Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Obdelava osebnih podatkov pri samoplačniškem testiranju na prisotnost protiteles proti koronavirusu

+ -
Datum: 23.07.2020
Številka: 07121-1/2020/1185
Kategorije: Zdravstveni osebni podatki, Pravne podlage, Informiranje posameznika

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Zanima vas, ali sme laboratorij pri samoplačniškem testiranju zahtevati osebne podatke, in sicer naslov ter številko kartice zdravstvenega zavarovanja.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. To pomeni, da IP v okviru izdaje mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za obdelavo osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava osebnih podatkov zakonita. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov.

Za vsako obdelavo osebnih podatkov mora imeti upravljavec zakonito in ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe, in sicer so to: privolitev, sklenitev ali izvajanje pogodbe, izpolnitev zakonske obveznosti, zaščita življenjskih interesov posameznika, javni interes in zakoniti interesi upravljavca. Kadar gre za posebne vrste osebnih podatkov, med katere sodijo tudi zdravstveni osebni podatki, pa velja načelna prepoved obdelave, razen če je podano katero od posebnih odstopanj iz člena 9(2) Splošne uredbe.

Prav tako je treba vedno upoštevati splošna načela v zvezi z obdelavo osebnih podatkov, ki so predpisana v členu 5 Splošne uredbe. Skladno z načelom najmanjšega obsega podatkov morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo; načelo omejitve namena pa določa, da morajo biti osebni podatki zbrani za določene, izrecne in zakonite namene.

Posamezniki morajo v primeru obdelave njihovih osebnih podatkov prejeti ustrezne informacije o takšni obdelavi, s čimer se zagotovi transparentnost obdelave in možnost preverjanja njene zakonitosti. Tako člen 13 Splošne uredbe določa nabor informacij, ki jih mora upravljavec osebnih podatkov zagotoviti posamezniku, med drugim identiteto in kontaktne podatke upravljavca; namene in pravno podlago za obdelavo; uporabnike ali kategorije uporabnikov osebnih podatkov ter nadalje tudi obdobje hrambe osebnih podatkov; obstoj pravic posameznika; obstoj pravice do preklica privolitve; pravico do vložitve pritožbe pri nadzornem organu.

Kot izhaja iz dostopnih informacij, je presejalno serološko testiranje za dokazovanje prisotnosti protiteles proti novemu koronavirusu SARS CoV-2 (COVID-19), ki ga želite opraviti, samoplačniško in neobvezno. Testiranje je namenjeno dokazovanju prebolele okužbe s SARS-CoV-2. IP pojasnjuje, da privolitev v takšno testiranje ne gre enačiti s privolitvijo v obdelavo osebnih podatkov v okviru tega testiranja ter da lahko IP nadzoruje zgolj vidike obdelave osebnih podatkov.

Izrecna privolitev posameznika, na katerega se nanašajo osebni podatki, pridobljeno  v skladu s členom 6(1)(a) in členom 9(2)(a) Splošne uredbe, lahko predstavlja pravno podlago za obdelavo podatkov o zdravju v COVID-19 kontekstu. Vendar je za zakonitost obdelave dovolj, da je izpolnjena ena izmed samostojnih pravnih podlag za obdelavo. Obdelava določenih zdravstvenih podatkov pa je lahko potrebna na primer tudi, kadar je to potrebno zaradi bistvenega javnega interesa na področju javnega zdravja na podlagi prava Unije ali nacionalnega prava (točka (i) člena 9(2) Splošne uredbe), za znanstvenoraziskovalne ali statistične namene v skladu s členom 89(1) na podlagi prava Unije ali prava države članice (točka (j) člena 9(2) Splošne uredbe) ali za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki (točka (c) člena 9(2) Splošne uredbe), saj uvodna izjava 46 izrecno omenja nadzor nad epidemijo. To pomeni, da v kolikor upravljavec osebne podatke obdeluje na drugi ustrezni pravni podlagi, za te podatke privolitve ni dolžan pridobivati.

Iz vašega dopisa ni razvidno, za kakšen namen potrebuje laboratorij oziroma Inštitut za mikrobiologijo zahtevane osebne podatke o naslovu in številki kartice zdravstvenega zavarovanja. Podatek o vašem naslovu bi bil lahko potreben na primer zaradi vročanja rezultatov testiranja. Zato vam predlagamo, da se za pojasnilo glede pravnih podlag in utemeljitev potrebnosti zahtevanih podatkov obrnete neposredno na laboratorij oziroma inštitut. Natančnejšega odgovora na vaše vprašanje IP izven inšpekcijskega nadzora oziroma drugega upravnega postopka namreč ne more podati. Pomembno pa je, da morajo pristojni v sodelovanju z zdravstveno stroko od primera do primera presojati in ugotavljati, kateri osebni podatki ter kakšna obdelava je v konkretnem primeru potrebna na kateri pravni podlagi.

Svetujemo vam še, da si preberete tudi druga mnenja, stališča in priporočila IP v zvezi s koronavirusom, ki so objavljena na naslednji povezavi.

Lep pozdrav,

                                                                                                     Mojca Prelesnik, univ. dipl. prav.,                                               

                                                                                                           informacijska pooblaščenka

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov