Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 18.11.2019
Naslov: Razkritje zdravstvenih podatkov
Številka: 0712-1/2019/2611
Vsebina: Delovna razmerja, Posebne vrste, Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Zanima vas, ali je dopustno, da vodstvo dijaškega doma določen preventivni ukrep pojasni staršem na takšen način, da piše o zdravstvenem stanju vzgojiteljice? Opisujete konkreten primer.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. To pomeni, da IP v okviru izdaje mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za razkritje osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določeno razkritje s posredovanjem osebnih podatkov podatkov zakonito. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov.

 

Skladno s členom 4(1) Splošne uredbe pomeni osebni podatek katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

 

Za zakonito obdelavo osebnih podatkov, torej med drugim za njihovo razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, mora imeti upravljavec ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe, za posebne vrste osebnih podatkov, med katere spadajo tudi podatki v zvezi z zdravjem, pa mora biti hkrati izpolnjen tudi eden izmed posebnih pogojev, ki so predpisani v členu 9(2) Splošne uredbe.

 

IP meni, da vodstvo dijaškega doma načeloma nima pravice brez izrecne privolitve zaposlenega razkrivati njegovo zdravstveno stanje staršem zgolj zaradi obrazložitve določenega preventivnega zdravstvenega ukrepa. Ker pa je primarna odgovornost za izbiro ustrezne pravne podlage na upravljavcu, vam dokončnega odgovora na vaše vprašanje ne moremo podati. Bistveno je, da je obdelava osebnih podatkov zakonita zgolj, če je izpolnjen eden izmed predpisanih pogojev za obdelavo iz členov 6(1) in 9(2) Splošne uredbe. V kolikor torej delodajalec razpolaga z ustrezno pravno podlago za obdelavo osebnih podatkov zaposlenega, je ta zakonita, sicer ne. Zato vam predlagamo, da se za utemeljitev pravne podlage za razkritje vaših zdravstvenih osebnih podatkov v konkretnem primeru obrnete neposredno na delodajalca kot upravljavca osebnih podatkov.

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ. dipl. prav.,                                               

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov