Pri obdelavi osebnih podatkov moramo biti vedno pozorni na to, da razpolagamo z zakonito pravno podlago. Poudariti je treba, da samo dejstvo, da imamo v okviru delovnega razmerja dostop do določenih osebnih podatkov npr. o drugih zaposlenih, o strankah, učencih, pacientih, oz. drugih posameznikih, to nikakor ne pomeni, da imamo pravico dostopati do teh podatkov.
Kot zaposleni lahko obdelujemo (npr. dostopamo, vpogledujemo, uporabljamo …) samo tiste osebne podatke, ki jih za opravljanje svojih pravic in obveznosti iz delovnega razmerja nujno potrebujemo. Povedano drugače, v osebne podatke posameznikov ne vpogledujemo iz radovednosti.
Neupravičeni vpogledi v osebne podatke so glede na prakso Informacijskega pooblaščenca še posebej problematični v zdravstvu. Pogoje pod katerimi lahko zdravnik vpogleda v zdravstveno dokumentacijo pacientov določa Pravilnik o pooblastilih za obdelavo podatkov v Centralnem registru podatkov o pacientih. Ta v 4. členu navaja, da lahko zdravnik v okviru zdravstvene oskrbe v skladu s pooblastili vpogleda v CRPP, na podlagi:
- pacientove privolitve,
- izjave o izbiri izbranega osebnega zdravnika,
- napotne listine,
- izvajanja službe nujne medicinske pomoči ali
- listine za napotitev na obdukcijo.
Praviloma bo zdravnik v CRPP lahko vpogledal, če je pacient v to privolil, če je pacientov izbrani zdravnik, ali če je bil pacient k njemu napoten. Celotno mnenje Informacijskega pooblaščenca številka 07120-1/2022/413 z dne 21.11.2022 je na voljo na tej povezavi.
Na drugi strani je obveznost delodajalca, da si, glede na dejansko stanje in delovni proces organizacije, čim bolj prizadeva preprečiti nezakonito obdelavo osebnih podatkov ter da v ta namen sprejme zavezujoča pravila (npr. pravilnike, politike …) ter ustrezne tehnične ukrepe (npr. omejitev dostopa).
