PRAVICA DO ZASEBNOSTI IN VARSTVO OSEBNIH PODATKOV STA PODLAGA ZA URESNIČEVANJE DRUGIH ČLOVEKOVIH PRAVIC IN SVOBOŠČIN TER TEMELJ DEMOKRATIČNE DRŽAVE

Ustavno sodišče RS, Ilustrirana Ustava RS (v stripu), Varstvo osebnih podatkov.

Splošna uredba o varstvu podatkov (ang. General Data Protection Regulation, v nadaljevanju: GDPR) je začela veljati 25. maja 2016, uporablja pa se od 25. maja 2018 in nadomešča vse določbe Zakona o varstvu osebnih podatkov (v nadaljevanju: ZVOP-1) . Ta se uporablja le v delu, ki ga GDPR ne ureja.

Osebni podatek je v 4. členu GDPR opredeljen kot katerakoli informacija v zvezi z določenim ali določljivim posameznikom. Ta je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

Razkritje podatkov o zdravju je potrebno za ustrezno zdravljenje posameznika ali za poslovne namene (npr. zdravstveno zavarovanje), po drugi strani pa lahko nepravilna uporaba zdravstvenih podatkov vodi v diskriminacijo v smislu neenake obravnave pacienta med postopkom zdravljenja. Letos smo občutili še en pomen varstva zdravstvenih podatkov, pri nalezljivih, pa tudi dednih boleznih, to je za tretje osebe oz. javno zdravje.[1]

S pravnega vidika se ob tem poraja vprašanje: čemu dati prednost? Zbiranju podatkov v statistične, raziskovalne in druge namene, zlasti zaradi preventive in kolektivnega zdravstvenega varstva ali spoštovanju temeljne človekove pravice do zasebnosti in z njo povezane pravice do varstva osebnih podatkov?

Slednja vključuje pravico osebe, da določi, katere osebne podatke želi dati na voljo drugim osebam. Vendar pa je v povezavi z zgornjim vprašanjem pomembno razumeti naravo te pravice; z drugimi besedami, ali ta učinkuje brez omejitev in izjem ter zoper vse ali so v določenih primerih pravno dopustne njene omejitve. Test sorazmernosti iz prve točke (c) 5. člena GDPR, v katerem se posamezne, v konkretnem vprašanju nasprotujoče se pravice tehtajo, daje od primera do primera drugačne odgovore. V obdobju epidemije bi lahko pri našem vprašanju dali prednost javnemu zdravju, vendar le pod pogojem iz prve točke (b) 5. člena GDPR, da se podatki zbirajo in obdelujejo za namene, za katere so bili ti pridobljeni. Kadar pa javni interes ne pretehta posameznikove pravice do varstva osebnih podatkov, ne smejo javne in zasebne institucije ali posamezniki v nobenem primeru izkoristiti in zlorabiti svojih pooblastil za dejanja, ki pomenijo kršitev varstva osebnih podatkov.

POSTOPKI V PRIMERU KRŠITVE VARSTVA ZDRAVSTVENIH PODATKOV

Skladno s 47. členom Zakona o pacientovih pravicah (v nadaljevanju: ZPacP)[2] ima pacient, ki meni, da so mu bile kršene pravice, pravico do obravnave teh kršitev. Naslednji, 48. člen ZPacP določa, da v postopkih za varstvo pacientovih pravic veljajo splošna postopkovna načela, odvisno od tega, v katerem postopku se zadeva obravnava (pred izvajalcem zdravstvene storitve oz. dejavnosti, v postopku s tožbo pred sodiščem, v kazenskem postopku, pred Informacijskim pooblaščencem in v inšpekcijskem postopku ali z mirnim reševanjem spora, npr. z mediacijo). Te postopke je mogoče kumulirati (združevati).

Postopek pred izvajalcem zdravstvene dejavnosti

Prva obravnava pred pristojno osebo izvajalca zdravstvene dejavnosti pride po 56. členu ZPacP v poštev, če pacient izrazi nezadovoljstvo pri izvajanju zdravstvene obravnave ali z odnosom izvajalca zdravstvenih storitev. V tem primeru izvajalec določi pristojno osebo, ki po 62. členu ZPacP izvede ustno obravnavo. Cilj tega postopka je sklenitev dogovora o načinu rešitve spora, ki je lahko opravičilo, povrnitev škode in stroškov, pridobitev drugega mnenja, ponovna zdravstvena obravnava, ipd.

V primeru nedoseženega dogovora ali njegovega nespoštovanja nastopi po 66. členu ZPacP pristojnost Komisije RS za varstvo pacientovih pravic. V tem postopku predsednik Komisije najprej opravi predhodni preizkus druge zahteve in razpiše pripravljalni narok, na katerem se zadeva obravnava. Možna je tudi sklenitev poravnave po 70. členu ZPacP in mirna rešitev spora s postopkom mediacije po 71. in 72. členu ZPacP.

Postopek s tožbo pred sodiščem (civilni postopek)

Če je posameznik ob kršitvi pravice do varstva osebnih podatkov utrpel škodo, lahko od povzročitelja zahteva odškodnino v skladu z Obligacijskim zakonikom (v nadaljevanju: OZ).[3] Ta v 131. členu določa, da je škodo dolžan povrniti tisti, ki jo je povzročil, če ne dokaže, da je škoda nastala brez njegove krivde.

Z vidika varstva osebnih podatkov je relevanten 147. člen OZ, saj določa, da se kršitev varstva osebnih podatkov šteje kot odgovornost delodajalca za delavca. To pomeni, da zdravstveni delavci, ki so zaposleni pri izvajalcu zdravstvenih storitev oz. v zdravstveni ustanovi neposredno ne odgovarjajo za škodo, ki je nastala, ampak je za njihova ravnanja odgovoren njihov delodajalec. Ta pa se reši odgovornosti, če dokaže, da je delavec v danem primeru ravnal tako, kot je treba, torej skladno z vzpostavljeno strokovno prakso (kot bi drug zdravstveni delavec v takem primeru ravnal). Če je delavec škodo povzročil namenoma, prav tako ne odgovarja delodajalec, ampak delavec sam.[4]

V primeru, ki ga je obravnavalo Višje sodišče RS v Ljubljani[5] je zdravnik nepooblaščeno in brez privolitve pacienta sporočil podatke o zdravstvenem stanju neki tretji osebi. Zdravstveni dom kot delodajalec je odgovarjal za zdravnikovo ravnanje in je bil dolžan oškodovanki plačati odškodnino ter povrniti pravdne stroške.

Kazenski postopek

V zvezi s kršitvijo varstva osebnih podatkov Kazenski zakonik (v nadaljevanju: KZ-1)[6] inkriminira dve kaznivi dejanji, in sicer neupravičeno izdajo poklicne skrivnosti v 142. členu in zlorabo osebnih podatkov v 143. členu.

V primeru neupravičene izdaje poklicne skrivnosti KZ-1 določa, da se kaznuje, kdor neupravičeno izda skrivnost, za katero je izvedel kot zagovornik, odvetnik, zdravnik, duhovnik, socialni delavec, psiholog ali kot katera druga oseba pri opravljanju svojega poklica.

V primeru iz 143. člena pa KZ-1 določa, da se kaznuje, kdor v nasprotju z zakonom uporabi osebne podatke, ki se smejo voditi samo na podlagi zakona ali na podlagi osebne privolitve posameznika, na katerega se osebni podatki nanašajo,  posreduje osebne podatke v javno objavo ali jih javno objavi. Za kaznivo se po tem členu štejejo tudi vdori in nepooblaščeni vstopi v računalniško vodeno zbirko podatkov z namenom, da bi sebi ali komu drugemu pridobil kakšen osebni podatek. Enako velja, če kdo na svetovnem medmrežju ali drugače javno objavi ali omogoči drugemu objavo osebnih podatkov žrtev kršitev pravic in kadar nekdo prevzame identiteto druge osebe ali z obdelavo njenih podatkov izkorišča njene pravice, si na njen račun pridobiva premoženjsko ali nepremoženjsko korist ali prizadene njeno osebno dostojanstvo.

Drugi postopki

Na podlagi 71. člena ZPacP lahko pacient in izvajalec zdravstvene storitve skleneta tudi mediacijo po Zakonu o mediaciji v civilnih in gospodarskih zadevah[7]. Gre za postopek, v katerem stranke prostovoljno s pomočjo nevtralne tretje osebe (mediatorja) skušajo doseči mirno rešitev spora, ki izvira iz njunega pogodbenega ali drugega pravnega razmerja. V primeru neuspešne mediacije je mogoč postopek z drugo zahtevo pred Komisijo RS za varstvo pacientovih pravic.

Na podlagi 54. člena ZVOP-1 in 57. ter 58. člena GDPR so lahko kršitve pravice do varstva osebnih podatkov tudi predmet inšpekcijskega nadzora. Slednjega opravlja državni nadzorni organ, to je v Republiki Sloveniji Informacijski pooblaščenec, ki je samostojen in neodvisen državni organ. Deluje kot pritožbeni, inšpekcijski in prekrškovni organ v primeru kršitev pacientovih pravic do zaupnosti osebnih podatkov, seznanitve z zdravstveno dokumentacijo, ko je upravičenim osebam zavrnjena seznanitev z dokumentacijo umrlega pacienta, v primeru kršitev dolžnosti poklicne skrivnosti in kršitev glede hrambe in arhiviranja zdravstvene dokumentacije. Vsakdo, ki meni, da so mu bile kršene te pravice, lahko vloži prijavo pri Informacijskem pooblaščencu, ki na podlagi Zakona o inšpekcijskem nadzoru[8] po uradni dolžnosti izvede ustrezne inšpekcijske postopke.

Varstvo osebnih podatkov je zagotovljeno tudi z obvestilom in sprožitvijo ustreznega postopka pri zastopniku pacientovih pravic po ZPacP.[9]

Informacijski pooblaščenec svetuje, da ob vsakem zahtevku po vašem zdravstvenem podatku, za katerega menite, da ni utemeljen, vprašate, zakaj tisti, ki od vas takšen podatek zahteva, tega potrebuje, kako ga bo hranil in kaj bo z njim počel.[10]

Živa Šuta, svetovalka pri Pravu za vse

[1] Povzeto po: Cartwright-Smith, L., Gray, E., Hyatt Thorpe, J. Health Information Ownership: Legal Theories and Policy Implications. Vanderbilt Journal of Entertainment & Technology law, let. 14, št. 2, 2016, str. 209.

[2] Zakon o pacientovih pravicah (Uradni list RS, št. 15/08 in 55/17).

[3] Obligacijski zakonik (Uradni list RS, št. 97/07 – uradno prečiščeno besedilo, 64/16 – odl. US in 20/18 – OROZ631).

[4] Plavšak, N. in drugi. Obligacijski zakonik (OZ): s komentarjem, 1. knjiga, GV Založba, Ljubljana, 2004, str. 835-837.

[5] VSL sodba II Cp 5196/2006 z dne 25.10.2006.

[6] Kazenski zakonik (Uradni list RS, št. 50/12 – uradno prečiščeno besedilo, 6/16 – popr.54/1538/1627/1723/20 in 91/20).

[7] Zakon o mediaciji v civilnih in gospodarskih zadevah (Uradni list RS, št. 56/08).

[8] Zakon o inšpekcijskem nadzoru (Uradni list RS, št. 43/07 – uradno prečiščeno besedilo in 40/14).

[9] Več o zastopnikih pacientovih pravic na: https://www.gov.si/teme/pacientove-pravice/.

[10] Informacijski pooblaščenec, Zdravstveni podatki. Dostopno na: https://www.ip-rs.si/varstvo-osebnih-podatkov/inspekcijski-nadzor/najbolj-pogoste-krsitve/zdravstveni-podatki/.

Delite to zgodbo, izberite svojo platformo!

Kategorije prispevkov

Naštej kategorije: Pravo za vse

Najnovejši prispevki