Izvajalec zdravstvenih pregledov in zunanji izvajalec varnosti in zdravja pri delu kot obdelovalca

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis v katerem sprašujete, ali se zunanji izvajalec periodičnih zdravstvenih pregledov ter zunanji izvajalec varnosti in zdravja pri delu štejeta za pogodbena obdelovalca osebnih podatkov. Sami menite, da ne, saj

• ne moreta sam določati namena in sredstva obdelave osebnih podatkov,
• upravljavec (npr. šola) obdelave osebnih podatkov v teh primerih ne more izvesti sam,
• obdelava osebnih podatkov v tem primeru je zgolj posledica najetja storitve,
• obstaja neposredno zakonsko pooblastilo za izvajanje teh nalog s strani subjektov (obveznost zdravstvenih pregledov ter varnosti in zdravja pri delu).

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

* * *

Glede pogodbene obdelave osebnih podatkov je IP izdal smernice, ki so na voljo tu: https://www.ip-rs.si/publikacije/prirocniki-in-smernice/smernice-o-pogodbeni-obdelavi/. V zvezi s to tematiko pa je smernice izdal tudi Evropski odbor za varstvo podatkov (EDPB); gre za smernice o konceptu upravljavca in obdelovalca po Splošni uredbi o varstvu podatkov, ki so dostopne tu: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-072020-concepts-controller-and_sl.

Pri ugotavljanju, ali gre pri določenih subjektih in storitvah, ki jih ti zagotavljajo, za (pogodbeno) obdelavo ali ne, so ključni naslednji faktorji:

• Ali lahko subjekt sam določa namen in sredstva obdelave osebnih podatkov?
• Ali je upravljavec zbirke osebnih podatkov subjektu poveril v izvajanje opravila obdelave, ki bi jih sicer lahko izvajal upravljavec sam?
• Kakšna je intenzivnost obdelave, vezanost na navodila in nadzor upravljavca nad dejanji subjekta?
• Ali ima subjekt zakonska pooblastila oziroma pravno podlago, ki bi ga deloma ali v celoti postavila za upravljavca v zvezi z osebnimi podatki upravljavca?
• Ali je primarni namen najema storitev subjekta katero od dejanj obdelave osebnih podatkov (npr. hramba) ali pa je obdelava osebnih podatkov zgolj posledica najetja storitve subjekta?

Vsaj te kriterije je vedno treba presojati skupaj.

V vlogi obdelovalca bo nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala:

1. izključno v imenu in za račun upravljavca osebnih podatkov,
2. bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter
3. bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca.

Glede na navedene kriterije se izvajalec periodičnih zdravstvenih pregledov ne šteje za obdelovalca, saj zagotavlja regulirano storitev, ki je upravljavec sam zase ne more izvesti, saj za to nima niti potrebnega znanja niti potrebnih zakonskih okvirjev. Svojo storitev izvajalec periodičnih zdravstvenih pregledov izvede skladno s pravili medicinske stroke, torej skladno z lastno pravno podlago, in ne po navodilih upravljavca.

Podobno velja tudi za izvajalca usposabljanj za varno in zdravo delo. Primarni namen izvedbe take storitve ni obdelava osebnih podatkov, temveč je obdelava osebnih podatkov zgolj posledica najetja storitve subjekta, saj storitve izobraževanja ni mogoče izvesti anonimno, torej brez obdelave osebnih podatkov.

S spoštovanjem.

Pripravila:

mag. Eva Kalan Logar,

vodja državnih nadzornikov

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka