Dopustnost pridobivanja seznamov cepljenih proti COVID19 s strani vodij posameznih organizacijskih enot za svoje zaposlene

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše sporočilo, v katerem nas prosite za mnenje glede dopustnosti pridobivanja seznamov cepljenih proti COVID19 s strani vodij posameznih organizacijskih enot za svoje zaposlene, pri čemer gre za delavce zaposlene v zdravstvu (ni pa nujno, da so zdravstveni delavci).

Kot pojasnjujete podatek o cepljenosti posameznega zaposlenega vodje organizacijske enote potrebujejo za potrebe izdelave delovnih razporedov in napotitve zaposlenih na ponovno testiranje po treh mesecih od prejema drugega odmerka cepiva. Velika večina (ne pa 100%) zaposlenih pri vas je bila tudi cepljena pri vas in bi takšne sezname prejel vodja organizacijske enote direktno od cepilne ekipe pri vaši instituciji.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Informacijski pooblaščenec (v nadaljevanju IP) uvodoma pojasnjuje, da se morajo osebni podatki zaposlenih obdelovati skladno z 48. členom Zakona o delovnih razmerjih (Ur. l. RS, št. 21/13 s spremembami in dopolnitvami, ZDR-1), ki določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem in 5. členom Zakona o varnosti in zdravju pri delu (Ur. l. RS, št. 43/11, ZVZD-1), ki določa, da mora delodajalec zagotoviti varnost in zdravje delavcev pri delu. V ta namen mora izvajati ukrepe, potrebne za zagotovitev varnosti in zdravja delavcev ter drugih oseb, ki so navzoče v delovnem procesu, vključno s preprečevanjem, odpravljanjem in obvladovanjem nevarnosti pri delu, obveščanjem in usposabljanjem delavcev, z ustrezno organiziranostjo in potrebnimi materialnimi sredstvi.

Potrebno pa je opozoriti, da je sporno, da delodajalec kot izvajalec zdravstvene dejavnosti prepleta pooblastila, ki jih ima v zvezi z obdelavo za namene delovnega razmerja in za namen zdravstvene oskrbe, zlasti ob upoštevanju načela namenskosti kot enega izmed temeljnih načel varstva osebnih podatkov. Samo dejstvo, da upravljavec razpolaga z določenimi podatki (npr. podatki o cepljenosti zaposlenih, ki jih je zbral v okviru druge dejavnosti in ne v okviru delovnega razmerja) namreč še ne omogoča oziroma dopušča uporabe teh podatkov v druge namene, konkretno za namene organizacije dela, zato je potrebno te podatke pridobiti in uporabiti neodvisno od tega, da s temi podatki razpolaga, ker obenem izvaja cepljenje.

IP je že sprejel stališče (mnenje št. 07121-1/2021/467), da izvajalec medicine dela, ki za delodajalca izvaja HAGT, delodajalcu sporoči le splošen podatek o skupnem številu negativnih/pozitivnih rezultatov testov, vendar mora paziti, da s tem – v odvisnosti od števila testiranih delavcev, števila pozitivnih/negativnih rezultatov in drugih okoliščin – delodajalcu ne razkrije konkretnega rezultata, ki bi se nanašal na določljivega delavca.  Sporočanje rezultatov je načelna dolžnost delavca in ker že na splošno delodajalec ni upravičen do zbiranja konkretnih zdravstvenih podatkov delavcev od izvajalcev zdravstvene dejavnosti (razen določenih izjem), izvajalec testiranja nima pravne podlage za sporočanje konkretnih rezultatov testiranja za določene delavce. Lahko pa delodajalcu sporoči anonimizirane (npr. ustrezno agregirane) podatke, ki se nanašajo na testirano skupino delavcev, saj je smisel testiranja tudi v tem, da je delodajalec seznanjen s splošno »zdravstveno sliko«, ki mu omogoča ustrezno organizacijo dela in ukrepanje z vidika zagotavljanja varnosti in zdravja pri delu ter preprečevanja okužb. 

Deloma vam je lahko v pomoč tudi mnenje št. 07120-1/2021/198, kjer smo zapisali, da po mnenju IP ni na voljo ustrezne pravne podlage, da bi izvajalec zdravstvene dejavnosti kot delodajalec od vseh novo zaposlenih delavcev generalno in vnaprej s strani kadrovske službe pridobival podatek o cepljenosti proti COVID-19. Lahko pa ta podatek pridobi ustrezna organizacijska enota pri izvajalcu v postopku obveznega periodičnega testiranja, v okviru katerega lahko delavec, da bi se izognil testiranju dokaže, da je že cepljen proti COVID-19. Vnaprejšnje pridobivanje takih podatkov ob zaposlitvi bi bilo dopustno le, če bi bilo cepljenje obvezno oziroma, če bi bilo cepljenje predpisan pogoj za opravljanje določenega dela na določenem delovnem mestu.

S spoštovanjem,

Mojca Prelesnik, univ.dipl.prav.,                                                                                                  

informacijska pooblaščenka

Pripravil:                                                                                                                              

mag. Andrej Tomšič,

namestnik informacijske pooblaščenke