Obveščanje v primeru pojava virusa med učenci, zaposlenimi v šolah in vrtcih - Upravljavec.si


  • 19 marca, 2020

Informacijski pooblaščenec (IP) prejema vprašanja izobraževalnih institucij glede obveznih ukrepov obveščanja, v primeru, ko so ravnatelji  obveščeni o potrjenih primerih virusa COVID-19 v teh institucijah (bodisi med zaposlenimi ali otroci, učenci, dijaki) v tednu, ko so izobraževalne institucije še delovale. S ciljem čim bolj učinkovitega obveščanja vseh, je IP Ministrstvu za izobraževanje, znanost in šport danes posredoval stališče IP v delu, ki se nanaša na varstvo osebnih podatkov s prošnjo, da z njim seznanijo vse ravnatelje vzgojno izobraževalnih institucij (zlasti vrtci, šole), saj ocenjujemo, da bi tako lahko olajšali delo ravnateljem v tej zahtevni situaciji.

Z vidika obdelave zdravstvenih podatkov (podatek o okužbi je posebne vrste osebni podatek, za katere veljajo strožja pravila dopustnosti obdelave), sama informacija o tem, da je eden od zaposlenih/strank/učencev/dijakov/otrok/stanovalcev obolel za virusom v določenem kraju/podjetju/šoli/stavbi/organizaciji (brez drugih podatkov) načeloma ne pomeni obdelave osebnih podatkov, saj brez drugih dodatnih podatkov tak posameznik ni določljiv.  

Splošno obveščanje vseh vzgojiteljev, učiteljev, ki so delali z otrokom, učencem, dijakom ali zaposlenim, o dejstvu obstoja okužbe brez dodatnih podatkov (npr. imena, spola, drugih informacij, ki delajo posameznika določljivega) torej ni sporno. Če gre za posredovanje statističnih podatkov (npr. širša lokacija, šola, organizacija), na podlagi, katerih posameznika ni mogoče enoznačno določiti, torej brez razkrivanja drugih podatkov o obolelem (npr. spol, starost, naslov, ulica, delovno mesto ipd.), potem sploh ne gre za obdelavo osebnih podatkov in je posredovanje dopustno.

Zakon pa izrecno ne določa, kdaj konkretno in od koga bi v nastalih razmerah posameznik lahko ali moral pridobiti osebne podatke o določljivih posameznikih npr. o tem, kdo so okuženi posamezniki, saj so primeri in okoliščine lahko izredno raznolike in v zakonu vseh enoznačno niti ne bi bilo mogoče zajeti. V posameznih primerih se obdelava podatkov, katerih obdelava je potrebna za zaščito življenjskih interesov posameznika izvaja neposredno na podlagi 1. odstavka, 6. člena, tč. d  Splošne uredbe o varstvu podatkov (GDPR), če pa gre za občutljive osebne podatke (kamor podatki v zvezi z zdravjem vsekakor sodijo), pa na podlagi 2. odstavka člena 9, tč. c.). Druga možnost je v posameznih primerih npr., ko gre za delovno razmerje obdelava na podlagi področnih predpisov, če je to v posameznem primeru potrebno (npr. ZDR-1 v povezavi z navodili delodajalca). Posebna privolitev posameznika zato v tovrstnih situacijah ni potrebna. To pomeni, da morajo pristojni v sodelovanju z zdravstveno stroko (NIJZ) presojati od primera do primera in ugotavljati, kateri podatki so potrebni za zaščito življenjskih interesov ljudi ali v zvezi z zagotavljanjem zdravja in varstva pri delu ali na drugih pravnih podlagah.

Za konkretne napotke glede tega, kako ukrepati v primeru pojava primera okužbe med osebami (zaposlenimi, učenci oz. dijaki, strankami) v določeni inštituciji predlagamo, da se posamezne institucije obrnejo na NIJZ, ki lahko poda natančna in jasna navodila glede nadaljnjih postopkov in predvidenih ukrepov.

IP izven inšpekcijskega postopka in vnaprej ne sme in ne more presojati, katere konkretne podatke se sme, lahko ali celo mora obdelovati v zvezi s trenutno situacijo, pač pa le pristojne institucije. Ustreznosti posameznih ukrepov z drugih vidikov IP ne sme komentirati, saj ne odloča o zdravstvenih ukrepih.

Mojca Prelesnik, informacijska pooblaščenka