Vprašanja in odgovori

Vprašanje:
Ali s pravilnikom (internim aktom) počakamo do sprejetja ZVOP-2? Kako ravnamo do sprejema ZVOP-2? Ali lahko uporabljamo dosedanji pravilnik, če ni v nasprotju z uredbo? Ali moramo imeti urejene evidence (kataloge) osebnih podatkov do 25. 5. 2018 ali lahko vzpostavimo evidence skupaj z novim pravilnikom (do sedaj so bile evidence priloga pravilniku)?
Odgovor:
Pojasnilo glede predloga ZVOP-2: Ker predlog ZVOP-2 do uveljavitve GDPR (to je 25. 5. 2018) še ni bil sprejet in uveljavljen, uporabljamo GDPR, ki se neposredno uporablja in ZVOP-1, v kolikor ni v nasprotju z GDPR.
Uskladitve moramo izvajalci tako izvesti tudi v primeru, ko ZVOP–2 ni sprejet.
Kot pojasnjuje IP, ZVOP-2 lahko uredi določena vsebinska področja, kot so uporaba zdravstvenih, biometrijskih in genetskih podatkov, nekatere postopkovne vidike (npr. postopek izrekanja sankcij in pravna sredstva) ter relacijo do drugih področij in pravic (npr. dostop do javnih informacij, uporaba osebnih podatkov v znanstvene in statistične namene). ZVOP-2 pa ne sme spreminjati določb Splošne uredbe, saj se mora uredba neposredno uporabljati.

Vprašanje:
Obdelava osebnih podatkov je med drugim možna na podlagi privolitve (če ni podlage v zakonu). Ali morajo zaposleni podati posebej privolitev v primeru, da osebne podatke njihovih družinskih članov (otrok do 11. leta) uporabimo za obdarovanje dedka Mraza. Ali to pomeni, da je za vsak namen, ki nima podlage v zakonu, potrebna privolitev?
Odgovor:
Da, za vsak namen, ki nima podlage v zakonu, je potrebna privolitev v skladu s 6. členom GDPR. Navedeno pomeni, da morajo zaposleni posebej pisno privoliti v uporabo podatkov za na primer obdarovanje dedka Mraza, soglasja pa morate hraniti skladno z zakonodajo.
Podatki, ki jih upravljavec zbira na podlagi Zakona o evidencah na področju dela in socialne varnosti (ZEPDSV), ki določa vrste in vsebino evidenc na področju dela in socialne varnosti (v nadaljnjem besedilu: evidenca), način zbiranja podatkov, način vodenja in povezovanja evidenc, način posredovanja podatkov za potrebe državnih organov, lokalnih skupnosti in nosilcev javnih pooblastil ter ostalih uporabnikov (v nadaljnjem besedilu: uporabniki), ki te podatke potrebujejo za opravljanje zakonsko določenih nalog oziroma za vodenje zbirk podatkov o posameznikih ali posameznicah (v nadaljnjem besedilu: posamezniki) ter za namene izvajanja statističnih, socialno ekonomskih in drugih raziskovanj, ki imajo zakonsko podlago.

Predlagamo, da se zaposlene obvesti, da privolijo v posredovanje podatkov glede starosti otroka, pri čemer naj opredelijo tudi datum starosti, ko določena pravica preneha.

Vprašanje:
Če združimo več privolitev na enem obrazcu, ali mora za vsako obdelavo dati posameznik privolitev?
Odgovor:
Za vsako obdelavo , ki nima zakonske podlage, mora posameznik dati privolitev, zato je po mnenju delovne skupine primerneje in predvsem preglednejše, če privolitve niso združene. V prilogi posredujemo še mnenje IP štev. 0712-3/2018/132 z dne 3. 4. 2018.
Če pa je privolitev dana v pisni izjavi, ki se nanaša tudi na druge zadeve, se zahteva za privolitev predloži na način, ki se jasno razlikuje od drugih zadev.

Vprašanje:
Zanima me kako je s pridobivanjem (zbiranjem in obdelavo) osebnih podatkov pacientov, ki so potrebni zaradi izvajanja projektov kot so CKZ, SOPA, EMA …, drugi EU projekti. Ker za to ni zakonite podlage sklepamo, da potrebujemo njihovo izrecno soglasje? V projektu SOPA se bodo podatki vnašali tudi v poseben računalniški program, kjer pa bodo podatki anonimizirani. Ali za to tudi potrebujemo soglasje?
Odgovor:
Pravno podlago za izvajanje projekta ter zbiranje osebnih podatkov, v kolikor je tako zbiranje potrebno v okviru projekta in še nima podlage, uredi nosilec projekta (pridobi mnenje Etične komisije, predhodno mnenje IP in izvede ostale potrebne postopke). Izvajalci projekta morajo tako slediti navodilom nosilca.

Za izvajanje navedenih projektov CKZ (https://www.uradni-list.si/_pdf/2017/Ra/r2017023.pdf), SOPA, EMA (http://www.eu-skladi.si/portal/sl/ekp/izvajanje/e-ma) sicer obstaja zakonska podlaga.

Če je podatek anonimiziran, ne šteje več kot osebni podatek v smislu predpisov, ki urejajo varstvo osebnih podatkov.
 
Vprašanje:
Ali obstaja kak vzorec privolitve za namen kadrovanja ali računovodske obdelave (npr. za obračun plač)?
Odgovor:
Za podatke, ki jih upravljavec zbira na podlagi ZEPDSV, ni potrebna privolitev.
Če pa se tako zbran podatek obdeluje z drugim namenom (na primer podatek o starosti otroka za obdarovanja), pa je potrebna privolitev posameznika.

Vprašanje:
Ali obstaja kak rezime navodil, kako postopati z osebnimi podatki na področju računovodsko-kadrovske službe?
Odgovor:
Združenje zdravstvenih zavodov Slovenije bo na svoji spletni strani objavljalo mnenja, pojasnila in obrazce.
Morebitna vprašanja pa lahko naslavljate na e naslov gdpr@zdrzz.si.

Vprašanje:
Ali se morda na združenju pripravlja še kakšen seminar na temo varstva osebnih podatkov?
Morda bi bilo smiselno razmišljati o enem na temo, kako pripraviti izobraževanje za zaposlene z napotki za bolj kakovostno obravnavo osebnih podatkov.
Odgovor:
Združenje zdravstvenih zavodov Slovenije namerava organizirati več posvetov na temo varstva osebnih podatkov, uveljavljanja GDPR, prvega jeseni 2018, ko bodo znani že prvi odzivi glede uveljavljanja GDPR.

Vprašanje:
S podjetjem Pinna  d.o.o. imamo sklenjeno pogodbo za uporabo programa Medis. Po našem mnenju gre v primeru Pinne za obdelovalca naših osebnih podatkov. Na vprašanje, ali imajo v pripravi aneks k pogodbi, odgovarjajo, da ne in da ga niso zahtevali niti ostali njihovi naročniki.
Ali si torej mi napačno razlagamo, kdaj gre za obdelovalca osebnih podatkov?
Podobnih programov imamo namreč več in ne bi želeli po nepotrebnem sklepati aneksov (npr. Sistem RIS/PACS od podjetja Interxport - radiološki informacijski sistem, program Labis od podjetja Fin-Pro, kako je z vzdrževalcem celotnega računalniškega strežnika bolnišnice, na katerem je veliko osebnih podatkov, ipd.).
Vljudno prosimo za razlago, v katerih primerih gre za obdelovalca osebnih podatkov.
Odgovor:
Opozarjamo na 4. člen GDPR, ki opredeljuje pojme iz GDPR, in sicer:
„Obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
"Obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca; je obdelovalec.
Če gre za obdelovalce v smislu prej opredeljenih pojmov, je treba v pogodbo o poslovnem sodelovanju vnesti določilo skladno z 28. členom GDPR.
Ta med drugim določa, da kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz GDPR in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki. Tovrsten dodatek k pogodbi je lahko zgolj v korist zavodu, tako da v primeru dvoma ali gre za pogodbenega obdelovalca ali ne, vsekakor predlagamo dopolnitev obstoječe pogodbe.
Ko pa je treba obstoječe pogodbe obsežnejše uskladiti, iz razloga preglednosti svetujemo ureditev obdelave podatkov v posebni pogodbi.

Kot že navedeno, člen 28 določa obvezne vsebine pogodbe: mora vsebovati najmanj določbe glede vsebine in trajanja obdelave, narave in namena obdelave, vrste osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca.

Poleg navedenega pridejo v poštev dodatne zahteve, ki so delno nove, delno pa so obvezne že po 11. členu ZVOP-1, v GDPR pa so določene tudi zahteve, ki nekoliko odstopajo od zahtev obstoječe zakonodaje. Tako je treba v vsakem posamičnem primeru preveriti, ali obstoječe pogodbe te zahteve izpolnjujejo ali pa so potrebne prilagoditve. Upravljavec mora dokumentirano dokazati, da je pri konkretnem pogodbenem obdelovalcu opravil ustrezno izbiro in da so v pogodbi o obdelovanju osebnih podatkov ustrezno določeni organizacijski in tehnični ukrepi ter da so slednji tudi ustrezno implementirani.

Vprašanje:
Kako se tretira zdravnike, zaposlene v drugih zavodih, ki pri nas delajo po podjemni pogodbi? Ali v njihovem primeru zadostuje člen v podjemni pogodbi o varovanju osebnih in zaupnih podatkov?
Odgovor:
Da, podjeme pogodbe v smislu ZZDej morajo imeti določilo o varstvu osebnih podatkov, ki ga najdete na spletnih straneh Združenja zdravstvenih zavodov Slovenije – zavihek GDPR.
 
Vprašanje:
Glede imenovanja pooblaščene osebe nas zanima, ali je kakšen rok, do kdaj in kam moramo javiti, kdo je ta oseba, saj bomo mi namreč imeli skupnega pooblaščenca na nivoju Občine za vse javne zavode, ki pa ga še ni za zdaj.
Odgovor:
Ker se GDPR, ki vsebuje tudi določila o pooblaščeni osebi za varstvo osebnih podatkov (DPO), uveljavi s 25. 5. 2018, datum uveljavitve predstavlja tudi rok za javljanje DPO informacijskemu pooblaščencu. Priporočamo, da to storite s
pripravljenim obrazcem za obveščanje Informacijskega pooblaščenca o imenovani pooblaščeni osebi, prenesete ga tukaj.
 
Vprašanje:
Je lahko skrbnik informacijskega sistema določen kot pooblaščena oseba?
Odgovor:
Pooblaščena oseba za varstvo podatkov lahko v skladu s členom 38(6) „opravlja druge naloge in dolžnosti“. Vendar pa mora upravljavec ali obdelovalec zagotoviti, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov.
Podobno izhaja tudi iz Smernic o pooblaščenih osebah za varstvo osebnih podatkov  

Odsotnost nasprotja interesov je tesno povezana z zahtevo glede neodvisnega delovanja. Čeprav lahko imajo pooblaščene osebe za varstvo podatkov tudi druge funkcije, se jim lahko druge naloge in dolžnosti zaupajo le, če slednje ne povzročajo nasprotij interesov. To zlasti pomeni, da pooblaščena oseba za varstvo podatkov v organizaciji ne sme zavzemati položaja, v okviru katerega lahko določi namene in sredstva obdelave osebnih podatkov. Zaradi posebne organizacijske strukture vsake organizacije je treba to obravnavati za vsak primer posebej.
Splošno gledano lahko nasprotujoči si položaji v organizaciji vključujejo položaje višjega vodstva (kot so izvršni direktor, operativni direktor, finančni direktor, vodja zdravstvene službe, vodja oddelka za trženje, vodja službe za človeške vire ali vodja oddelkov za informacijsko tehnologijo) in tudi druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave. Nasprotje interesov lahko poleg tega na primer nastopi, če je zunanja pooblaščena oseba za varstvo podatkov zaprošena, da upravljavca ali obdelovalca v zadevah, povezanih z varstvom podatkov, zastopa pred sodišči.
 
 

Oblikovanje in izdelava Kabi d.o.o.

Naša spletna stran uporablja piškotke, ki se naložijo na vaš računalnik. Ali se za boljše delovanje strani strinjate z njihovo uporabo?

Več o uporabi piškotkov

Uporaba piškotkov na naši spletni strani

Pravna podlaga

Podlaga za obvestilo je spremenjeni Zakon o elektronskih komunikacijah (Uradni list št. 109/2012; v nadaljevanju ZEKom-1), ki je začel veljati v začetku leta 2013. Prinesel je nova pravila glede uporabe piškotkov in podobnih tehnologij za shranjevanje informacij ali dostop do informacij, shranjenih na računalniku ali mobilni napravi uporabnika.

Kaj so piškotki?

Piškotki so majhne datoteke, pomembne za delovanje spletnih strani, največkrat z namenom, da je uporabnikova izkušnja boljša.

Piškotek običajno vsebuje zaporedje črk in številk, ki se naloži na uporabnikov računalnik, ko ta obišče določeno spletno stran. Ob vsakem ponovnem obisku bo spletna stran pridobila podatek o naloženem piškotku in uporabnika prepoznala.

Poleg funkcije izboljšanja uporabniške izkušnje je njihov namen različen. Piškotki se lahko uporabljajo tudi za analizo vedenja ali prepoznavanje uporabnikov. Zato ločimo različne vrste piškotkov.

Vrste piškotkov, ki jih uporabljamo na tej spletni strani

Piškotki, ki jih uporabljamo na tej strani sledijo smernicam:

1. Nujno potrebni piškotki

Tovrstni piškotki omogočajo uporabo nujno potrebnih komponent za pravilno delovanje spletne strani. Brez teh piškotov servisi, ki jih želite uporabljati na tej spletni strani, ne bi delovali pravilno (npr. prijava, nakupni proces, ...).

2. Izkustveni piškotki

Tovrstni piškotki zbirajo podatke, kako se uporabniki vedejo na spletni strani z namenom izboljšanja izkustvene komponente spletne strani (npr. katere dele spletne strani obiskujejo najpogosteje). Ti piškotki ne zbirajo informacij, preko katerih bi lahko identificirali uporabnika.

3. Funkcionalni piškotki

Tovrstni piškotki omogočajo spletni strani, da si zapomni nekatere vaše nastavitve in izbire (npr. uporabniško ime, jezik, regijo) in zagotavlja napredne, personalizirane funkcije. Tovrstni piškotki lahko omogočajo sledenje vašim akcijam na spletni strani.

4. Oglasni ali ciljani piškotki

Tovrstne piškotke najpogosteje uporabljajo oglaševalska in družabna omrežja (tretje strani) z namenom, da vam prikažejo bolj ciljane oglase, omejujejo ponavljanje oglasov ali merijo učinkovitost oglaševalskih akcij. Tovrstni piškotki lahko omogočajo sledenje vašim akcijam na spletu.

Nadzor piškotkov

Za uporabo piškotkov se odločate sami. Piškotke lahko vedno odstranite in s tem odstranite vašo prepoznavnost na spletu. Prav tako večino brskalnikov lahko nastavite tako, da piškotkov ne shranjujejo.

Za informacije o možnostih posameznih brskalnikov predlagamo, da si ogledate nastavitve.

Upravljalec piškotkov

Združenje zdravstvenih delavcev Slovenije