Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Navodila NIJZ za posredovanje podatkov

+ -
Datum: 03.11.2020
Številka: 07121-1/2020/1968
Kategorije:Delovna razmerja, Pravne podlage, Zavarovanje osebnih podatkov

Pri Informacijskem pooblaščencu (IP) smo dne 27. 10. 2020 prejeli vaše zaprosilo za mnenje o ustreznosti novega navodila NIJZ za posredovanje podatkov z vidika Splošne uredbe (EU) o varstvu podatkov. Iz navodila izhaja, da morajo delodajalci, zdravniki in VIZ osebne podatke o posameznikih, ki jim je bila odrejena karantena na domu (tj. ime, priimek, datum rojstva, naslov, datum začetka in konca karantene ter e-pošta), posredovati po navadni e-pošti na NIJZ. Zanima vas zlasti varnostni vidik.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1. IP se ne strinja z načinom, da se kakršnakoli in še posebej pomembna obdelava osebnih podatkov v konkretnem primeru, ureja z ministrskimi navodili in navodili NIJZ namesto, da bi se obdelava osebnih podatkov uredila s katerim od interventnih zakonov.

IP dopušča načelno možnost, da je v konkretnem primeru posredovanje osebnih podatkov lahko utemeljena na kateri od obstoječih splošnih pravnih podlag, zlasti na 48. členu Zakona o delovnih razmerjih (ZDR-1).

Privolitev delavca za posredovanje podatkov NIJZ ni potrebna, razen če gre za posredovanje naslova delavčeve zasebne e-pošte.

2. Protokol in navodila Ministrstva za zdravje ter navodila NIJZ za posredovanje podatkov ne urejajo nobenih vidikov varnosti, zaradi česar so s tega vidika neproblematična in mora vsak upravljavec, ki pošilja podatke poskrbeti za vse splošne ukrepe za zagotavljanje varnosti, zlasti v smislu člena 32 Splošne uredbe o varstvu podatkov.

O b r a z l o ž i t e v:

1. Prvo vprašanje glede ustreznosti navodil se tiče pravnih podlag za obdelavo osebnih podatkov.

V konkretnem primeru gre za posredovanje osebih podatkov za namen pridobitve potrdila o karanteni. NIJZ ima pravno podlago za vodenje obravnavanih osebnih podatkov v svoji evidenci določeno v 10. členu Zakona o začasnih ukrepih za omilitev in odpravo posledic COVID-19 (Uradni list RS, št. 152/20; ZZUOOP), ki je začel veljati 24. 10. 2020. Prav tako ima v istem členu ter v 11. členu ZZUOOP podlago za izdajanje potrdil o karanteni z določeno vsebino. Z vidika Splošne uredbe o varstvu podatkov je pravna podlaga za zbiranje teh podatkov podana v (c) točki – »zakonska obveznost« ali (e) točki – »izvajanje naloge v javnem interesu in izvajanje javne oblasti« prvega odstavka člena 6 uredbe.

Vendar ZZUOOP ne določa, da NIJZ osebne podatke iz 10. člena pridobiva od delodajalcev. Prav tako ne določa, katere izmed podatkov iz 10. člena ZZUOOP pridobiva in za kakšen konkreten namen. V 11. členu ZZUOOP je sicer določeno, da NIJZ obravnavane osebne podatke pridobi od osebe, vendar to velja le v primeru izvedene epidemiološke preiskave, ki pa se glede na spremenjene razmere, ne izvaja več v vseh primerih. Ministrstvo za zdravje je zaradi spremenjenih razmer izdalo protokol št. 181-15/2020/2565 (23. 10. 2020) in navodila št. 181-15/2020/2619 (27. 10. 2020), iz katerih izhaja, da seznam oseb s predlagano karanteno NIJZ-ju pošlje delodajalec. Enako izhaja iz metodoloških navodil NIJZ, glede katerih ste postavili vaše vprašanje. Vsi trije dokumenti so zato problematični z vidika sistemske zahteve po zakonskem urejanju obdelav osebnih podatkov.

IP ne izključuje možnosti, da je obravnavanem primeru posredovanje osebnih podatkov morebiti dopustno na kateri od obstoječih splošnih pravnih podlag v Splošni uredbi o varstvu podatkov ali področnih zakonih. Tak primer je lahko prvi odstavek 48. člena Zakona o delovnih razmerjih (ZDR-1), ki določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam tudi, če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Potrdilo naj bi bilo namreč podlaga za pridobitev pravice do nadomestila plače. Nabor osebnih podatkov, ki jih je treba posredovati NIJZ je načeloma tudi v skladu z načelom najmanjšega obsega podatkov iz člena 5 Splošne uredbe o varstvu podatkov, ker je omejen le na ključne podatke iz 11. člena ZZUOOP ter je manjši, kot je nabor podatkov, ki jih NIJZ sicer lahko zbira po 10. členu ZZUOOP.  

Navodila MZ sicer na splošno govorijo o tem, da se podatki posredujejo na podlagi privolitve delavca, vendar po mnenju IP privolitve delavca ni potrebno pridobivati, razen za morebiten podatek o delavčevi zasebni e-pošti. Toda za pridobitev in posredovanje naslova delavčeve zasebne e-pošte je možna podlaga le privolitev. Če delavec tega podatka ne želi razkriti delodajalcu ali če nima niti službene niti zasebne e-pošte, lahko NIJZ delavcu izda potrdilo v papirni obliki.

2. Drugo vprašanje glede ustreznosti navodil se tiče zagotavljanja fizične varnosti pri posredovanju osebnih podatkov. Teh podrobnosti ne ureja nobeden od treh dokumentov. Zato je za zagotavljanje varnosti posredovanja osebnih podatkov treba upoštevati vsa splošna in posebna pravila, na primer 32. člen Splošne uredbe o varstvu podatkov in 24. člen ZVOP-1 ter interno ureditev vsakega delodajalca. Enako velja za NIJZ, ki te podatke zbira in nadalje obdeluje.

Prijazen pozdrav,

Pripravil:
mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka