Politika varstva osebnih podatkov
Varstvo osebnih podatkov.
Varstvo osebnih podatkov.
Na Nacionalnem inštitutu za javno zdravje (v nadaljevanju:NIJZ) se zavedamo odgovornosti ravnanja z osebnimi podatki, zato vse osebne podatke obdelujemo, uporabljamo, vodimo, vzdržujemo, hranimo in nadzorujemo v skladu s Uredbo EU 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu osebnih podatkov – GDPR) in Zakonom o varstvu osebnih podatkov (ZVOP-2) ter drugo ustrezno zakonodajo, ki daje NIJZ pravno podlago za obdelavo osebnih podatkov.
Namen politike varstva osebnih podatkov je seznanitev posameznika z informacijami o tem, na kakšen način in katere osebne podatke NIJZ kot upravljavec obdeluje, ki jih prejme od posameznika na osnovi pravnih podlag, ki jih opisujemo v nadaljevanju.
NIJZ se zavezuje, da bo zbrane osebne podatke obdeloval v skladu s politiko varstva osebnih podatkov in teh podatkov ne bo posredoval tretjim osebam, razen v primerih, ko ima za posredovanje zakonsko ali drugo ustrezno pravno podlago.
NACIONALNI INŠTITUT ZA JAVNO ZDRAVJE
Trubarjeva cesta 2, 1000 LJUBLJANA
Telefonska številka: +386 1 2441 400
Spletna stran: www.nijz.si
E- naslov: info@nijz.si
Pooblaščena oseba za varovanje osebnih podatkov
Za vsa dodatna pojasnila v zvezi z varstvom osebnih podatkov se obrnite na pooblaščeno osebo za varstvo osebnih podatkov, ki je dosegljiva na elektronskem naslovu: vop@nijz.si.
»UPRAVLJAVEC« je fizična ali pravna oseba, javni organ ali drugi subjekt, ki sam ali skupaj z drugimi določa namene in sredstva obdelave, oziroma oseba, določena z zakonom, ki določa tudi namen in sredstva obdelave.
»OBDELOVALEC« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.
»POSAMEZNIK« na katerega se nanašajo podatki, je katera koli prepoznana ali določljiva fizična oseba, katere osebne podatke obdeluje upravljalec, odgovoren za obdelavo.
»OSEBNI PODATEK« pomeni: katerokoli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto.
»POSEBNA VRSTA OSEBNIH PODATKOV« so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem in filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, biometričnih in genetskih značilnosti ter podatki o vpisu ali izbrisu v ali iz kazenske ali prekrškovne evidence.
»OBDELAVA« pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje, kot tudi uporaba logičnih, matematičnih in drugih operacij v zvezi s temi podatki.
»KRŠITEV VARSTVA OSEBNIH PODATKOV« pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
»ZBIRKA« pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
»UPORABNIK OSEBNIH PODATKOV« je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posedujejo ali razkrijejo osebni podatki, ne glede na to ali je tretja oseba ali ne. Javni organi, ki prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice EU, se ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v sladu z veljavnimi pravili o varstvu osebnih podatkov glede na namen obdelave.
»TRETJA OSEBA« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca.
NIJZ izvaja naloge, ki imajo podlago v zakonih Republike Slovenije, zato skladno z zakonskimi podlagami zbira in obdeluje osebne podatke posameznikov, ki so potrebni za izpolnitev zakonskih obveznosti. Temeljni zakon, ki določa podlago za obdelavo osebnih podatkov je Zakon o zbirkah podatkov s področja zdravstvenega varstva (ZZPPZ, Ur. l. RS, št. 65 / 00, 47/18, 31/18, 152/2020-ZZUOOP). Med drugimi zakoni, ki so podlaga za obdelavo osebnih podatkov, izpostavimo še , Zakon o zdravstveni dejavnosti, Zakon o pacientovih pravicah, Zakon o zdravniški službi in druga zakonodaja.
V izjemnih primerih NIJZ obdeluje osebne podatke posameznikov tudi na osnovi javnega interesa.
V primeru, ko se z NIJZ sklene določena pogodba, ta predstavlja pravno podlago za obdelavo osebnih podatkov. NIJZ obdeluje osebne podatke za sklenitev in izvajanje pogodbe. Če posameznik osebnih podatkov ne posreduje, NIJZ ne more skleniti pogodbe, prav tako ne more izvesti storitve v skladu s sklenjeno pogodbo, saj nima potrebnih podatkov za izvedbo.
NIJZ izjemoma na podlagi predhodne privolitve (soglasja) posameznikov, zbira in obdeluje osebne podatke, in sicer:
Zbirke, ki nastanejo na tej podlagi, morajo biti ločene od zbirk , ki nastanejo pri izvrševanju zakonskih nalog ali pristojnosti javnega sektorja.
Pravna podlaga za posamezne zbirke osebnih podatkov je navedena v evidenci dejavnosti obdelav, ki si jo lahko ogledate tukaj.
V skladu s Splošno uredbo o varstvu osebnih podatkov ima posameznik naslednje pravice iz varstva osebnih podatkov, ki so opisane spodaj:
Preklic privolitve: posameznik ima kadarkoli pravico pisno preklicati privolitev oz soglasje, ki ga je podal za zbiranje, obdelavo in prenos osebnih podatkov za določen namen. Ko prejmemo obvestilo posameznika o preklicu privolitve obdelave njegovih osebnih podatkov, bomo takoj prenehali obdelovati podatke za namene, ki so bili prvotno dani, razen če za obdelavo že obstaja druga pravna podlaga, ki ne omogoča izbrisa na zahtevo posameznika.
Posameznik je seznanjen, da lahko vse prej navedene zahteve v zvezi z uveljavljanjem pravic glede osebnih podatkov poda v pisni obliki, tj. na podlagi obrazcev:
Posameznik je seznanjen, da lahko NIJZ za potrebe zanesljive identifikacije v primeru uveljavljanja pravic v zvezi z osebnimi podatki od njega zahteva dodatne podatke, izvedbeni postopek uveljavljanja pravic pa lahko zavrne le v primeru, če dokaže, da posameznika ne more zanesljivo identificirati.
Dostop do vaših osebnih podatkov in uveljavljene pravic je za vas brezplačno. Vendar pa lahko zaračunamo razumno plačilo, v kolikor je zahteva posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljena ali pretirana, zlasti če se ponavlja. V takšnem primeru lahko zahtevo tudi zavrnemo.
NIJZ mora na zahtevo posameznika, s katero ta uveljavlja pravice v zvezi z osebnimi podatki, odgovoriti brez nepotrebnega odlašanja in praviloma najkasneje v roku enega meseca od prejema zahteve.
Posameznik ima pravico vložiti pritožbo pri Informacijskem pooblaščencu RS, če meni, da se z obdelavo njegovih osebnih podatkov kršijo določila na področju varstva osebnih podatkov v pisni obliki na tem obrazcu.
NIJZ bo hranil osebne podatke posameznika le toliko časa, dokler bo to potrebno za uresničitev namena, zaradi katerega so bili osebni podatki zbrani in obdelovani. V kolikor NIJZ obdeluje podatke na podlagi zakona, jih bo hranil za obdobje, ki ga predpisuje zakon.
Osebne podatke, ki jih NIJZ obdeluje na osnovi pogodbenega odnosa s posameznikom, hrani za obdobje, ki je potrebno za izvršitev pogodbe in še 5 let po njenem prenehanju, razen v primerih, ko pride med posameznikom in NIJZ do spora v zvezi s pogodbo. V takem primeru hrani podatke še 5 let po pravnomočnosti sodne odločbe, arbitraže ali sodne poravnave, če sodnega spora ni bilo, 5 let od dneva mirne razrešitve spora.
Tiste osebne podatke, ki jih NIJZ obdeluje na podlagi osebne privolitve posameznika, bo NIJZ hranil do preklica privolitve ali do zahteve do izbrisa podatkov. Po prejemu preklica ali zahteve za izbris se podatki izbrišejo najkasneje v 15 dneh. NIJZ lahko te podatke izbriše tudi pred preklicem, kadar je bil dosežen namen obdelave osebnih podatkov ali če tako določa zakon.
Izjemoma lahko NIJZ zavrne zahtevo za izbris iz razlogov iz Splošne uredbe o varstvu osebnih podatkov, kot so našteti: uresničevanje pravice do svobode izražanja in obveščanja, izpolnjevanje pravne obveznosti obdelave, razlogi javnega interes na področju javnega zdravja, nameni arhiviranja v javnem interesu, znanstveno-ali zgodovinskoraziskovalne nameni ali statistični nameni.
Po preteku obdobja hrambe upravljavec osebne podatke učinkovito in trajno izbriše ali anonimizira, tako da jih ni več mogoče povezati z določenim posameznikom.
NIJZ si pridružuje pravico do spremembe ter dopolnitve politike varstva osebnih podatkov. Vse spremembe politike varstva osebnih podatkov bo NIJZ objavljal na svoji spletni strani.
Politiko varstva osebnih podatkov je sprejel Milan Krek, dr. med., spec., dne, januarja 2021.