Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Zbiranje podatkov o cepljenju s strani delodajalca

+ -

Opozorilo: Mnenje je bilo izdano na podlagi določb Zakona o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati in ga je nadomestil nov Zakon o varstvu osebnih podatkov (ZVOP-2, Uradni list RS, št. 163/22), zato mnenje ni več nujno aktualno. Mnenja po ZVOP-2 so na voljo tukaj.

Datum: 19.07.2021
Številka: 07121-1/2021/1254
Kategorije: Delovna razmerja, Zdravstveni osebni podatki

Informacijski pooblaščenec (v nadaljevanju: IP) je e-pošti prejel vaše zaprosilo za mnenje. Navajate, da se v vašem podjetju zadnje čase pojavljajo pritiski glede cepljenja. Sprašujete, ali je delodajalcu dovoljeno, da vas sprašuje, ali ste cepljeni ali ne?

 

***

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi člena 58 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Pri tem IP poudarja, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. Glede vašega vprašanja vam IP v okviru nezavezujočega mnenja ne more podati dokončnega odgovora in tudi ni pristojen presojati ustreznosti zdravstvenih ukrepov in njihove učinkovitosti, zato vam podaja splošne usmeritve in pojasnila glede obdelave osebnih podatkov.

 

Uvodoma pojasnjujemo, da mora biti za vsako obdelavo osebnih podatkov podana ustrezna pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe. V okviru delovnega razmerja je relevantna tudi določba prvega odstavka 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19 in 203/20 – ZIUPOPDVE), ki določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Prav tako prvi odstavek 5. člena Zakona o varnosti in zdravju pri delu (Ur. l. RS, št. 43/11, ZVZD-1) določa, da mora delodajalec zagotoviti varnost in zdravje delavcev pri delu. V ta namen mora izvajati ukrepe, potrebne za zagotovitev varnosti in zdravja delavcev ter drugih oseb, ki so navzoče v delovnem procesu, vključno s preprečevanjem, odpravljanjem in obvladovanjem nevarnosti pri delu, obveščanjem in usposabljanjem delavcev, z ustrezno organiziranostjo in potrebnimi materialnimi sredstvi. Kadar gre za obdelavo posebnih vrst osebnih podatkov (»občutljivi osebni podatki«), pa 9. člen Splošne uredbe določa izjeme, v katerih primerih je obdelava posebnih vrst osebnih podatkov (kot so npr. zdravstveni podatki) dovoljena.

 

Kot smo že večkrat izpostavili (npr. v mnenju Testiranje zaposlenih, št. 07121-1/2020/2097 z dne 20.11.2020) bi lahko pravno podlago za obdelavo zdravstvenih podatkov zaradi ukrepov, povezanih z obvladovanjem epidemije, predstavljala točka (c) drugega odstavka 9. člena Splošne uredbe in sicer v primerih, ko je obdelava potrebna za zaščito življenjskih interesov posameznikov ali točka (i) drugega odstavka 9. člena Splošne uredbe, kadar je obdelava potrebna zaradi razlogov javnega interesa na področju javnega zdravja, če je to predpisano z nacionalno zakonodajo. Takšen primer so npr. odredbe glede obveznih testiranj za zaposlene v določenih dejavnostih, npr. Odredba o izvajanju posebnega presejalnega programa za zgodnje odkrivanje okužb z virusom SARS-CoV-2 za osebe, ki opravljajo dejavnost vzgoje in izobraževanja (Uradni list RS, št. 11/21, 64/21, 81/21 in 99/21).

 

V zvezi s pridobivanjem podatka o cepljenosti s strani delodajalca je IP že izdal nezavezujoča mnenja, gre npr. za:

- Pridobivanje podatka o cepljenju proti COVID-19 od novo zaposlenih in od pacientov, mnenje št. 07120-1/2021/198 z dne 15.4.2021,

- Dopustnost pridobivanja seznamov cepljenih proti COVID19 s strani vodij posameznih organizacijskih enot za svoje zaposlene, mnenje št. 07120-1/2021/292 z dne 18.5.2021,

- Zbiranje podatkov o cepljenosti zaposlenih, mnenje št. 07121-1/2021/1025 z dne 1.6.2021 in

- Testiranje pri delodajalcu, mnenje št. 07121-1/2021/1039 z dne 3.6.2021.

 

Kot smo poudarili tudi v citiranih mnenjih, bi delodajalec moral imeti za obdelavo podatkov o cepljenosti ustrezno pravno podlago. Pojasnjujemo, da delodajalec podatka o cepljenosti načeloma ne potrebuje, razen če bi to od njega zahtevali področni predpisi kot so to na primer odredbe glede obveznih testiranj za zaposlene v določenih dejavnostih (kot je npr. citirana odredba zgoraj). Kot smo poudarili, pa lahko ta podatek pridobi ustrezna organizacijska enota pri izvajalcu v postopku obveznega periodičnega testiranja, v okviru katerega lahko delavec, da bi se izognil testiranju dokaže, da je že cepljen proti covid-19. Tudi v takšnem primeru pa lahko delodajalec zbira oziroma obdeluje zgolj tiste podatke, ki so ustrezni in relevantni za takšen namen (npr. vodi se le izjava delavca o tem, da izpolnjuje pogoje v zvezi s pogojem PCT, do kdaj jih izpolnjuje in uradni zaznamek o vpogledu v dokazilo, ne pa tudi razlog za to, torej da je oseba npr. cepljena). Vnaprejšnje pridobivanje podatkov o cepljenju bi bilo dopustno le, če bi bilo cepljenje obvezno oziroma, če bi bilo cepljenje predpisan pogoj za opravljanje določenega dela na določenem delovnem mestu.

 

Delodajalec pa mora upoštevati tudi druge določbe Splošne uredbe, npr. glede sprejetja primernih ukrepov za zavarovanje osebnih podatkov in glede obveščanja zaposlenih. Zaposlenim mora tako podati ustrezne informacije o obdelavi njihovih osebnih podatkov, kot to določa 13. člen Splošne uredbe, na primer glede informacije glede upravljavca, namena obdelave osebnih podatkov, pravne podlage, roka hrambe, uporabnikov osebnih podatkov, prenosa osebnih podatkov in glede uveljavljanja pravic posameznika.

 

V kolikor na podlagi zgornjih usmeritev menite, da je obdelava osebnih podatkov pri vašem delodajalcu nezakonita, lahko podate prijavo na IP (podana je lahko tudi anonimno). Pomagate si lahko z obrazcem »Prijava kršitve varstva osebnih podatkov«, ki je objavljen na spletni strani IP, na https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

 

V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.

 

 

                                                                                             

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

 

Pripravila:                                                                                                                                

Barbara Pirš, univ.dipl.prav.,

svetovalka pooblaščenca za preventivo