Preverjanje osebnih podatkov gostov o prebolelosti, cepljenosti ali testiranju

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje, v katerem vas zanima, ali imajo na recepcij kampa pravico zahtevati potrdilo o tem, da ste preboleli covid-19, bili cepljeni ali pa potrdilo o negativnem testu. 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

V Uradnem listu RS št. 66/21 je bil 28. 4. 2021 objavljen nov Odlok o začasni prepovedi ponujanja in prodajanja blaga in storitev potrošnikom v Republiki Sloveniji (v nadaljevanju Odlok). Drugi odstavek 4. člena Odloka določa, da je v statističnih regijah Pomurska, Koroška, Osrednjeslovenska, Goriška in Obalno-kraška pod pogoji iz 5. člena tega odloka dovoljeno opravljanje gostinske dejavnosti priprave in strežbe jedi in pijač v gostinskih obratih, pri čemer obratovanje nočnih klubov, barov in diskotek ni dovoljeno. Tretji odstavek 4. člena Odloka pa določa, da so v notranjosti gostinskih obratov iz prejšnjega odstavka lahko samo gostje, ki imajo:

1. dokazilo o negativnem rezultatu testa na virus SARS-CoV-2 s testom PCR ali testom HAG, ki ni starejši od 48 ur od odvzema brisa;
2. dokazilo o cepljenju zoper COVID-19, s katerim dokazujejo, da je od prejema:
   • drugega odmerka cepiva Comirnaty proizvajalca Biontech/Pfizer preteklo najmanj sedem dni, COVID-19 Vaccine proizvajalca Moderna najmanj 14 dni, Sputnik V proizvajalca Russia’s Gamaleya National Centre of Epidemiology and Microbiology najmanj 14 dni, CoronaVac proizvajalca Sinovac Biotech najmanj 14 dni ali COVID-19 Vaccine proizvajalca Sinopharm najmanj 14 dni,
   • prvega odmerka cepiva Vaxzevria (COVID-19 Vaccine) proizvajalca AstraZeneca ali Covishield proizvajalca Serum Institute of India/AstraZeneca preteklo najmanj 21 dni,
   • odmerka cepiva COVID-19 Vaccine Janssen proizvajalca Johnson in Johnson/Janssen-Cilag preteklo najmanj 14 dni;
3. dokazilo o pozitivnem rezultatu testa PCR, ki je starejši od 10 dni, razen, če zdravnik presodi drugače, vendar ni starejši od šest mesecev, ali
4. potrdilo zdravnika, da so prebolele COVID-19 in od začetka simptomov ni minilo več kot šest mesecev.

Peti odstavek 4. člena Odloka dopušča tudi ponujanje nastanitvenih storitev v nastanitvenih obratih do 30 nastanitvenih enot, ne glede na velikost nastanitvenega obrata, pri čemer so lahko skladno s sedmim odstavkom istega člena v teh nastanitvenih obratih samo gostje, ki imajo ob prijavi dokazila oziroma potrdila, ki jih predpisuje ta določba in so enaka zgoraj navedenim. 

Iz Odloka pa ne izhaja, na kakšen način se izvaja preverjanje izpolnjevanja navedenih pogojev niti, katere konkretne osebne podatke lahko oziroma mora gostinec oziroma gostitelj v zvezi s tem obdelovati.

IP poudarja, da kot nadzorni organ za varstvo osebnih podatkov ni pristojen za podajanje konkretnih navodil o tem, kako naj gostinci oziroma gostitelji izvajajo zahteve iz Odloka. Prav tako IP ne sme prevzemati odgovornosti predlagatelja predpisov niti ne more podajati navodil glede izvajanja epidemioloških ukrepov ali presojati, kateri od teh ukrepov so sorazmerni, nujni in potrebni ali kateri ukrepi so v praksi izvršljivi in kako. Z vidika varstva osebnih podatkov predstavlja obdelava podatkov v zvezi z zdravjem posameznikov enega najbolj resnih in tveganih posegov v zasebnost posameznika. Zato terja veliko mero skrbnosti in premišljenega tehtanja glede tega, katere podatke se obdeluje in na kakšen način, kdo jih obdeluje, kako dolgo se hranijo in zlasti, kaj vse so potrebni ukrepi za zagotavljanje čim višje ravni varstva, zaščito pravic in svoboščin posameznika ter zmanjševanje tveganj zlorab. To mora v skladu z 38. členom Ustave RS urejati zakon.

IP sicer ne dvomi, da je cilj zgoraj navedene določbe Odloka namenjen zagotovitvi dokaza, da je zaradi prejetega cepiva, negativnih rezultatov testov ali preteklih okužb zmanjšano tveganje za prenos Covid-19. Vendar pa uporaba takšnih dokazil oziroma potrdil za nemedicinske namene odpira več vprašanj s področja človekovih pravic, predvsem glede pravice do varstva podatkov in načela nediskriminacije. Tveganja diskriminacije so še toliko bolj zaskrbljujoča, saj lahko vodijo do kršitev posameznikovih svoboščin, kot je svoboda gibanja.

Nadalje IP izpostavlja, da mora imeti upravljavec za zakonito obdelavo osebnih podatkov ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe o varstvu podatkov, za posebne vrste osebnih podatkov, med katere spadajo tudi podatki v zvezi z zdravjem, pa mora biti hkrati izpolnjen tudi eden izmed posebnih pogojev, ki so predpisani v členu 9(2) Splošne uredbe o varstvu podatkov. Skladno s točko i) tega člena je obdelava zdravstvenih podatkov dopustna, če je potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije ali prava države članice, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki.

Upoštevajoč določbe Splošne uredbe o varstvu podatkov in določbe Odloka pa ni mogoče ugotoviti, iz katerega zakonskega predpisa naj bi izhajala pravna podlaga, da gostinci, gostitelji oziroma pri njih zaposleni na podlagi Odloka obdelujejo (vpogledujejo, zbirajo, hranijo ipd.) osebne podatke gostov v zvezi z zdravjem, katere osebne podatke natančno naj bi obdelovali, kdo naj bi do njih dostopal in kako dolgo naj bi se hranili. Zakon o nalezljivih boleznih namreč tega ne določa, prav tako IP ni seznanjen z drugim predpisom, ki bi to urejal. Glede na to, da iz Odloka izhaja zgolj, da morajo gostje imeti zgoraj navedena dokazila oziroma potrdila, pa IP meni, da bi načeloma morala zadostovati že izjava gosta, da takšno dokazilo/potrdilo ima. Iz samega Odloka po presoji IP namreč ne izhaja pravna podlaga za obširnejšo obdelavo zdravstvenih podatkov gostov, gostinci in gostitelji pa tudi nimajo posebnih zakonskih pooblastil za pridobivanje teh dokazil/potrdil, kot na primer policija ali inšpektorji.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                               informacijska pooblaščenka

Pripravila:                                                                                                                              

Neja Domnik, mag. prav.,

asistentka svetovalca pri IP