Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Dokazilo o usposobljenosti za preverjanje izpolnjevanja pogoja PCT

+ -
Datum: 09.08.2021
Številka: 07121-1/2021/1416
Kategorije: Zdravstveni osebni podatki, Pravne podlage

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem se sprašujete, ali so osebe, ki pregledujejo dokazila o izpolnjevanju PCT res strokovno usposobljene za to in imajo ustrezna pooblastila in dokazila, da to delo lahko opravljajo in ne kršijo odloka oz. zakona.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

Kot je znano, je Vlada RS v Uradnem listu RS št. 126/2021 z dne 4. 8. 2021 objavila Odlok o načinu ugotavljanja izpolnjevanja pogojev prebolevnosti, cepljenosti in testiranja v zvezi z nalezljivo boleznijo COVID-19 (v nadaljevanju Odlok). Vlada naj bi s sprejemom navedenega odloka zagotovila pravno podlago za delovanje aplikacije za preverjanje izpolnjevanja pogoja PCT.

 

Informacijski pooblaščenec je v sporočilu za javnost z dne 5. 8. 2021 sporočil, da je se je ob sprejemu omenjenega odloka odločil, da inšpekcijski postopek, v okviru katerega preverja zakonitost obdelave osebnih podatkov v okviru izkazovanja in preverjanja pogojev PCT, prekine in na Ustavno sodišče RS poda predlog za presojo ustavnosti in zakonitosti odloka.

 

Ustava RS namreč v 38. členu določa, da obdelavo osebnih podatkov določa le zakon, preverjanje izpolnjevanja pogoja PCT pa je predpisano zgolj z vladnim odlokom. Ker pa vsaka obdelava podatkov pomeni poseg v z ustavo zagotovljeno človekovo pravico, v Sloveniji obdelav podatkov zaradi zagotavljanja pravne varnosti državljanov ni dopustno urejati z vladnimi odloki. Pri sprejemanju podzakonskih predpisov (omenjeni odlok temelji na 4. členu Zakona o nalezljivih boleznih) namreč ni mogoče dosegati take stopnje demokratičnega procesa odločanja kot v Državnem zboru, saj odražajo le odločitev vsakokratne izvršilne veje oblasti. Posegi v pravico do zasebnosti pa morajo biti predpisani z zakonom, nujni v demokratični družbi in zasledovati legitimen cilj (gl. 8. člen Evropske konvencije o varstvu človekovih pravic).

 

Ureditev obdelave posebnih vrst osebnih podatkov, med drugim podatkov v zvezi z zdravjem, je v evropskem in slovenskem pravnem redu izjemno restriktivna, saj prvi odstavek 9. člena Splošne uredbe določa celo, da je obdelava takšnih osebnih podatkov praviloma prepovedana. Šele drugi odstavek 9. člena Splošne uredbe določa izjeme od načelne prepovedi, med drugim denimo, če je obdelava potrebna:

  • iz razlogov bistvenega javnega interesa na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki;
  • iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije ali prava države članice, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti;
  • za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ipd.

 

Vsak upravljavec osebnih podatkov mora zagotoviti, da osebnih podatkov ne obdeluje nepooblaščena oseba in da se nepooblaščenim osebam prepreči dostop do osebnih podatkov, za obdelavo katerih nimajo ustrezne pravne podlage. Nepooblaščeno razkritje osebnih podatkov namreč po Splošni uredbo predstavlja kršitev varstva osebnih podatkov, ki pa jo lahhko v inšpekcijskem postopku preverja Informacijski pooblaščenec. Posamezniki, na katere se nanašajo osebni podatki, načeloma niso upravičeni zahtevati podatka o tem kdo znotraj upravljavca osebnih podatkov obdeluje njihove osebne podatke (npr. ime in priimek zaposlenega), in nimajo pooblastil preverjanja, ali imajo zaposleni pri upravljavcu ustrezne kvalifikacije za obdelavo osebnih podatkov.

 

Nadaljnja vsebinska pojasnila lahko poda le Vlada RS, ki je sprejela Odlok, prav tako lahko le Vlada RS odgovori na dileme, ki se bodo pojavile glede veljavnosti in izvršljivosti odloka. Kot rečeno pa do odločitve Ustavnega sodišča sprejeti Odlok Vlade velja, saj ga IP nima pristojnosti razveljaviti.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                                informacijska pooblaščenka

 

Pripravila:                                                                                                                                

mag. Polona Merc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov