Datum: 21.04.2020
Številka: 07121-1/2020/674
Vsebina: Posebne vrste, Pravica do pozabe, Zdravstveni osebni podatki
Pravni akt: Mnenje
Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje glede zbiranja podatkov v zvezi s COVID-19. Navajate, da želi delodajalec vpeljati sistem, pri katerem bi evidentiral vse obiskovalce, ki so zunanji izvajalci storitev. Pojasnjujete, da je takšna evidenca sicer že vzpostavljena, bi jo pa rad razširil z izjavami, na katerih bi izvajalci dodatno navajali:
Glede na dejavnost in načine sodelovanja sem vam zdi takšen nabor podatkov mogoče pretiran.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
Uvodoma pojasnjujemo, da IP izven inšpekcijskega oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov, torej katere konkretne osebne podatke se sme ali celo mora obdelovati v zvezi s trenutno situacijo pandemije COVID-19, ne more presojati. V mnenju lahko zato podamo zgolj splošna pojasnila z vidika varstva osebnih podatkov, ne moremo pa presojati ustreznosti konkretnega ravnanja posameznih upravljavcev niti komentirati ustreznosti posameznih ukrepov v trenutnih izrednih razmerah.
Pravila s področja varstva osebnih podatkov ne ovirajo sprejemanja ukrepov, potrebnih v boju proti pandemiji koronavirusa. V interesu celotnega človeštva je, da se zajezi širjenje te bolezni. Kljub temu pa je treba poudariti, da morajo upravljavci in obdelovalci osebnih podatkov tudi v teh izjemnih časih zagotoviti varstvo osebnih podatkov posameznikov. Splošna uredba tako določa pravila, ki veljajo za obdelavo osebnih podatkov tudi v okviru pandemije koronavirusa. IP v zvezi s tem izpostavlja, da je za vsako obdelavo osebnih podatkov treba imeti zakonito in ustrezno pravno podlago. Pravne podlage so določene v členu 6(1) Splošne uredbe. Za obdelavo posebnih vrst osebnih podatkov, kamor sodijo tudi podatki v zvezi z zdravjem posameznika, pa mora biti izpolnjen še eden izmed dodatnih pogojev iz člena 9(2) Splošne uredbe. Prav tako je treba spoštovati temeljna načela pri obdelavi osebnih podatkov, ki so predpisana v členu 5 Splošne uredbe, ter posameznikom zagotoviti pregledne informacije o dejavnostih obdelave, ki se izvajajo, in njihovih glavnih značilnostih.
V primeru, ki ga opisujete, bi bila obdelava osebnih podatkov lahko potrebna zaradi izpolnjevanja pravne obveznosti, ki velja za delodajalca, kot so obveznosti v zvezi z zdravjem in varstvom pri delu, ali javnim interesom, kot je interes za nadzor nad boleznimi ali drugimi nevarnostmi za zdravje. Splošna uredba predvideva tudi odstopanja od prepovedi obdelave nekaterih posebnih vrst osebnih podatkov, kot so zdravstveni podatki, kadar je to potrebno zaradi bistvenega javnega interesa na področju javnega zdravja (točka (i) člena 9(2)), na podlagi prava Unije ali nacionalnega prava ali za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki (točka (c) člena 9(2)), saj uvodna izjava 46 izrecno omenja nadzor nad epidemijo.
Na podlagi navedenega IP meni, da lahko delodajalec osebne podatke v zvezi s COVID-19 od obiskovalcev, ki so zunanji izvajalci storitev, praviloma zahteva v posebej utemeljenih okoliščinah na podlagi področne nacionalne zakonodaje, pri čemer pa mora skrbno upoštevati načelo najmanjšega obsega podatkov. To pomeni, da morajo biti zahtevani osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo, s čimer se prepreči zbiranje osebnih podatkov »na zalogo«. Delodajalci lahko zato od zunanjih sodelavcev zbirajo le tiste osebne podatke, ki so nujno potrebni za opravljanje njihovih nalog in za organiziranje dela v skladu z nacionalno zakonodajo. Treba je upoštevati, da so lahko ukrepi, ki sicer posegajo na področje obdelave (tudi posebnih vrst) osebnih podatkov, potrebni za zaščito življenjskih interesov zaposlenih, zakonitih interesov družbe in tudi v javnem interesu. Vendar pa gre pri tem za vprašanje, na katerega mora primarno podati odgovor zdravstvena stroka, tudi pooblaščena oseba za medicino dela. Upravičenost ukrepa, ki ga opisujete, je namreč odvisna od vrste okoliščin, na primer za kakšno vrsto in naravo dela gre ter ali obstajajo morebitni drugi manj invazivni ukrepi, ki so morda bolj učinkoviti z vidika dejanskega preprečevanja širjenja okužbe in zagotavljanja nemotenega delovnega procesa.
Natančnejšega odgovora na vaše vprašanje IP izven inšpekcijskega nadzora oziroma drugega upravnega postopka ne more podati. Pomembno pa je, da morajo pristojni v sodelovanju z zdravstveno stroko od primera do primera presojati in ugotavljati, kateri osebni podatki ter kakšna obdelava je potrebna za zaščito življenjskih interesov ljudi ali v zvezi z zagotavljanjem zdravja in varstva pri delu oziroma na drugih pravnih podlagah.
Aktualna mnenja in stališča IP v zvezi z varstvom osebnih podatkov v času epidemije koronavirusa (COVID-19) so dostopna na spletni strani: https://www.ip-rs.si/index.php?id=897. Do iskalnika mnenj, kjer so javno objavljena vsa mnenja IP, pa lahko dostopate prek povezave: https://www.ip-rs.si/vop/.