Mnenje IP glede merjenja telesne temperature pri vstopu v banko - Upravljavec.si


  • 20 maja, 2020

Datum: 13.05.2020

Številka: 07121-1/2020/835

Vsebina: Bančništvo, Delovna razmerja, Informiranje posameznika, Ocene učinkov v zvezi z varstvom podatkov , Pravne podlage, Zdravstveni osebni podatki

Pravni akt: Mnenje

Na e-naslov Informacijskega pooblaščenca (v nadaljevanju IP) ste posredovali e-sporočilo z vsebino o tem, da razmišljate o možnosti uvedbe merjenja telesne temperature zaposlenih in strank, ki vstopijo v poslovne prostore (tudi poslovalnice) banke. Pojasnili ste, da bi se telesna temperatura izmerila vsem, ki bi želeli vstopiti, pri čemer se osebe ne bi predhodno identificiralo in rezultat izmerjene telesne temperature tudi ne bi bil nikjer zabeležen. Navedli ste še, da pred uvedbo merjenja telesne temperature nameravate izvesti oceno legitimnega interesa in da razumete, da gre pri tem za obdelavo občutljivih osebnih podatkov. Sprašujete nas, kakšno je stališče IP glede uvedbe navedenega ukrepa.


Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naš odgovor.

IP uvodoma pojasnjuje, da je za obdelavo osebnih podatkov potrebno imeti pravno podlago in da gre v konkretnem primeru, ob uvedbi navedenih ukrepov, lahko za obdelavo osebnih podatkov o zdravstvenem stanju zaposlenih in strank banke.

Delodajalci glede na določbe delovno-pravne zakonodaje v običajnih razmerah niso upravičeni do obdelave zdravstvenih podatkov zaposlenih, med katere sodijo tudi podatki o telesni temperaturi zaposlenih. Tovrstni podatki sodijo med posebne vrste osebnih podatkov in Splošna uredba v členu 9 določa, da je njihova obdelava prepovedana, če ni podana katera od izjem iz 2. odstavka člena 9.

V času, ko se soočamo s širjenjem okužb s COVID-19, in je ogroženo tako zdravje posameznika kot javno zdravje, lahko posebne okoliščine terjajo ukrepe, ki lahko posegajo tudi na področje obdelave posebnih vrst osebnih podatkov. Treba je upoštevati, da so lahko ukrepi, ki sicer posegajo na področje obdelave posebnih vrst osebnih podatkov, tudi v zaščiti življenjskih interesov zaposlenih, zakonitih interesih družbe in tudi v javnem interesu. Vendar pa gre za vprašanje, na katerega mora primarno podati odgovor zdravstvena stroka, v opisanem primeru zlasti tudi pooblaščena oseba za medicino dela.

V posvetu s pristojnimi (zlasti pooblaščeno osebo, ki določa ukrepe medicine dela) morate torej presoditi zlasti:

  • ali je res nujno in primerno, da delodajalec meri in/ali spremlja telesno temperaturo zaposlenih, vseh zaposlenih ali samo določenih;
  • ali je nujno in primerno te podatke hraniti, ob upoštevanju specifičnih okoliščin.
  • ali obstajajo morebitni drugi manj invazivni ukrepi, ki so morda celo bolj učinkoviti z vidika dejanskega preprečevanja širjenja okužbe in zagotavljanja nemotenega delovnega procesa (tako so npr. kot poročajo mediji določene organizacije delo organizirale na način, da določena skupina zaposlenih dela določeno število dni, drugi ostanejo v domači izolaciji (torej se možnost okužbe bistveno zmanjša).

Okoliščine se namreč lahko bistveno razlikujejo od primera do primera, zato ni mogoče vnaprej podati splošnega in enovitega odgovora. Prav tako pa IP ni pristojen presojati o samih zdravstvenih ukrepih in njihovi učinkovitosti.

Glede na navedeno IP delodajalcem, ki razmišljajo o uvedbi merjenja ali spremljanja temperature zaposlenih, podaja naslednja priporočila:

  • V prvi vrsti menimo, da bi se delodajalec moral posvetovati s predstavniki medicinske stroke, za mnenje lahko povpraša izbranega izvajalca medicine dela in pridobi oceno stroke, ali je tovrstno merjenje, nujno in upravičeno, v kakšnem obsegu naj se izvaja, če je nujno in v kakšnem obsegu je primerna hramba podatkov, če sploh. Menimo, da je zdravstvena stroka tista edina primerna, ki lahko poda odgovor glede nujnosti in primernosti obdelave teh podatkov. Ob tem velja opozoriti še na dopustnost uporabe tehnologije, s katero bi se merila temperatura. Delodajalec bi moral izvesti oceno učinkov glede varstva osebnih podatkov. Glede na to, da gre za specifično vprašanje in ne za kompleksen projekt obdelave osebnih podatkov, je lahko takšna ocena specifična, kratka in jedrnata. Na spletni strani IP lahko najdete smernice, kako se tovrstne ocene učinka izvedejo (https://www.ip-rs.si/publikacije/prirocniki-in-smernice/ocene-ucinkov-na-varstvo-podatkov/), za mnenje na oceno učinka pa je priporočljivo angažirati pooblaščeno osebo za varstvo podatkov, kolikor jo je delodajalec imenoval.
  • Kolikor gredo priporočila zdravstvene stroke v smer, da se takšno merjenje oziroma spremljanje izvaja, je treba zaposlene o tem ustrezno obvestiti skladno z določbami člena 13 Splošne uredbe, prav tako pa je treba upoštevati vsa temeljna načela varstva osebnih podatkov (člen 5 Splošne uredbe) in zagotoviti vse ostale potrebne in ustrezne  varovalke: minimizacija in sorazmernost obsega obdelave osebnih podatkov in rokov hrambe, varnost podatkov, skrb za točnost in ažurnost podatkov.

Glede obdelave zdravstvenih podatkov strank in navedbe, da ob merjenju telesne temperature nikogar ne nameravate identificirati in da izmerjene temperature ne boste nikamor beležili IP poudarja, da so varovani osebni podatki po definiciji (člena 4(1)) Splošne uredbe, katera koli informacija v zvezi z določenim ali določljivim posameznikom (posameznikom, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

Obdelava osebnih podatkov pa pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje (člen 4(2) Splošne uredbe). Glede na predstavljeno IP meni, da morda v nameri, ki jo pojasnjujete ni izpolnjen ne pogoj določljivosti oz. določenosti posameznika in da se podatki resnično nikjer ne beležijo, morda niti ne gre za obdelavo osebnih podatkov. V tem primeru z vidika varstva osebnih podatkov tako merjenje ne bi bilo sporno. Drugače seveda velja v primeru zaposlenih oz. določljivih posameznikov. Z vidika upravičenosti samega merjenja temperature kot posega v posameznikovo telo, pa IP ni pristojen podajati mnenj, saj mora o tem presojati zdravstvena stroka.

IP vam zato svetuje, da glede na navedeno in podana navodila in stališča zdravstvene stroke presodite, ali lahko zahtevam zadostite na manj invazivne načine. Kot npr. s tem da posameznike, ki bodo vstopali v prostore banke ustrezno obvestite o tem, da v primeru, da imajo neke določene simptome (npr. vročina, kašljanje, …) ne smejo stopati v prostore. Končna odločitev pa je naloga in odgovornost vas kot upravljavca, upoštevajoč vse zgoraj navedeno.

Aktualna mnenja in stališča IP v zvezi z varstvom osebnih podatkov v času epidemije koronavirusa (COVID-19) so dostopna na spletni strani: https://www.ip-rs.si/index.php?id=897. Do iskalnika mnenj, kjer so javno objavljena vsa mnenja IP, pa lahko dostopate prek povezave: https://www.ip-rs.si/vop/.