Ocena tveganja in zbiranja podatkov o cepljenju

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Zanima vas, ali sme delodajalec (oziroma če lahko, kdo pri delodajalcu), ki je v konkretnem primeru javni zdravstveni zavod, zbirati, kontrolirati in obdelovati podatke o cepljenosti/obolevnosti/testiranju. Prilagate oceno tveganja varnosti in zdravja pri delu.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. V okviru tega mnenja IP na vaše vprašanje torej ne more dokončno odgovoriti, niti ni pristojen komentirati priložene ocene tveganja varnosti in zdravja pri delu oziroma ocenjevati primernosti, nujnosti in sorazmernosti predvidenih ukrepov. Zato v nadaljevanju podaja splošna pojasnila v zvezi z obdelavo osebnih podatkov.

V primeru obdelave posebnih vrst osebnih podatkov, kamor sodijo tudi podatki o zdravju posameznika in s tem podatki o cepljenju/obolevnosti/testiranju, mora imeti upravljavec ustrezno pravno podlago v skladu s členom 6(1) v zvezi s členom 9(2) Splošne uredbe.

Delodajalec je skladno s 17. členom Zakona o varnosti in zdravju pri delu (Uradni list RS, št. 43/11; v nadaljevanju ZVZD-1) dolžan pripraviti oceno tveganj, katerim so delavci izpostavljeni ali bi lahko bili izpostavljeni pri delu, ter izjavo o varnosti, s katero delodajalec določi posebne zdravstvene zahteve, ki jih morajo izpolnjevati delavci za določeno delo, v delovnem procesu, ali za uporabo posameznih sredstev za delo, na podlagi strokovne ocene izvajalca medicine dela. V Programu cepljenja in zaščite z zdravili za leto 2021, ki ga je na podlagi 25. člena Zakona o nalezljivih boleznih (Uradni list RS, št. 33/06 – uradno prečiščeno besedilo, 49/20 – ZIUZEOP, 142/20, 175/20 – ZIUOPDVE, 15/21 – ZDUOP in 82/21) sprejel Minister za zdravje, so določene vrste bolezni, za katere se lahko zahteva obvezno cepljenje zaposlenih. Cepljenje in zaščita z zdravili proti določeni nalezljivi bolezni se opravi v skladu z izjavo o varnosti z oceno tveganja delovnih mest pri osebah, ki so pri opravljanju dela izpostavljene nalezljivim boleznim in osebah, ki pri delu lahko prenesejo okužbo na druge osebe.

Če delodajalec v svojih internih aktih oceni, da je za zasedbo določenega delovnega mesta zaradi narave dela treba opraviti cepljenje proti določenim infekcijskim boleznim, bi lahko prišla v poštev ena izmed pravnih podlag iz člena 9(2) Splošne uredbe, kot na primer točka h: »obdelava je potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3.« V takšnem primeru bi bilo po mnenju IP posredovanje podatka o cepljenju posameznega delavca skladno s Splošno uredbo. Enako bi lahko veljalo za zbiranje podatka o obolelosti ali rezultatu testiranja. Ob tem pa mora delodajalec kot upravljavec osebnih podatkov zagotoviti spoštovanje vseh načel varstva osebnih podatkov, med drugim tudi načela omejitve namena (osebni podatki so zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni) in načela najmanjšega obsega podatkov (osebni podatki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo). Če torej delodajalec izvaja ukrepe, ki so pripravljeni v skladu z ZVZD-1 in usklajeni s pristojnimi strokovnimi službami (NIJZ, izvajalec medicine dela), potem sme v potrebnem obsegu obdelovati tudi s tem povezane osebne podatke delavcev. To pa ne pomeni, da bi lahko vsak od uslužbencev pri delodajalcu pridobival in nadalje obdeloval te podatke brez utemeljenega razloga in izven potreb delovnih zadolžitev ter izven posameznih konkretnih zakonitih namenov zbiranja oziroma obdelave. Kdo konkretno znotraj delodajalca je pristojen obdelovati takšne zdravstvene podatke delavcev, pa je odvisno od organizacije delovnega procesa pri konkretnem delodajalcu in drugih okoliščin, zato IP v okviru mnenja ne more ocenjevati.

Lep pozdrav,

                                                                                                     Mojca Prelesnik, univ. dipl. prav.,                                               

                                                                                                             informacijska pooblaščenka

Pripravila:                                                                                                                                

Tina Ivanc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov