Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 20.09.2018
Naslov: Zdravstveni preglede delavcev in pogodbena obdelava
Številka: 0712-3/2018/1642
Vsebina: Delovna razmerja, Zdravstveni osebni podatki, Pogodbena obdelava OP
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše elektronsko sporočilo, v katerem navajate, da v vašem Domu starejših občanov za potrebe zdravniških pregledov zaposlenih (predhodnih in obdobnih) sodelujete z medicino dela v ZD Ljubljana. Zanima vas, ali morate v namen skladnosti s Splošno uredbo o varstvu podatkov (ang. GDPR) z ZD Ljubljana skleniti kakšno pogodbo, v kateri bi bilo opredeljeno varstvo osebnih oziroma občutljivih podatkov ali zadostujejo že obstoječi predpisi (npr. poklicna molčečnost zdravnikov) in/ali obstoječa področna zakonodaja?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

 

O b r a z l o ž i t e v:

 

Najprej IP poudarja, da se v okviru izdaje neobvezujočih mnenj ne more opredeljevati do zakonitosti konkretnih obdelav osebnih podatkov, pač pa lahko posreduje le pravna izhodišča ter pogoje za zakonito obdelavo osebnih podatkov. Do zakonitosti konkretnih obdelav osebnih podatkov se lahko IP opredeli izključno v okviru inšpekcijskega postopka.  

Splošna uredba o varstvu podatkov v drugi točki člena 4 določa, da obdelava osebnih podatkov pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

 

Obdelava osebnih podatkov je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev – člen 6 Splošne uredbe o varstvu podatkov:

 

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov za enega ali več določenih namenov,
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe,
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca,
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe,
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Splošno zakonsko podlago delodajalca za obdelavo osebnih podatkov v smislu npr. točke c in e člena 6 Splošne uredbe, v vašem primeru predstavljata Zakon o delovnih razmerjih (Uradni list RS, št. 21/2013, nadaljevanju: ZDR-1), ki v 48. členu med drugim določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Glede na opisano dejansko stanje v konkretnem primeru »drugi zakon« predstavlja Zakon o varnosti in zdravju pri delu (Uradni list RS, št. 43/11; v nadaljnjem besedilu ZVZD-1), ki določa pravice in dolžnosti delodajalcev in delavcev v zvezi z varnim in zdravim delom ter ukrepi za zagotavljanje varnosti in zdravja pri delu.

 Po 33. členu ZVZD-1 mora delodajalec zagotoviti, da zdravstvene ukrepe v zvezi z varnostjo in zdravjem pri delu izvaja izvajalec medicine dela, med naloge katerega se šteje tudi izvajanje zdravstvenih pregledov delavcev iz 36. člena tega zakona.

33. člen ZVZD-1 določa pristojnosti in naloge izvajalca medicine dela:

1.      sodeluje pri izdelavi strokovnih podlag za izjavo o varnosti;

2.      izvaja zdravstvene preglede delavcev iz 36. člena tega zakona;

3.      seznanja delavce s tveganji, povezanimi z njihovim delovnim mestom in delovnim okoljem, ki lahko privedejo do funkcionalnih okvar, bolezni ali invalidnosti;

4.      spremlja in analizira stanje v zvezi s poklicnimi boleznimi ter boleznimi, povezanimi z delom, ter odkriva vzroke;

5.      pripravlja poročila za delodajalce glede na ugotovitve iz analiz zdravstvenega stanja delavcev, ugotovljenega na zdravstvenih pregledih, analiz funkcionalnih okvar, nezgod pri delu, poklicnih bolezni, bolezni, povezanih z delom, in delovne invalidnosti. Poročila morajo vsebovati tudi predloge izboljšav delovnega procesa z namenom dopolnitve ali nadgradnje ukrepov v zvezi z zdravjem pri delu;

6.      sodeluje v procesu poklicne rehabilitacije ter svetuje pri izbiri drugega ustreznega dela;

7.      sodeluje pri pripravi načrta delodajalca za dajanje prve pomoči ter sodeluje pri usposabljanju delavcev in delodajalcev za splošne in posebne ukrepe prve pomoči.

 

Minister, pristojen za zdravje, v soglasju z ministrom, pristojnim za delo, v podzakonskem aktu predpiše vrste, način, obseg in roke opravljanja zdravstvenih pregledov. Navedeni podzakonski akt predstavlja Pravilnik o preventivnih zdravstvenih pregledih delavcev (Uradni list RS, št. 87/02, 29/03 – popr., 124/06 in 43/11; v nadaljnjem besedilu Pravilnik). S slednjim se natančneje določajo vrste, obseg in vsebina preventivnih zdravstvenih pregledov delavcev ter način in roki za opravljanje teh pregledov.

Po 54. členu ZVZD-1 ima delavec pravico do zdravstvenih pregledov, ki ustrezajo tveganjem za varnost in zdravje pri delu, s katerimi se delavci srečujejo pri delu. Po tej določbi je, če delavec želi, deležen rednega zdravstvenega nadzora. Delavec pa se mora odzvati in opraviti zdravstveni pregled, ki ustreza tveganjem za varnost in zdravje pri delu na delovnem mestu, če je vsebina zdravstvenega pregleda ustrezna stvarnemu tveganju na delovnem mestu ali v delovnem okolju, kjer delavec dela.

Kot določa 13. člen Pravilnika mora pooblaščeni zdravnik o opravljenih preventivnih zdravstvenih pregledih voditi in hraniti medicinsko dokumentacijo, ki obsega predvsem (1) splošne podatke z identifikacijo delavca, (2) podatke iz izjave o varnosti z oceno tveganja za delavčevo delovno mesto, ki jih je upošteval pri oceni izpolnjevanja posebnih zdravstvenih zahtev za določeno delo v delovnem okolju, (3) medicinsko dokumentacijo o opravljenih preventivnih zdravstvenih pregledih, (4) oceno izpolnjevanja posebnih zdravstvenih zahtev za določeno delo v delovnem okolju, (5) predlagane ukrepe za varovanje zdravja pri delu.

Glede na navedene pravne podlage IP meni, da je izvajalec medicine dela (pravna ali fizična oseba, ki ima dovoljenje ministrstva, pristojnega za zdravje) »samostojni« upravljavec osebnih podatkov napotenih delavcev, saj mu zakon oziroma podzakonski akt nalaga, katere osebne podatke napotenih delavcev je dolžan obdelovati oziroma hraniti (glej npr. 13. člen Pravilnika).

Splošna uredba je obdelovalca v členu 28 opredelila kot tistega, ki »obdelavo osebnih podatkov izvaja v imenu upravljavca«, po mnenju IP pa izvajalec medicine dela zdravstvenih pregledov delavcev ne izvaja v imenu upravljavca – delodajalca (torej ni pogodbeni obdelovalec), čeprav delavce delodajalec k njemu napoti (oz. jih pravzaprav mora napotiti).

V upanju, da ste dobili odgovor na svoja vprašanja, vas lepo pozdravljamo.

 

                            Pripravila:

       Petra Lešnik Kromar, univ. dipl. prav.,

državna nadzornica za varstvo osebnih podatkov

                           Informacijski pooblaščenec:

                      Mojca Prelesnik, univ. dipl. prav.,

                           informacijska pooblaščenka