Informacijski pooblaščenec je lani vodil 62 postopkov zaradi nezakonitih vpogledov v osebne podatke bolnikov. Pri tem pri pooblaščencu pojasnjujejo, da imajo upravljavci osebnih podatkov v zdravstvenih zavodih večinoma ustrezno zagotovljeno sledljivost vpogledov, a zaposleni kljub temu vpogledajo v osebne podatke v upanju, da jih ne bodo odkrili.
Pri Informacijskem pooblaščencu so za STA pojasnili, da sicer ne vodijo posebne evidence prijav zaradi nepooblaščenih vpogledov v osebne podatke bolnikov, ki jih zakrivijo zaposleni v zdravstvu, a hkrati lahko z gotovostjo trdijo, da je takšnih prijav v povprečju manj kot pet na leto.
Da bi kateri zdravstveni zavod pri tem odstopal, po njihovih izkušnjah ni zaznati. Informacijski pooblaščenec večino takšnih postopkov uvede na podlagi poročil o izvedenih notranjih nadzorih, ki jih zdravstveni zavodi morajo posredovati pooblaščencu skladno z zakonom o bolnikovih pravicah. Tako se skoraj vsi taki postopki končajo z izrekom sankcije, ki je lahko globa ali opomin.
Podatki o številu postopkov o prekršku zaradi nezakonitih vpogledov v osebne podatke bolnikov kažejo na porast teh postopkov. Medtem ko je pooblaščenec v letu 2014 vodil šest takih postopkov, leto pozneje enega, nato pa dve leti nobenega, je v letu 2018 vodil že 27 takih postopkov, lani pa 62.
A ob tem so pri pooblaščencu opozorili, da število postopkov o prekršku ni enako številu prijav, saj pooblaščenec v okviru obravnave prijave ali postopka inšpekcijskega nadzora, ki ga uvede po uradni dolžnosti, običajno ugotovi, da je v osebne podatke posameznika nezakonito vpogledalo več oseb in potem zoper vsako od teh oseb uvede in vodi samostojen postopek o prekršku. Zato je število postopkov o prekrški bistveno večje od števila prijav oziroma inšpekcijskih postopkov.
Sledljivost ustrezna, a radovednost močnejša
Informacijski pooblaščenec v postopkih, ki jih zaradi nezakonitih vpogledov v osebne podatke bolnikov vodi zoper zdravstvene zavode, ugotavlja, da imajo upravljavci osebnih podatkov v večini primerov zagotovljeno ustrezno sledljivost obdelave osebnih podatkov. Ta zagotavlja tudi možnost naknadnega ugotavljanja, katere osebe so v določenem času vpogledovale v osebne podatke določenega posameznika, s čimer so zaposleni sicer seznanjeni, a nezakonite vpoglede kljub temu opravijo v upanju, da jih ne bodo odkrili.
Če upravljavec in pooblaščenec ugotovita nezakonite vpoglede, se “radovedneži” pogosto izgovarjajo, da vpogledov niso opravili oni, pač pa da je neznanec prišel do njihovega uporabniškega imena in gesla. A to oseb, katerih uporabniško ime in geslo je bilo nezakonito uporabljeno, ne odvezuje prekrškovne odgovornosti, saj so dolžni zavarovati svoje uporabniško ime in geslo tudi tako, da se takoj ob zapustitvi delovne postaje odjavijo iz zbirke, so poudarili pri pooblaščencu.
Vpogledali v podatke Kolar Celarčeve, zaradi posredovanja seznama nato v postopku tudi UKC
Najbolj odmeven primer kršenja zasebnosti oziroma nepooblaščenega vpogleda v osebne podatke posameznika se je zgodil konec leta 2017, ko so na ljubljanski urgenci obravnavali takratno ministrico za zdravje Milojko Kolar Celarc, nato pa je prišlo na plan, da so nekateri zaposleni v Univerzitetnem kliničnem centru (UKC) Ljubljana neupravičeno vpogledali v njene podatke.
Informacijski pooblaščenec je postopke o prekršku uvedel zoper 16 zaposlenih, od česar jih je osem že končanih z izrekom globe, osem pa jih je še v teku. V vseh osmih končanih primerih je zaposlene doletela globa v znesku 830 evrov.
Kolar Celarčeva je od UKC zahtevala podatke, kdo je dostopal do njenih osebnih podatkov. Nato pa je informacijski pooblaščenec v inšpekcijskem postopku ugotovil, da je UKC Kolar Celarčevi neupravičeno posredoval osebne podatke zaposlenih, ki so obdelovali njene podatke. UKC je po mnenju pooblaščenca kršil določbe zakona o varstvu osebnih podatkov s tem, ko je takratni ministrici posredoval osebne podatke zaposlenih, in sicer izjave, ki so jih podali v zvezi z vpogledi v njene osebne podatke ter izpise dnevnikov sledljivosti iz informacijskega sistema.
Tako je informacijski pooblaščenec zoper UKC in odgovorno osebo uvedel postopek o prekršku in jim izrekel opomin. Ta je bil izrečen zato, ker je bil prekršek storjen v olajševalnih okoliščinah. Iz dokumentacije, ki je bila posredovana Kolar Celarčevi, so bila namreč razvidna zgolj osebna imena zaposlenih, ki so obdelovali njene osebne podatke, ti pa so javni uslužbenci.
Poleg tega so si v UKC preširoko oziroma napačno razlagali pravico posameznika do dostopa do informacij javnega značaja in do seznanitve z lastnimi osebnimi podatki, so navedli pri pooblaščencu. Člen zakona o varstvu osebnih podatkov, ki je veljal v času nepooblaščenih vpogledov, je namreč določal, da lahko posameznik pridobi seznam uporabnikov, katerim so bili posredovani osebni podatki, kdaj, na kakšni podlagi in za kakšen namen.