Posredovanje zdravstvenih podatkov podjetju
+ -Številka: 07121-1/2021/1332
Kategorije: Zdravstveni osebni podatki, Pravne podlage
Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Sprašujete, ali vas lahko podjetje sprašuje o vašem zdravju in zdravju oseb okoli vas. Prilagate relevantno konverzacijo glede reklamacije ter ravnanja ob obisku tehnika.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
IP uvodoma pojasnjuje, da lahko podaja nezavezujoča mnenja in pojasnila le s področja varstva osebnih podatkov, ne pa tudi z drugih vidikov posegov v zasebnost, delovnopravnih vprašanj, varstva potrošnikov ipd., niti ne more izven konkretnih inšpekcijskih ali drugih upravnih postopkov presojati ustreznosti ravnanja upravljavca. Zato IP v nadaljevanju podaja zgolj splošna pojasnila z vidika varstva osebnih podatkov.
Zbiranje osebnih podatkov s strani podjetja predstavlja vrsto obdelave osebnih podatkov. Za vsako obdelavo pa mora imeti upravljavec zakonito in ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe (privolitev, pogodba, zakon itn.), za posebne vrste osebnih podatkov, med katere spadajo tudi podatki v zvezi z zdravjem, pa mora biti hkrati izpolnjen tudi eden izmed posebnih pogojev, ki so predpisani v členu 9(2) Splošne uredbe. Pri tem je upravljavec dolžan upoštevati tudi splošna načela, ki so predpisana v členu 5 Splošne uredbe, ter posameznikom zagotoviti pregledne informacije o dejavnostih obdelave, ki se izvajajo, in njihovih glavnih značilnostih.
V času, ko se soočamo s širjenjem okužb s COVID-19, in je ogroženo tako zdravje posameznika kot javno zdravje, lahko posebne okoliščine terjajo ukrepe, ki posegajo tudi na področje obdelave zdravstvenih podatkov. Treba je upoštevati, da so lahko takšni ukrepi tudi v zaščiti življenjskih interesov zaposlenih ter strank, zakonitih interesih družbe in v javnem interesu.
V primeru, ki ga opisujete, bi bila obdelava zdravstvenih podatkov o trenutni okužbi s COVID-19, karanteni ali samoizolaciji lahko potrebna zaradi izpolnjevanja pravne obveznosti, ki velja za delodajalca, kot so obveznosti v zvezi z zdravjem in varstvom pri delu, ali javnim interesom, kot je interes za nadzor nad boleznimi ali drugimi nevarnostmi za zdravje. Splošna uredba predvideva tudi odstopanja od prepovedi obdelave zdravstvenih podatkov, na primer kadar je to potrebno zaradi bistvenega javnega interesa na področju javnega zdravja (točka (i) člena 9(2)) na podlagi prava Unije ali nacionalnega prava ali za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki (točka (c) člena 9(2)).
Na podlagi navedenega IP meni, da lahko podjetje določene osebne podatke v zvezi s COVID-19 od strank oziroma naročnikov storitev, ki jih zaradi izvajanja določenih opravil oziroma pomoči na domu obišče tehnik, praviloma zahteva v posebej utemeljenih okoliščinah na podlagi področne nacionalne zakonodaje, pri čemer pa mora skrbno upoštevati načelo najmanjšega obsega podatkov. To pomeni, da morajo biti zahtevani osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo, s čimer se prepreči zbiranje osebnih podatkov »na zalogo«. Podjetja lahko zato od svojih strank zbirajo le tiste osebne podatke, ki so nujno potrebni za opravljanje njihovih nalog in za organiziranje dela v skladu z nacionalno zakonodajo.
Natančnejšega odgovora na vaše vprašanje IP izven inšpekcijskega nadzora ne more podati. Pomembno pa je, da morajo pristojni v sodelovanju z zdravstveno stroko od primera do primera presojati in ugotavljati, kateri osebni podatki ter kakšna obdelava je potrebna za zaščito življenjskih interesov ljudi ali v zvezi z zagotavljanjem zdravja in varstva pri delu oziroma na drugih pravnih podlagah.
Več o varstvu osebnih podatkov v času epidemije COVID-19 si lahko preberete na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/varstvo-osebnih-podatkov-v-%C4%8Dasu-epidemije-koronavirusa-covid-19.
Lep pozdrav,
Mojca Prelesnik, univ. dipl. prav.,
informacijska pooblaščenka
Pripravila:
Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov