UKC Ljubljana izdal svoje zaposlene
Ministrica je zahtevala podatke, UKC Ljubljana pa jih je posredoval in s tem kršil zakon o varstvu osebnih podatkov. To je potrdil postopek informacijskega pooblaščenca.
Odpri galerijo
Ko UKC Ljubljana obišče kakšna znana oseba, kot je bila še pred časom Milojka Kolar Celarc, nekdanja ministrica za zdravje, mnogi 'firbcajo', zakaj je zdravstveno pomoč potrebovala. Nekatere prsti tako zasrbijo, da vpogledajo v dokumentacijo, čeprav tega ne bi smeli storiti. Do osebnih in zdravstvenih podatkov takratne ministrice naj bi tako dostopalo od 20 do 30 ljudi, čeprav mnogi med njimi z njenim zdravljenjem niso imeli nič. Da se je to zgodilo, se je hitro razvedelo, saj so zakrožili zdravstveni podatki, Kolar Celarčeva pa je od UKC Ljubljana zahtevala seznam ljudi, ki so dostopali do njenih zdravstvenih podatkov. In UKC Ljubljana jih je posredoval. Pa ne bi smel, vsaj ne od vseh, je ugotovil informacijski pooblaščenec, ki je nadzor opravil.
UKC Ljubljana je torej kršil zakon o varstvu osebnih podatkov. Kazen za UKC Ljubljana pa – opomin. Zakaj tako mila kazen? Informacijski pooblaščenec pojasnjuje, da »je bil prekršek storjen v olajševalnih okoliščinah, saj so bila iz dokumentacije, ki je bila posredovana pacientki, razvidna zgolj osebna imena zaposlenih, ki so obdelovali njene osebne podatke, ti pa so javni uslužbenci«.
»Posredovanje osebnih podatkov brez ustrezne pravne podlage (zakon, osebna privolitev) pomeni kršitev 8. člena ZVOP-1 in storitev prekrška, za katerega je v 91. členu ZVOP-1 za pravno osebo predpisana globa v znesku od 4.170 do 12.510 EUR, za odgovorno osebo pravne osebe pa v znesku od 830 do 2.080 EUR,« pojasnjujejo iz urada informacijskega pooblaščenca.
Dodajajo, da sankcije za ugotovljene prekrške izrekajo skladno z določbami Zakona o prekrških (ZP-1) (17. 21., 26. in 27. člen), kar pomeni, da pri določitvi vrste sankcije in višine globe upošteva vse okoliščine posameznega primera.
Kazni zaposlenim
Nekateri zaposleni, ki so vpogledovali v podatke in so podali izjave, so Kolar Celarčevi pojasnjevali, da so le preverjali, ali bi tudi sami v takem primeru odredili enako zdravljenje. Kakor koli že, nekateri iz UKC Ljubljana si bodo kukanje v zdravstveno dokumentacijo, ko niso pristojni za primer, dobro zapomnili: informacijski pooblaščenec je po podatkih iz novembra lani zaključil postopke za osem zaposlenih v UKC Ljubljana, štirim zaposlenim je izrekel globe, saj so brez pravne podlage vpogledali v osebne podatke Milojke Kolar Celarc, štirim zaposlenim pa, ker se ob zapustitvi delovnega mesta niso odjavili iz informacijskega sistema, kar je imelo za posledico, da je neznana oseba z uporabo njihovega gesla nepooblaščeno in nezakonito obdelovala osebne podatke Milojke Kolar Celarc. Vsem kršiteljem je bila za storjene prekrške izrečena globa v znesku 830 evrov.Mila kazen za UKC Ljubljana
Pravil pa niso kršili le zaposleni, ampak tudi UKC Ljubljana, je razkril postopek informacijskega pooblaščenca. Še preden je bil postopek končan, so iz pisarne informacijskega pooblaščenca pojasnili: »Obstaja sum, da je UKC Ljubljana kršil 8. člen ZVOP-1, s tem, ko je pacientki 19. 1. 2018 in 5. 2. 2018 posredoval osebne podatke zaposlenih, ki so obdelovali njene osebne podatke, in sicer izjave, ki so jih podali v zvezi z vpogledi v njene osebne podatke ter izpise dnevnikov sledljivosti iz informacijskega sistema.« Postopek je sum potrdil: UKC Ljubljana ni imel ustrezne pravne podlage za posredovanje osebnih podatkov zaposlenih, ampak je bila Kolar Celarčeva upravičena pridobiti le seznam uporabnikov, »katerim so bili posredovani osebni podatki, kdaj, na kakšni podlagi in za kakšen namen, v skladu z 8. točko 6. člena ZVOP-1 pa so se za uporabnike štele fizične ali pravne osebe, ki so se jim posredovali ali razkrili osebni podatki, torej zunanje osebe, ne pa tudi zaposleni pri upravljavcu«.UKC Ljubljana je torej kršil zakon o varstvu osebnih podatkov. Kazen za UKC Ljubljana pa – opomin. Zakaj tako mila kazen? Informacijski pooblaščenec pojasnjuje, da »je bil prekršek storjen v olajševalnih okoliščinah, saj so bila iz dokumentacije, ki je bila posredovana pacientki, razvidna zgolj osebna imena zaposlenih, ki so obdelovali njene osebne podatke, ti pa so javni uslužbenci«.
»Posredovanje osebnih podatkov brez ustrezne pravne podlage (zakon, osebna privolitev) pomeni kršitev 8. člena ZVOP-1 in storitev prekrška, za katerega je v 91. členu ZVOP-1 za pravno osebo predpisana globa v znesku od 4.170 do 12.510 EUR, za odgovorno osebo pravne osebe pa v znesku od 830 do 2.080 EUR,« pojasnjujejo iz urada informacijskega pooblaščenca.
Dodajajo, da sankcije za ugotovljene prekrške izrekajo skladno z določbami Zakona o prekrških (ZP-1) (17. 21., 26. in 27. člen), kar pomeni, da pri določitvi vrste sankcije in višine globe upošteva vse okoliščine posameznega primera.