IP, je upravljavec dne 14. 2. 2023 izdal odločitev št. ….., s katero je zahtevo vsebinsko zavrnil. IP ne zanika dejstva, da je upravljavec na razne predhodne prijaviteljeve zahteve odgovarjal tudi pred 14. 10. 2022, vendar je glede na navedeno očitno, da je prijavitelj na zahtevo, z dne 14. 10. 2022 prejel vsebinsko odločitev šele dne 14. 2. 2023. To pomeni, da je bil upravljavec – na dan prejema prosilčeve vloge s strani IP – v molku, saj je rok za odločitev o zahtevi en mesec kot to izhaja iz tretjega odstavka 12. člena Splošne uredbe o varstvu podatkov. Ta rok se sicer izjemoma lahko podaljša, vendar upravljavec do izteka enomesečnega roka ni sprejel formalne odločitve o podaljšanju in o tem ni obvestil prijavitelja.
Glede na zgoraj navedeno, je IP odločil kot izhaja iz 1. točke izreka te odločbe.
2. Upravljavec je zahtevo za izbris zavrnil z zgoraj omenjenim obvestilom št. …... Zavrnitev je utemeljil z navedbo o neupravičenosti izbrisa glede na obstoječo zakonodajo. IP ugotavlja, da je upravljavec upravičeno zavrnil prijaviteljevo zahtevo, ker v konkretnem primeru za izbris osebnih podatkov v povzetku podatkov o pacientu znotraj CRPP ni izpolnjen noben izmed izbrisnih pogojev iz (a) do (f) točke prvega odstavka 17. člena Splošne uredbe o varstvu podatkov:
a) pogoj nezakonitosti vodenja podatkov:
- ker prijavitelj ni zatrjeval in tudi ne dokazal nezakonitega ravnanja upravljavca pri vnosu prijaviteljevih podatkov in nadaljnjem vodenju teh podatkov v CRPP, in
- ker 2. in 3. točka četrtega odstavka 14.b ZZPPZ določata, da se v »povzetek podatkov o pacientu« (ta je del CRPP) vpisuje tudi podatek o cepljenju ter zdravstvena stanja (rezultati testiranja za COVID-19 in morebitno zdravljenje zaradi COVID-19) za zadnjih šest mesecev. S tem je določena izrecna zakonska podlaga za obdelavo predmetnih osebnih podatkov kot to zahtevata (h) in (i) točka drugega odstavka 9. člena Splošne uredbe o varstvu podatkov;
b) pogoj poteka zakonskega roka hrambe, ker 14.d člen ZZPPZ določa, da se podatki o posameznem pacientu iz drugega odstavka 14.b člena ZZPPZ v CRPP hranijo do njegove smrti, pri čemer se podatki iz 3. točke četrtega odstavka 14.b člena tega zakona po poteku časovne omejitve blokirajo tako, da se prepreči njihova nadaljnja obdelava v CRPP. Ne glede na prvi in drugi odstavek 14.d člena se podatki hranijo 30 let od zadnje spremembe pacientovih zdravstvenih podatkov ali pacientove zdravstvene dokumentacije, če podatek o smrti pacienta v CRPP ni znan. Podatek o cepljenju se torej vpisuje brez časovne omejitve, podatek o zdravstvenem stanju pa šest mesecev, toda po preteku tega roka se podati ne izbrišejo ali uničijo, temveč le blokirajo, kar pomeni, da se lahko do njih dostopa in se jih uporablja le izjemoma pod posebnimi pogoji;
c) pogoj poteka namena obdelave, ker je namen obdelave prijaviteljevih osebnih podatkov vezan na zakonske določbe, zaradi česar namen obdelave osebnih podatkov traja ex lege do poteka zakonskih rokov njihove hrambe;
d) pogoj preklica privolitve, ker vpis obravnavanih osebnih podatkov ni temeljil na prijaviteljevi privolitvi, temveč na zakonski podlagi, tj. ZZPPZ. Ker privolitev ni bila pogoj in tudi ni bila dana, po naravi stvari tudi njen preklic ni možen. Tudi drugi odstavek 14.c člena ZZPPZ določa, da se podatki v CRPP vodijo brez soglasja pacienta;
e) pogoj, da so bili osebni podatki zbrani v zvezi s ponudbo storitev informacijske družbe iz prvega odstavka 8. člena Splošne uredbe o varstvu podatkov, ker pri obdelavi obravnavanih osebnih podatkov ni šlo za storitve informacijske družbe v smislu omenjenega člena in ker se ta določba nanaša na problem privolitvene starosti otroka;
f) pogoj vložitve utemeljenega ugovora posameznika v skladu s prvim ali drugim odstavkom 21. člena Splošne uredbe o varstvu podatkov, ker se prijaviteljevi osebni podatki niso obdelovali na podlagi (e) ali (f) točke prvega odstavka 6. člena uredbe (temveč na podlagi (h) in (i) točke drugega odstavka 9. člena uredbe) in ker ne gre za prijaviteljev ugovor zoper neposredno trženje, saj upravljavec tega gotovo ni izvajal.
Enaki razlogi za to, da prosilec ni upravičen do izbrisa, veljajo tudi za Register cepljenih oseb (eRCO) v skladu z ZZPPZ, Priloga 1, NIJZ 49 (»Register obveznikov za cepljenje in izvajanja
cepljenja«). Za to zbirko osebnih podatkov namreč velja zakonski rok hrambe »trajno«.
Glede na zgoraj navedeno je bilo treba zavrniti pavšalno argumentacijo prijavitelja o domnevni nezakonitosti ravnanja upravljavca, ter odločiti kot izhaja iz 2. točke izreka te odločbe.
5. Presoja prijaviteljevih navedb o molku glede zahteve za seznanitev
Iz razpoložljivega dokumentarnega gradiva ne izhaja, da je upravljavec v celoti dokončno vsebinsko odločil o prijaviteljevi zahtevi za seznanitev z lastnimi osebnimi podatki, ki jo je vložil 10. 10. 2022. Upravljavec tudi na poziv IP ni predložil dokazila o odločitvi, prijavitelj pa tudi v zadnjem odzivu vztraja pri zatrjevanju, da še vedno ni prejel osebnih podatkov, ki jih je zahteval. Upravljavec je prijavitelju sicer posredoval seznam zbirk osebnih podatkov (ne pa samih osebnih podatkov) in mu predlagal, da vloži zahtevo na posebnem obrazcu, toda to ni vsebinski odgovor (meritorna odločitev), ki ga zahteva 12. člen v povezavi s 15. členom Splošne uredbe o varstvu podatkov. Glede na navedeno je še vedno podan molk upravljavca. Enomesečni rok za odločitev je določen v četrtem odstavku 12. člena Splošne uredbe o varstvu podatkov.
Če upravljavec meni, da je prijaviteljeva zahteva še vedno nepopolna, lahko prijavitelja ponovno pozove za dopolnitev zahteve, vendar mu mora pojasniti, zakaj je zahteva nepopolna in kako lahko to nepopolnost odpravi. V primeru, da bo dopolnitev ponovno šikanoznega in žaljivega značaja, je treba odločiti po določbah petega odstavka 12. člena Splošne uredbe o varstvu podatkov (gl. 2. točko obrazložitve zgoraj).
Glede na navedeno je IP odločil kot izhaja iz 3. točke odločbe. Enomesečni rok je po mnenju IP primeren, ker bo verjetno treba prijavitelja pozvati za dopolnitev zahteve in ker upravljavec verjetno razpolaga z večjim številom osebnih podatkov v več zbirkah osebnih podatkov.
6. Presoja prijaviteljeve prepovedi obdelave (obrazložitev sklepa)
Iz razpoložljivega dokumentarnega gradiva izhaja, da prijavitelj ni zahteval omejitve obdelave iz 18. člena in tudi ne ugovora iz 21. člena Splošne uredbe o varstvu podatkov, ki sta sicer smiselno podobna kot prepoved po ZZPPZ.
Prijaviteljeva prepoved obdelave osebnih podatkov v CRPP temelji na tretjem in četrtem odstavku 14.c člena ZZPPZ – o vsebini in pogojih te pravice gl. točko 3.3. te obrazložitve. O zahtevi za prepoved odloča upravljavec, torej NIJZ. IP v zvezi s to pravico ne nastopa kot upravljavec in ne kot pritožbeni organ, saj ta pristojnost ni določena z ZZPPZ, Splošno uredbo o varstvu podatkov, Zakonom o pacientovih pravicah (ZPacP) ali ZVOP-2.
IP bi sicer lahko v nadzornem postopku presojal, ali upravljavec obdeluje oziroma bolj pravilno, ali omogoča obdelavo prijaviteljevih osebnih podatkov kljub njegovi prepovedi, toda v konkretnem primeru prijavitelj ne zatrjuje nezakonite obdelave osebnih podatkov. Zatrjuje le, da upravljavca ni dobil odziva na zahtevo. Tega IP ni pristojen presojati. IP še pojasnjuje, da ZZPPZ ne določa roka, v katerem mora upravljavec realizirati pacientovo prepoved. Nekatera postopkovna pravila določa tudi Pravilnik o prepovedi vpogleda v povzetek podatkov o pacientu v Centralnem registru podatkov o pacientih (Uradni list RS, št. 84/15).
Glede na navedeno je bilo treba prijaviteljevo vlogo v tem delu zavreči zaradi nepristojnosti IP, in sicer na podlagi četrtega odstavka 65. člena ZUP, ki določa, da če organ ni pristojen za sprejem vloge v fizični obliki, organ s sklepom tako vlogo zavrže zaradi nepristojnosti.
Če bo prosilec ugotovil, da bi moral upravljavec realizirati njegovo utemeljeno zahtevo za prepoved, pa se bodo kljub temu njegovi osebni podatki obdelovali pri uporabnikih CRPP, lahko pri IP vloži novo vlogo oziroma prijavo. Ta se bo obravnavala v ločenem oziroma novem nadzornem postopku zaradi domnevne nezakonite obdelave osebnih podatkov.
Prijavitelj še pojasnjuje, da ima pripravljeno novo prepoved obdelave, vendar je še ni vložil pri upravljavcu. V zvezi s tem IP pojasnjuje, da omenjena prepoved ni predmet tega nadzornega postopka. Če jo bo prijavitelj vložil ponovno, jo mora vložiti pri upravljavcu in ne pri IP.
7. Stroški
Posebni stroški v tem nadzornem postopku niso nastali (4. točka izreka odločbe in 2. točka izreka sklepa). Prijavitelj in upravljavec nosita svoje stroške, ki so jima morebiti nastali zaradi postopka (drugi odstavek 30. člena ZVOP-2).
Ta odločba in sklep sta v skladu z določbami Zakona o upravnih taksah (ZUT) oproščena plačila upravne takse.
Pouk o pravnem sredstvu:
Zoper to odločbo in sklep ni dovoljena pritožba, pač pa je dopustna tožba, ki se vloži v 30 dneh po prejemu te odločbe in sklepa na Upravno sodišče v Ljubljani, Fajfarjeva 33, Ljubljana, pisno neposredno pri navedenem sodišču ali priporočeno po pošti ali ustno na zapisnik. Če je tožba poslana priporočeno po pošti, se šteje, da je prispela pravočasno, če je bila oddana na pošto zadnji dan roka za vložitev tožbe. Tožba z morebitnimi prilogami se vloži najmanj v treh izvodih. Tožbi je treba priložiti tudi to odločbo oziroma sklep v izvirniku ali prepisu ter plačati sodno takso.
Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka
