Odpoveď od NCZI (celá komunikácia prebiehala e-mailom) som dostal o týždeň. Jedenapolstranový dokument (mimochodom, mal cca 9 MB) však obsahoval iba krátky zoznam IS (pomenovanie troch IS), o ktorých NCZI vedie evidenciu a namiesto uvedenia počtu príjemcov osobných údajov len slovné vymedzenia typu „oprávnení zamestnanci NCZI, MZ SR“.
Obratom som zareagoval s tým, že mi neposkytli požadované informácie, nakoľko odpoveď nezodpovedá obsahu evidencie, ako ho definuje zákon. Taktiež som upozornil, že podľa § 32 zákona je takáto evidencia verejná a prevádzkovateľ IS je povinný na požiadanie ju sprístupniť. Na základe toho som opätovne žiadal o poskytnutie evidencie IS plus doplnkovú informáciu o počte príjemcov, ktorým môžu byť údaje z IS poskytnuté.
Po necelom týždni došla odpoveď. V porovnaní s predchádzajúcou boli len dve zmeny – dátum a prvý odstavec namiesto „na základe Vašej žiadosti o poskytnutie informácií podľa zákona 211/2000 Z.z. Vám zasielame stanovisko Národného centra zdravotníckych informácií k nasledujúcim otázkam“ znel „na základe Vašej opätovnej žiadosti o poskytnutie informácií podľa zákona 211/2000 Z.z. Vám zasielame stanovisko Národného centra zdravotníckych informácií ako relevantnú odpoveď na Vaše otázky“. Zvyšok bolo presne to, čo mi napísali v prvej odpovedi.
Urobil som ešte jeden pokus a opätovne som NCZI písomne upozornil, že mi neposkytli všetky údaje z evidencie a že zákon stanovuje, že evidencia je verejná. Opätovne som požiadal o poskytnutie evidencie, resp. v prípade, že NCZI mieni naďalej trvať na svojom postoji, o uvedenie dôvodov pre ktoré poskytnutie len časti informácii z evidencie, ktorá je podľa zákona verejnou, považujú za relevantnú odpoveď. Na odpoveď som tentoraz nemusel čakať celý týždeň - došla hneď nasledujúci deň a len zopakovala, že stanovisko NCZI mi bolo zaslané 11.5. a opakovane 17.5.2010. Ako malé deti.
NCZI nie je bezvýznamná organizácia – okrem iného „má pod palcom“ slovenský e-Health a má napríklad aj prevádzkovať centrálne úložisko údajov Elektronickej zdravotnej knižky občana, teda v podstate elektronickú verziu zdravotnej dokumentácie celej populácie Slovenska. Ak predstavitelia „národného operátora e-Health“ takto jednoznačne a napriek opätovnému upozorneniu ignorujú niektoré ustanovenia zákona o ochrane osobných údajov, prečo by som mal veriť, že rešpektujú aj jeho ďalšie ustanovenia, resp. povinnosti, ktoré im ukladá ako prevádzkovateľovi IS s osobnými údajmi? A že tento zákon budú rešpektovať aj v rámci pripravovaných systémov e-Health?
P.S. Pre tých, ktorí nechápu, na aký účel môže občan požadovať evidenciu IS. Nuž napríklad na to, že udaje evidencie mu môžu naznačiť, či sa v systéme spracúvajú aj jeho osobné údaje (§ 26 ods. 3 písm. i/ - okruh dotknutých osôb), aké osobné údaje (§ 26 ods. 3 písm. h/ - zoznam osobných údajov), na aký účel sa spracúvajú (§ 26 ods. 3 písm. g/), komu sú sprístupnené, alebo komu môžu byť poskytnuté (§ 26 ods. 3 písm. j/ a k/), formu ich prípadného zverejnenia (§ 26 ods. 3 písm. n/), či napríklad všeobecnú charakteristiku opatrení na zabezpečenie ochrany (aj jeho) osobných údajov (§ 26 ods. 3 písm. o/). Ak sa z evidencie IS dozvie, že pravdepodobne sa spracúvajú aj jeho osobné údaje (a aké), môže v ďalšom kroku uplatniť svoje práva, ako ich stanovuje § 20 zákona (napríklad požadovať presné informácie o zdroji, odkiaľ prevádzkovateľ získal). No a z reakcie prevádzkovateľa na žiadosť o poskytnutie evidencie môže tiež usúdiť, do akej miery tento rešpektuje zákon o ochrane osobných údajov, resp. povinnosti, ktoré mu zákon ukladá...
e-Health a zákon o ochrane osobných údajov
V rámci menšieho prieskumu stavu ochrany osobných údajov na Slovensku som sa o.i. nedávno obrátil na Národné centrum zdravotníckych informácií (ďalej NCZI) so žiadosťou o poskytnutie informácii o informačných systémoch s osobnými údajmi, ktoré NCZI prevádzkuje. Nešlo o niečo zložité, mimoriadne, niečo čo by si zo strany NCZI vyžadovalo nejaké extra úsilie - veď zákon o ochrane osobných údajov prevádzkovateľovi IS ukladá povinnosť vedenia evidencie (prípadne povinnosť registrácie IS) v ktorej sú uvedené základné informácie o predmetnom systéme a tiež stanovuje, že tieto informácie sú verejné. Okrem evidencie som žiadal aj o doplnkovú informáciu - zjednodušene povedané o uvedenie počtu oprávnených používateľov príslušných IS. Štandardný obsah evidencie, stanovený zákonom o ochrane osobných údajov, takúto informáciu neobsahuje ... keďže však v poskytnutí takej informácie nevidím žiadne ohrozenie niekoho záujmov, žiadosť som formuloval ako žiadosť podľa „infozákona“.
