Pooblaščenec takšno obliko naročanja bolnikov na specialistične zdravniške preglede pozdravlja, a hkrati opozarja, da je pri posredovanju občutljivih osebnih podatkov (podatkov o zdravstvenem stanju posameznikov) po elektronski poti treba zagotoviti višjo stopnjo zavarovanja. Ob opisanih spletnih aplikacijah se tako porajata vprašanji ustreznosti zavarovanja pri samem prenosu podatkov preko telekomunikacijskih omrežij in pa ustreznosti samega nabora podatkov, ki jih izvajalec zdravstvenih storitev pri spletnem naročanju zahteva oz. zbira od posameznika.

Ker se je v konkretnem primeru že pokazalo, da navedenih vprašanj izvajalec zdravstvenih storitev z aplikacijo ni ustrezno rešil, se je Pooblaščenec odločil, da o pomanjkljivostih obvesti javnost in na ta način vpliva na odpravo morebitnih pomanjkljivosti pri aplikacijah za spletno naročanje. Izvajalci zdravstvenih storitev naj preverijo, ali je nabor osebnih podatkov, ki jih zahtevajo ob naročanju res najmanjši še potreben za dosego namena in ali so podatki o zdravstvenem stanju posameznika (če jih zahtevajo ob naročanju) med prenosom po elektronski poti ustrezno zavarovani.

V primerih spletnega naročanja gre praviloma za t.i. pogodbeno obdelavo osebnih podatkov. Pod predpostavko, da so bile spoštovane določbe Zakona o varstvu osebnih podatkov, je v opisanih primerih izvajalec zdravstvenih storitev kot upravljavec osebnih podatkov določenemu podjetju kot pogodbenemu upravljavcu s pogodbo prepustil obdelavo osebnih podatkov pacientov za namene vzpostavitve spletnega naročanja na zdravniški pregled. Pogodba med upravljavcem (izvajalcem zdravstvenih storitev) in pogodbenim obdelovalcem (podjetjem) mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o ukrepih zavarovanja osebnih podatkov. Osebni podatki so torej v tem razmerju lahko obdelovani le med pogodbenima partnerjema in za namene, kot jih opredeljuje pogodba. Podjetje sme obdelovati osebne podatke le v imenu in za račun izvajalca zdravstvenih storitev, odgovornost za zakonitost obdelave pa še vedno primarno ostaja na izvajalcu zdravstvenih storitev kot upravljavcu osebnih podatkov.

Kadar izvajalec zdravstvenih storitev za naročanje zahteva tudi navedbo podatkov o posameznikovem zdravstvenem stanju, gre za obdelavo občutljivih osebnih podatkov posameznikov, za obdelavo katerih pa je pri njihovem prenosu preko telekomunikacijskih omrežij v Zakonu o varstvu osebnih podatkov predpisan še posebej strikten režim.Za ustrezno zavarovanje podatkov med prenosom je treba v tem primeru zagotoviti kriptiranje, in sicer na način, da je zagotovljena nečitljivost oz. neprepoznavnost občutljivih osebnih podatkov med prenosom.

Glede samih podatkov, ki jih izvajalec zdravstvenih storitev zahteva za namen spletnega naročanja Pooblaščenec posebej poudarja, da je pri zbiranju podatkov treba upoštevati načelo sorazmernosti in zbrati le toliko podatkov, kolikor jih je potrebnih za dosego namena, v konkretnem primeru torej namena naročanja na specialistični zdravstveni pregled. Ker mora v primerih, ki jih je zaznal Pooblaščenec, pacient naknadno, torej po oddaji spletnega naročila na zdravniški pregled, izvajalcu zdravstvenih storitev posredovati še izvirnik napotnice, in bo na čakalni seznam uvrščen šele po prejemu izvirnika napotnice, je nabor zahtevanih podatkov treba prilagoditi tudi temu dejstvu.

Za namen spletnega naročanja na specialistični zdravniški pregled po mnenju Pooblaščenca zadostuje minimalni nabor podatkov, kot je npr. ime in priimek pacienta, kontaktni podatki, naslov bivališča ali pa št. kartice zdravstvenega zavarovanja, na podlagi katere zdravstveni delavci posameznika lahko identificirajo, glede same diagnoze pa je Pooblaščenec mnenja, da zadostuje le prepis z napotnice, brez dodatnih opisov zdravstvenih težav, razen v primeru, ko posameznik dodatni, podrobni opis zdravstvenih težav želi navesti sam (polje za opis zdravstvenih težav mora biti opredeljeno kot neobvezno).

Pooblaščenec javne in zasebne zdravstvene zavode, ki ponujajo možnost spletnega naročanja bolnikov na specialistični zdravniški pregled tako poziva, da pri izvajanju spletnega naročanja na specialistične pregled od posameznikov zbirajo minimalno potrebne osebne podatke, ki so potrebni za dosego namena, za katerega se zbirajo, pri samem prenosu podatkov preko telekomunikacijskih omrežij pa zagotovijo njihovo kriptiranje, in sicer na način, da je zagotovljena nečitljivost oz. neprepoznavnost občutljivih osebnih podatkov med samim prenosom.