Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Testiranje pri delodajalcu

+ -
Datum: 03.06.2021
Številka: 07121-1/2021/1039
Kategorije: Delovna razmerja, Šolstvo, Zdravstveni osebni podatki

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Zanima vas, če je obdelava osebnih podatkov s strani delodajalca v zvezi s testiranjem zaposlenih na novi koronavirus, kot je napisana na dnu povezave , skladna z zakonodajo. Predvsem vas zanima, ali lahko delodajalec res kadarkoli vpogleda v izvid/test zaposlenega in obdeluje tudi številko zdravstvene izkaznice zaposlenega. Glede na napisano namreč lahko profesorji gledajo, če so študenti na testih negativni ali ne, za zaposlene pa niti ne piše, kdo ima vpogled v to. Enota v okviru delodajalca res izvaja testiranje, vendar ne razumete, zakaj bi delodajalec samo zato imel vpogled v rezultate in številko zdravstvene izkaznice. Ali delodajalec lahko zahteva, da se mu predloži rezultat testiranja? Kot izhaja iz povezave, testiranje ni obvezno, ali se smatra, da se z udeležbo na testiranju samodejno strinjate s pogoji obdelave osebnih podatkov, ko so navedeni?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

IP uvodoma pojasnjuje, da mora imeti upravljavec za zakonito obdelavo osebnih podatkov ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe o varstvu podatkov. Osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju, Splošna uredba o varstvu podatkov v členu 4(15) opredeljuje kot podatke o zdravstvenem stanju. Slednji se na podlagi člena 9(1) Splošne uredbe o varstvu podatkov uvrščajo med posebno vrsto osebnih podatkov, katerih obdelava je prepovedana, v kolikor ni podana katera od izjem, ki so navedene v točkah (a) do (j) člena 9(2) Splošne uredbe o varstvu podatkov.

 

Za obdelavo podatkov v delovnih razmerjih je relevanten predvsem 48. člen Zakona o delovnih razmerjih (Uradni list RS, št. 21/13 in naslednji; v nadaljevanju ZDR-1), ki v prvem odstavku določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Kateri osebni podatki so tisti, ki jih delodajalec lahko obdeluje zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, je potrebno presojati od primera do primer. Na delodajalcu je, da utemelji, zakaj potrebuje določen osebni podatek delavca zaradi uresničevanja pravic in obveznosti iz delovnega razmerja oziroma v zvezi z delovnim razmerjem. Skladno s tretjim odstavkom 48. člena ZDR-1, se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

 

Delodajalec podatkov kot jih navajate načeloma ne potrebuje, razen če to od njega zahtevajo področni predpisi kot na primer odredbe glede obveznih testiranj za zaposlene v določenih dejavnostih. Tudi v takšnem primeru pa morajo biti osebni podatki, ki jih delodajalec obdeluje, skladno z načelom najmanjšega obsega podatkov iz točke (c) člena 5 Splošne uredbe o varstvu podatkov zbira oziroma obdeluje zgolj tiste podatke, ki so ustrezni in relevantni za takšen namen.

 

Odredba o izvajanju posebnega presejalnega programa za zgodnje odkrivanje okužb z virusom SARS-CoV-2 za osebe, ki opravljajo zdravstveno dejavnost (Uradni list RS, št. 36/2021, 61/2021, 74/2021, 76/2021; v nadaljevanju Odredba) določa izvajanje posebnega presejalnega programa za zgodnje odkrivanje okužb z virusom SARS-CoV-2 za osebe, ki opravljajo zdravstveno dejavnost (posebni program za zdravstveno dejavnost) pri vseh izvajalcih zdravstvene dejavnosti, ki opravljajo zdravstveno dejavnost v skladu z zakonom, ki ureja zdravstveno dejavnost (izvajalci). Odredba v 2. členu določa, da se morajo zdravstveni delavci in zdravstveni sodelavci, ki delo opravljajo pri izvajalcih (zdravstveni delavci), pred začetkom opravljanja zdravstvenih storitev udeležiti testiranja na virus SARS-CoV-2 (testiranje) v okviru posebnega programa za zdravstveno dejavnost.

 

V 3. členu Odredbe je določeno, katerim osebam in kdaj se ni treba testirati, in sicer je določeno, da se ni treba testirati osebam, ki predložijo dokazila o negativnem rezultatu testiranja s PCR testom ali s hitrim antigenskim testo; imajo dokazilo o cepljenju proti COVID-19; imajo dokazilo o pozitivnem rezultatu testa PCR, ki je starejši od deset dni, razen če zdravnik presodi drugače, vendar ni starejši od šest mesecev; ali imajo potrdilo zdravnika, da je prebolel COVID-19 in od začetka simptomov ni minilo več kot šest mesecev. Ne glede na navedeno pa je testiranje obvezno za zdravstvene delavce z znaki COVID-19.

 

Odredba v 4. členu nadalje določa, da izvajalec določi pooblaščeno osebo, ki se ji sporočijo negativni rezultati testiranj, izvedeni v okviru posebnega programa za zdravstveno dejavnost.

 

Glede na Odredbo so zdravstveni delavci pooblaščeni osebi, dolžni praviloma sporočati zgolj to, da so bili na predpisanem testiranju in da je bil izvid negativen. Zdravstveni delavec je torej dolžan sporočiti zgolj negativen rezultat testiranja. V kolikor se delavec ni testiral pri izvajalcu, ki opravlja testiranje za določeno ustanovo, lahko pooblaščena oseba od zdravstvenega delavca zahteva tudi podatek, pri katerem izvajalcu se je zdravstveni delavec testiral in pri izvajalcu preveri, ali je bilo za zdravstvenega delavca testiranje dejansko izvedeno. V evidenci lahko za namene izpolnjevanja zgoraj navedene odredbe za posameznega zdravstvenega delavca vodi le izjavo delavca o negativnem testu, datum negativnega testa ter podatek o tem, kje je bil test opravljen.

 

V primeru, da se zdravstvenemu delavcu iz razlogov, navedenih v 3. členu Odredbe ni potrebno testirati, mora pooblaščeni osebi sporočiti, iz katerega razloga se mu ni treba testirati ter mu omogočiti vpogled v dokazilo, ki potrjuje njegovo izjavo. V tem primeru se za namene izpolnjevanja Odredbe v evidenci za posameznega zdravstvenega delavca vodi le izjava delavca o tem, da izpolnjuje pogoje iz 3. člena Odredbe ter do kdaj jih izpolnjuje in uradni zaznamek o vpogledu v dokazilo (npr. potrdilo št. … ali potrdilo z dne …), ne pa tudi razlog za to (v evidenco se torej ne vpiše, da je npr. prebolevnik oziroma da se je cepil).

 

Na tem mestu IP dodaja, da oodobno ureditev kot je navedena zgoraj za zdravstvene delavce vsebuje za zaposlene v dejavnosti vzgoje in izobraževanja Odredba o izvajanju posebnega presejalnega programa za zgodnje odkrivanje okužb z virusom SARS-CoV-2 za osebe, ki opravljajo dejavnost vzgoje in izobraževanja (Uradni list RS, št. 11/21 in 64/21). V primeru kot ga navajate bi namreč lahko v poštev prišli obe odredbi.

 

IP ni znan predpis, ki bi delodajalcu dajal splošno pravno podlago za obdelavo številke kartice zdravstvenega zavarovanja. V primeru kot ga navajate, bi lahko šlo tudi za preplet pooblastil ki jih ima delodajalec v zvezi z obdelavo za namene delovnega razmerja in za namen zdravstvene oskrbe. Zlasti ob upoštevanju namenskosti kot enega izmed temeljnih načel varstva osebnih podatkov, samo dejstvo, da upravljavec razpolaga z določenimi podatki (na primer obdelava podatkov kartice zdravstvenega zavarovanja je običajno potrebna za namen zdravstvene oskrbe) namreč še ne dopušča uporabe teh podatkov v druge namene (na primer za uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem). Za vsak posamezen namen mora obstajati (ločena) pravna podlaga. Upravljavec, v vašem primeru delodajalec, ki nastopa v več vlogah mora skrbeti tudi, da ločuje dejanja obdelave, ki jih vrši v različnih vlogah, in med seboj ne meša oziroma ne združuje zbirk podatkov, ki jih obdeluje v različnih vlogah.

 

Ob navedenem IP posebej poudarja, da je obdelava delavčevih osebnih podatkov na podlagi njegove osebne privolitve dopustna le izjemoma pod pogojem, da njena zavrnitev nima nikakršnih posledic na delovno razmerje oziroma na delavčev pravni položaj. Osebna privolitev v delovnih razmerjih je torej bolj izjema kot pravilo, ker je delodajalec v razmerju do delavca močnejša stranka in so možnosti za zlorabo tega instituta v delovnih razmerjih toliko večje. Tudi smernice Evropskega odbora za varstvo podatkov (EDPB) glede privolitve kot pravne podlage za obdelavo osebnih podatkov v delovnih razmerjih poudarjajo neprostovoljno naravo razmerja delavec - delodajalec, kar ovira veljavnost privolitve. Temeljni kriterij za dopustnost privolitve v delovnih razmerjih je po mnenju EDPB, da podaja ali zavrnitev privolitve za zaposlene nima nikakršnih negativnih posledic. Pri tem je treba upoštevati podrobnejša določila glede pogojev, po katerih se šteje, da je privolitev veljavna, ki so določeni v 7. členu Splošne uredbe o varstvu podatkov. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Molk ali kakršnakoli nedejavnost tako ne pomeni privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. IP poudarja, da mora biti privolitev v primerih, ko obdelava podatkov vključuje več različnih namenov, podana za vsak namen posebej. Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

 

V vsakem primeru morajo biti zaposlenim že pri zbiranju podatkov na voljo ustrezne informacije o obdelavi njihovih osebnih podatkov, kot to določa člen 13 Splošne uredbe o varstvu podatkov, na primer komu se podatki pošiljajo, za kakšen konkretni namen, na kateri podlagi, kakšen je rok hrambe, kdo je upravljavec, kakšne pravice ima posameznik v zvezi z njegovimi podatki ali je zagotovitev podatkov obvezna in podobno.

 

Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP opravi le v postopku inšpekcijskega nadzora. V kolikor menite, da gre v primeru kot ga navajate za kršitev predpisov s področja varstva osebnih podatkov, lahko na IP naslovite prijavo kršitve. Pri tem vam je lahko v pomoč tudi obrazec, ki je za namen prijave kršitve varstva osebnih podatkov dostopen na spletni strani https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/. Prijava se lahko poda tudi anonimno.

 

Lep pozdrav,

 

                                                                                    Mojca Prelesnik,

                                                                                    informacijska pooblaščenka

 

Žiga Veber,

državni nadzornik

za varstvo osebnih podatkov

 

To mnenje je nastalo v okviru projekta »Programa pravice, enakost in državljanstvo 2014-2020«, ki ga financira Evropska unija.

Vsebina tega mnenja predstavlja neobvezno mnenje Informacijskega pooblaščenca in je izključno njegova odgovornost. Evropska komisija ne sprejema odgovornosti glede uporabe informacij, ki jih mnenje zajema.