Informacijski pooblaščenec Republika Slovenija
| sl | Iskalnik po spletni strani   Priredbe v znakovni jezik  
dekorativna slika

Obdelava osebnih podatkov o precepljenosti zaposlenih

+ -
Datum: 07.03.2025
Številka: 07120-1/2025/93
Kategorije: Delovna razmerja, Občutljivi OP, Ocene učinkov v zvezi z varstvom podatkov, Posebne vrste OP, Pravne podlage, Pridobivanje OP iz zbirk, Varnost osebnih podatkov, Zbirke osebnih podatkov, Zdravstveni osebni podatki

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Navajate, da želi Služba za preprečevanje bolnišničnih okužb UKC (SPOBO) pridobiti podatke o precepljenosti zaposlenih proti gripi na ravni organizacijskih enot. Opisujete namen zbiranja podatkov (ocena tveganja za okužbo pacientov, načrtovanje in izvajanje preventivnih ukrepov za zmanjšanje širjenja gripe), način obdelave (anonimizacija, agregacija) ter zakonodajo na tem področju. Zanima vas, ali ima SPOBO pravno podlago za obdelavo teh podatkov v skladu z veljavno zakonodajo.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Pri načrtovanju obdelave osebnih podatkov je bistveno najprej opredeliti, kdo je upravljavec Splošne uredbe, ter zagotoviti ustrezno pravno podlago za vsako fazo obdelave.

IP je že zavzel stališče, da lahko delodajalci obdelujejo tudi podatke o cepljenju zaposlenih, če je to za določeno panogo predpisano ali potrebno za zaščito življenja in zdravja posameznikov po presoji zdravnika medicine dela. Vendar zgolj dejstvo, da ima upravljavec zaradi narave dejavnosti dostop do zdravstvenih podatkov zaposlenih, še ne pomeni, da lahko do njih prosto dostopa zgolj zaradi praktičnosti. Pri presoji dopustnosti obdelave je treba vedno upoštevati podlago za obdelavo podatkov, njen namen ter v kakšni vlogi nastopa upravljavec.

O b r a z l o ž i t e v:

Uvodoma opozarjamo, da je odgovornost za zakonito obdelavo osebnih podatkov na strani upravljavca, ki mora biti zakonitost obdelave tudi zmožen dokazati. IP lahko v mnenju poda le splošne usmeritve, saj skladnosti posameznih obdelav s predpisi na področju varstva osebnih podatkov ne more presojati izven konkretnih nadzornih postopkov. Zato vam na vprašanje, ali imate pravno podlago za obdelave, ki jih opisujete, ne moremo dokončno odgovoriti. Izbira in utemeljitev ustrezne pravne podlage je namreč primarno vaša dolžnost, pri čemer je treba upoštevati konkretne okoliščine in namen obdelave. Glede na to vam v nadaljevanju podajamo splošna pojasnila ter pravna izhodišča, ki vam lahko pomagajo pri zagotavljanju zakonitosti obdelave osebnih podatkov.

V dopisu opisujete potrebo SPOBO po pridobitvi podatkov o precepljenosti zaposlenih proti gripi na ravni organizacijskih enot UKC. Kot namen pridobitve teh podatkov izpostavljate izdelavo ocene tveganja za prenos gripe in načrtovanje preventivnih ukrepov za zaščito pacientov ter zaposlenih. Kot pravno podlago za obdelavo podatkov navajate več predpisov, vključno z Zakonom o nalezljivih boleznih, Zakonom o pacientovih pravicah, Zakonom o varnosti in zdravju pri delu, Zakonom o delovnih razmerjih, ZVOP-2 in Splošno uredbo, saj po vašem mnenju obdelava temelji na varovanju javnega zdravja, varstvu pacientov in obveznosti izvajanja preventivnih ukrepov za preprečevanje bolnišničnih okužb.

Iz vašega opisa pa ne izhaja, na kakšen način in od koga bi pridobivali podatke o cepljenju zaposlenih proti gripi, kar je bistveno za presojo zakonitosti obdelave. Če bi podatke pridobivali neposredno od zaposlenih oziroma iz svojih lastnih evidenc, ti po naravi stvari v trenutku zbiranja ne bi bili anonimizirani, zato bi takšna obdelava še vedno spadala pod pravila varstva osebnih podatkov. Če pa bi že anonimizirane (in ne le psevdonimizirane)[1] podatke pridobili od drugega upravljavca, posebna pravna podlaga po 6. členu ZVOP-2 v povezavi s 6. in 9. členom Splošne uredbe morda ne bi bila potrebna. Če so podatki anonimizirani v taki meri, da jih ni več mogoče povezati z določenimi ali določljivimi posamezniki, namreč ne štejejo več za osebne podatke in posledično ne spadajo v področje uporabe Splošne uredbe.

Pri načrtovanju obdelave osebnih podatkov je bistveno najprej opredeliti, kdo je upravljavec v smislu 7. točke 4. člena Splošne uredbe, ter zagotoviti ustrezno pravno podlago za vsako fazo obdelave, upoštevaje 6. člen ZVOP-2. Po mnenju IP bi bil v konkretnem primeru upravljavec UKC in ne posamezne organizacijske enote.[2] UKC kot upravljavec (in ne SPOBO) mora imeti pravno podlago tako za zbiranje podatkov o precepljenosti zaposlenih kot tudi za njihovo nadaljnjo obdelavo, vključno z anonimizacijo.

Obdelava, ki jo opisujete, bi bila najverjetneje smiselna v okviru ukrepov za zdravje in varstvo pri delu glede na tveganja za prenos gripe znotraj zdravstvene ustanove. Na podlagi 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, s premembami in dopolnitvami; v nadaljevanju ZDR-1) smejo delodajalci obdelovati osebne podatke zaposlenih, če je to potrebno za namene uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem zaposlenega. IP je že zavzel stališče, da lahko delodajalci obdelujejo tudi podatke o cepljenju zaposlenih, če je to za določeno panogo predpisano ali potrebno za zaščito življenja in zdravja posameznikov po presoji zdravnika medicine dela. Če ukrepi temeljijo na Zakonu o varnosti in zdravju pri delu (Uradni list RS, št. 43/11) in so usklajeni s pristojnimi strokovnimi službami (NIJZ, medicina dela), je takšna obdelava praviloma dovoljena.

Pomembno pa je poudariti, da zgolj dejstvo, da ima upravljavec zaradi narave dejavnosti dostop do zdravstvenih podatkov zaposlenih, še ne pomeni, da lahko do njih tudi prosto dostopa zgolj zaradi praktičnosti. Pri presoji dopustnosti obdelave je namreč treba vedno upoštevati podlago za obdelavo podatkov, njen namen ter v kakšni vlogi nastopa upravljavec (kot izvajalec zdravstvene dejavnosti ali delodajalec).

Ločeno vprašanje pa je, ali so do že zakonito zbranih podatkov upravičeni dostopati posamezni zaposleni oziroma organizacijske enote. To je odvisno od notranje organizacije upravljavca ter dodeljenih pristojnosti in delovnih nalog. Če ima UKC kot upravljavec pravno podlago za obdelavo osebnih podatkov zaposlenih za določen namen, posamezne organizacijske enote, kot je SPOBO, ne potrebujejo druge, samostojne pravne podlage, temveč morajo biti dostopi in pooblastila ustrezno urejeni v notranjih aktih, skladno s 5. in 32. členom Splošne uredbe.

Glede na predstavljene informacije vam svetujemo, da predviden postopek priprave analize precepljenosti zaposlenih proti gripi natančneje skrbno razdelate. Iz vašega opisa, da bi bili »podatki o precepljenosti obdelani na ravni organizacijskih enot, kar zagotavlja, da posamezniki ne bodo prepoznavni« ter da bi bili »uporabljeni zgolj skupni podatki o deležu cepljenih zaposlenih« namreč ni mogoče jasno sklepati, kakšne načine obdelave imate v mislih. 

Ker gre za osebne podatke posebne vrste in podatke zaposlenih, vam svetujemo, da ocenite, ali je v tem primeru obvezna ali vsaj smiselna priprava ocene učinka v zvezi z varstvom podatkov v skladu s 35. členom Splošne uredbe in 24. členom ZVOP-2. Ocena učinka vam lahko pomaga pri celoviti presoji tveganj in določitvi ustreznih ukrepov za varstvo osebnih podatkov. Priporočila za izdelavo ocene učinka so vsebovana:

-       v smernicah IP o ocenah učinkov (https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/smernice-ocene-u%C4%8Dinkov-na-varstvo-osebnih-podatkov);

-       v infografiki IP »Ustreznost DPIA in priporočila glede ocen učinkov« (https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/Infografika%20-%20Ustreznost%20DPIA%20in%20priporo%C4%8Dila.pdf);

-       na spletni strani IP o oceni učinka v zvezi z varstvom podatkov (https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/ocena-u%C4%8Dinka-v-zvezi-z-varstvom-podatkov/).

Lepo vas pozdravljamo,

 

Pripravila:                                                                                                                                

Tina Ivanc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov

 

dr. Jelena Virant Burnik,

informacijska pooblaščenka

 

[1] Meja med anonomiziranimi podatki in psevodnimiziranimi podatki je lahko zabrisana, zato mora upravljavec pozorno preučiti, ali podatkov z razumnimi sredstvi dejansko ni več mogoče povezati z določenim ali določljivim posameznikom.. Več o razliki med anonimizacijo in psevdonimizacijo si lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/psevdonimizacija.

[2] Glej tudi smernice Evropskega odbora za varstvo podatkov 7/2020 o pojmih upravljavec in obdelovalec iz Splošne uredbe o varstvu podatkov.