Datum: 13.05.2020
Številka: 07121-1/2020/835
Vsebina: Bančništvo, Delovna razmerja, Informiranje posameznika, Ocene učinkov v zvezi z varstvom podatkov , Pravne podlage, Zdravstveni osebni podatki
Pravni akt: Mnenje
Na e-naslov Informacijskega pooblaščenca (v nadaljevanju IP) ste posredovali e-sporočilo z vsebino o tem, da razmišljate o možnosti uvedbe merjenja telesne temperature zaposlenih in strank, ki vstopijo v poslovne prostore (tudi poslovalnice) banke. Pojasnili ste, da bi se telesna temperatura izmerila vsem, ki bi želeli vstopiti, pri čemer se osebe ne bi predhodno identificiralo in rezultat izmerjene telesne temperature tudi ne bi bil nikjer zabeležen. Navedli ste še, da pred uvedbo merjenja telesne temperature nameravate izvesti oceno legitimnega interesa in da razumete, da gre pri tem za obdelavo občutljivih osebnih podatkov. Sprašujete nas, kakšno je stališče IP glede uvedbe navedenega ukrepa.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naš odgovor.
IP uvodoma pojasnjuje, da je za obdelavo osebnih podatkov potrebno imeti pravno podlago in da gre v konkretnem primeru, ob uvedbi navedenih ukrepov, lahko za obdelavo osebnih podatkov o zdravstvenem stanju zaposlenih in strank banke.
Delodajalci glede na določbe delovno-pravne zakonodaje v običajnih razmerah niso upravičeni do obdelave zdravstvenih podatkov zaposlenih, med katere sodijo tudi podatki o telesni temperaturi zaposlenih. Tovrstni podatki sodijo med posebne vrste osebnih podatkov in Splošna uredba v členu 9 določa, da je njihova obdelava prepovedana, če ni podana katera od izjem iz 2. odstavka člena 9.
V času, ko se soočamo s širjenjem okužb s COVID-19, in je ogroženo tako zdravje posameznika kot javno zdravje, lahko posebne okoliščine terjajo ukrepe, ki lahko posegajo tudi na področje obdelave posebnih vrst osebnih podatkov. Treba je upoštevati, da so lahko ukrepi, ki sicer posegajo na področje obdelave posebnih vrst osebnih podatkov, tudi v zaščiti življenjskih interesov zaposlenih, zakonitih interesih družbe in tudi v javnem interesu. Vendar pa gre za vprašanje, na katerega mora primarno podati odgovor zdravstvena stroka, v opisanem primeru zlasti tudi pooblaščena oseba za medicino dela.
V posvetu s pristojnimi (zlasti pooblaščeno osebo, ki določa ukrepe medicine dela) morate torej presoditi zlasti:
Okoliščine se namreč lahko bistveno razlikujejo od primera do primera, zato ni mogoče vnaprej podati splošnega in enovitega odgovora. Prav tako pa IP ni pristojen presojati o samih zdravstvenih ukrepih in njihovi učinkovitosti.
Glede na navedeno IP delodajalcem, ki razmišljajo o uvedbi merjenja ali spremljanja temperature zaposlenih, podaja naslednja priporočila:
Glede obdelave zdravstvenih podatkov strank in navedbe, da ob merjenju telesne temperature nikogar ne nameravate identificirati in da izmerjene temperature ne boste nikamor beležili IP poudarja, da so varovani osebni podatki po definiciji (člena 4(1)) Splošne uredbe, katera koli informacija v zvezi z določenim ali določljivim posameznikom (posameznikom, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.
Obdelava osebnih podatkov pa pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje (člen 4(2) Splošne uredbe). Glede na predstavljeno IP meni, da morda v nameri, ki jo pojasnjujete ni izpolnjen ne pogoj določljivosti oz. določenosti posameznika in da se podatki resnično nikjer ne beležijo, morda niti ne gre za obdelavo osebnih podatkov. V tem primeru z vidika varstva osebnih podatkov tako merjenje ne bi bilo sporno. Drugače seveda velja v primeru zaposlenih oz. določljivih posameznikov. Z vidika upravičenosti samega merjenja temperature kot posega v posameznikovo telo, pa IP ni pristojen podajati mnenj, saj mora o tem presojati zdravstvena stroka.
IP vam zato svetuje, da glede na navedeno in podana navodila in stališča zdravstvene stroke presodite, ali lahko zahtevam zadostite na manj invazivne načine. Kot npr. s tem da posameznike, ki bodo vstopali v prostore banke ustrezno obvestite o tem, da v primeru, da imajo neke določene simptome (npr. vročina, kašljanje, …) ne smejo stopati v prostore. Končna odločitev pa je naloga in odgovornost vas kot upravljavca, upoštevajoč vse zgoraj navedeno.
Aktualna mnenja in stališča IP v zvezi z varstvom osebnih podatkov v času epidemije koronavirusa (COVID-19) so dostopna na spletni strani: https://www.ip-rs.si/index.php?id=897. Do iskalnika mnenj, kjer so javno objavljena vsa mnenja IP, pa lahko dostopate prek povezave: https://www.ip-rs.si/vop/.