Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 19.11.2007
Naslov: Posredovanje OP zdravst. domu s strani delodajalca, ali gre za pogodbeno obdelavo
Številka: 0712-968/2007/2
Vsebina: Pogodbena obdelava OP
Pravni akt: Mnenje

Spoštovani,

prejeli smo vaše elektronsko sporočilo.

V njem nas sprašujete, ali morate z zunanjim izvajalcem (v vašem primeru gre za zdravstveni dom), s katerim sodelujete in mu za potrebe zdravstvenih pregledov posredujete osebne podatke zaposlenih, skleniti pogodbo o varovanju osebnih podatkov. Navajate, da so vam, ko ste jim takšno pogodbo izročili, odpisali, da je zdravstveni dom po zakonu dolžan dosledno upoštevati in spoštovati določila iz ZVOP-a in da je zato takšna pogodba nepotrebna in brezpredmetna.

V nadaljevanju vam na podlagi predstavljenega dejanskega stanja ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/04, 113/05, 51/07-ZUstS in 67/07; ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/05 in 51/07-ZUstS) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji:

Z zdravstvenim zavodom, ki izvaja zdravstvene preglede pri vas zaposlenih delavcev, ni potrebno sklepati posebnega dogovora o postopkih in ukrepih za zavarovanje osebnih podatkov zaposlenih, ki jih pri izvajanju teh pregledov zdravstveni dom obdeluje. Delodajalec bo torej z zdravstvenim zavodom sklenil pogodbo (naročilo – mandat), s katero bo temu zaupal izvedbo preventivnih zdravstvenih pregledov svojih delavcev, ne pa pogodbe v smislu 11. člena ZVOP-1.  

O b r a z l o ž i t e v:

Zbirka osebnih podatkov je v skladu s 5. tč. 6. člena ZVOP-1 vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran  na takšen način, da določi ali omogoči določljivost posameznika.

Obdelava osebnih podatkov je v skladu s 3. tč. 6. člena ZVOP-1 kakršnakoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje.

Upravljavec osebnih podatkov je v skladu s 6. tč. 6. člena ZVOP-1 fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave.

Pogodbeni obdelovalec v skladu s 7. tč. 6. člena ZVOP-1 je fizična ali pravna oseba, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov.

Skladno z 8. čl. ZVOP-1 se lahko osebni podatki obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. Namen obdelave osebnih podatkov mora biti določen v zakonu, v primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov.

9. člen ZVOP-1 določa pravne podlage za obdelavo osebnih podatkov v javnem sektorju. V skladu s tem členom se osebni podatki v javnem sektorju lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Z zakonom se lahko določi, da se določeni osebni podatki obdelujejo le na podlagi osebne privolitve posameznika. Nosilci javnih pooblastil lahko obdelujejo osebne podatke tudi na podlagi osebne privolitve posameznika brez podlage v zakonu, če ne gre za izvrševanje njihovih nalog kot nosilcev javnih pooblastil. Ne glede na prvi odstavek obravnavanega člena pa se lahko v javnem sektorju obdelujejo osebni podatki posameznikov, ki so z javnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe.

Pravna podlaga za obdelavo osebnih podatkov za zasebni sektor  je podana v 10. čl. ZVOP-1, ki določa, da se osebni podatki v zasebnem sektorju lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. Izjemi sta določeni še za osebne podatke posameznikov, ki so z zasebnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe.

ZVOP-1 razlikuje med obdelavo osebnih podatkov, ki jo vrši upravljavec teh podatkov in obdelavo, ki jo po določbi 11. člena ZVOP-1 izvaja pogodbeni obdelovalec v imenu in na račun upravljavca osebnih podatkov. Upravljavec mora imeti za obdelavo osebnih podatkov pravno podlago iz 9. oziroma 10. člena ZVOP-1, pogodbeni obdelovalec pa osebne podatke obdeluje oziroma opravlja posamezna opravila v zvezi z obdelavo osebnih podatkov na podlagi pogodbe z upravljavcem teh osebnih podatkov. Pogodbeni obdelovalec mora biti registriran za opravljanje takšne dejavnosti, posamezna opravila v zvezi z obdelavo osebnih podatkov pa sme opravljati le v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen. Medsebojne pravice in obveznosti upravljavec in pogodbeni obdelovalec uredita s pogodbo, ki mora vsebovati tudi dogovor o postopkih in ukrepih iz 24. člena ZVOP-1.

24. člen ZVOP-1 predpisuje organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki. V 25. členu ZVOP-1 pa je določena dolžnost upravljavcev in pogodbenih obdelovalcev osebnih podatkov, da osebne podatke zavarujejo na način iz 24. člena istega zakona, upravljavci pa so dolžni tudi v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke. Iz povedanega sledi, da morata tako upravljavec kot pogodbeni obdelovalec že na podlagi zakona zagotoviti postopke in ukrepe za zavarovanje osebnih podatkov iz 24. člena, pri pogodbeni obdelavi pa morajo biti taki postopki in ukrepi še posebej dogovorjeni v pogodbi med upravljavcem in pogodbenim obdelovalcem osebnih podatkov.

V vašem primeru javni zdravstveni zavod na podlagi pogodbe z vami kot delodajalcem opravlja naloge zdravstvenega varstva kot to zahteva in omogoča Zakona o varnosti in zdravju pri delu (Uradni list RS, št. 56/99 in 64/01; ZVZD). Na podlagi 15. člena ZVZD ima namreč delodajalec med drugim dolžnost, da zagotavlja zdravstvene preglede delavcev. ZVZD v prvem odstavku 20. člena nadalje določa, da mora delodajalec zagotoviti, da naloge zdravstvenega varstva pri delu opravlja pooblaščeni zdravnik oziroma javni zdravstveni zavod, ki ima zaposlenega ustreznega specialista. Glede na določbe drugega odstavka 20. člena ZVZD pooblaščeni zdravnik v okviru nalog zdravstvenega varstva izvaja med drugim tudi preventivne zdravstvene preglede delavcev. Iz določb 15. člena v povezavi z določbami 20. člena ZVZD izhaja, da je zakonodajalec predpisal obvezno izvajanje zdravstvenih pregledov (in drugih ukrepov zdravstvenega varstva) delavcev pri pooblaščenih zdravnikih. Izpolnjevanje te obveznosti pa nujno, po naravi stvari, predpostavlja obdelavo zdravstvenih in drugi osebnih podatkov delavcev tako s strani delodajalca kot tudi s strani pooblaščenega zdravnika oziroma javnega zdravstvenega zavoda. Poleg tega je v deseti točki drugega odstavka 20. člena ZVZD celo izrecno določeno, da pooblaščeni zdravnik »vodi evidence in zbira podatke v skladu s posebnimi predpisi«, kar pomeni, da je zakon za izvajanje nalog po tem zakonu predvidel vzpostavitev zbirk osebnih podatkov in njihovo obdelavo. Z omenjeno določbo ZVZD kot lex specialis predstavlja področno zakonsko podlago v smislu prvega odstavka 8. člena ZVOP-1. Res je, da ZVZD v obravnavani določbi ni natančno določil vseh vidikov obdelave osebnih podatkov, vendar je napotil na posebne predpise, ki urejajo zbirke podatkov na področju zdravstvenega varstva (podobno določbo najdemo tudi v prvem odstavku 54. člena Zakona o zdravstveni dejavnosti). Tak predpis je Zakon o zbirkah podatkov s področja zdravstvenega varstva (Uradni list RS, št. 65/00), ki izvajalcem zdravstvenih storitev daje podlago za vodenje vrste zbirk osebnih podatkov, pri čemer kot relevantna zbirka pride v poštev t.i. osnovna medicinska dokumentacija (IVZ 1), ki jo uporabljajo izvajalci zdravstvene dejavnosti pri zagotavljanju zdravstvenega varstva – kar vključuje tudi področje preventivnega zdravstvenega varstva.

ZVZD je predvidel, da vrste, način, obseg in roke opravljanja zdravstvenih pregledov predpiše minister, pristojen za zdravstvo, v soglasju z ministrom, pristojnim za delo. Tako poleg zakona ureja nekatera vprašanja obdelave osebnih podatkov (zdravstvena dokumentacija) v zvezi s preventivnimi pregledi tudi Pravilnik o preventivnih zdravstvenih pregledih delavcev (Uradni list RS, št. 87/06; pravilnik), ki po mnenju Pooblaščenca sicer ne predstavlja ustrezne podlage za obdelavo osebnih podatkov, saj gre za podzakonski predpis (določanje obdelave osebnih podatkov, namena obdelave in vrste osebnih podatkov, ki se obdelujejo, je namreč zakonska materija), kljub temu pa Pravilniku v času njegove veljavnosti ni mogoče odrekati pravne moči. Iz določb pravilnika izhaja, da se pri vseh oblikah preventivnih zdravstvenih pregledov ocenjuje tudi delavčevo izpolnjevanje posebnih zdravstvenih zahtev za določeno delo v določenem okolju; ta ocena je tudi sestavni del izdanega zdravniškega spričevala. Pravilnik v prvem odstavku 13. člena določa, da mora pooblaščeni zdravnik o opravljenih preventivnih zdravstvenih pregledih voditi in hraniti medicinsko dokumentacijo, ki obsega tudi oceno izpolnjevanja posebnih zdravstvenih zahtev za določeno delo v delovnem okolju. V drugem odstavku 13. člena je nadalje določeno, da pooblaščeni zdravnik za oceno izpolnjevanja posebnih zdravstvenih zahtev za določeno delo v delovnem okolju potrebuje ustrezno medicinsko dokumentacijo delavca, ki mu jo na njegovo zahtevo, po predhodnem soglasju delavca, posreduje delavčev izbrani osebni zdravnik v roku treh dni.

Iz povedanega sledi, da je zdravstveni dom, ki opravlja zdravstvene preglede delavcev, upravljavec njihovih osebnih podatkov in ne pogodbeni obdelovalec teh podatkov. ZVZD vas kot delodajalca zavezuje k zagotavljanju zdravstvenih pregledov delavcev, izpolnjevanje te obveznosti pa nujno, po naravi stvari, predpostavlja obdelavo zdravstvenih  podatkov s strani pooblaščenega zdravnika oziroma javnega zdravstvenega zavoda, ki take preglede izvaja (v vašem primeru zdravstveni dom). Na podlagi tega zakona kot delodajalec zdravstvenemu domu za potrebe opravljanja zdravstvenih pregledov posredujete nekatere osebne podatke vaših delavcev iz zbirk osebnih podatkov, katerih upravljavec ste. Zdravstveni dom pa osebne podatke vaših delavcev t.j. njihovo medicinsko dokumentacijo pridobiva tudi od delavčevega izbranega osebnega zdravnika, ki mu jo ta po predhodnem soglasju delavca posreduje na podlagi 13. člena zgoraj navedenega pravilnika. Zdravstveni dom na podlagi osebnih podatkov, ki jih je pridobil od vas in od delavčevega osebnega zdravnika ter na podlagi podatkov o zdravstvenem stanju, ki jih pridobil pri opravljenem zdravstvenem pregledu, oblikuje novo zbirko osebnih podatkov t.j. medicinsko dokumentacijo, ki obsega tudi oceno izpolnjevanja posebnih zdravstvenih zahtev za določeno delo v delovnem okolju, katere upravljavec je zdravstveni dom. Ocena zdravstvenega stanja pregledanega delavca, ki vam jo kot delodajalcu posreduje zdravstveni dom, pa vsebuje le ugotovitev, ali posamezen delavec izpolnjuje ali ne izpolnjuje zdravstvenih zahtev za določeno delo v delovnem procesu, brez navedbe zdravstvenega stanja oziroma drugih zdravstvenih podatkov pregledanega delavca.

Zdravstveni dom mora kot upravljavec zbirke osebnih podatkov, ki nastane ob zdravstvenem pregledu delavca, na podlagi 25. člena ZVOP-1 zagotoviti zavarovanje osebnih podatkov na način iz 24. člena ZVOP-1, ki določa organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, ter v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov ter določiti osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke. Ker pa zdravstveni dom ni pogodbeni obdelovalec osebnih podatkov, katerih upravljavec ste, vam z njim ni treba sklepati posebnega dogovora o postopkih in ukrepih iz 24. člena ZVOP-1, saj je za ustreznost zavarovanja dolžan poskrbeti sam zdravstveni zavod kot upravljavec osebnih podatkov.  

S spoštovanjem,

Informacijski pooblaščenec
Nataša Pirc Musar, univ. dipl. prav.
pooblaščenka