Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 20.12.2019
Naslov: Zdravstvene storitve,delavec
Številka: 0712-1/2019/2913
Vsebina: Delovna razmerja, Pogodbena obdelava podatkov, Posebne vrste, Pravne podlage, Zdravstveni osebni podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je po elektronski pošti prejel vaše zaprosilo za mnenje v zvezi z razkritjem rezultatov laboratorijske preiskave odvzema krvi delavca delodajalcu, in sicer vprašanje zastavljate kot zdravstvena ustanova. Navajate, da niste izvajalec medicine dela ter da bi izvajali teste za delodajalca na način, da bi vzeli vzorec krvi delavca in ga nato preko taksi službe posredovali institutu. Navajate, da sami analiz ne boste izvajali ter tako ne boste izdajali izvidov; te bi izdajal omenjeni institut. Navajate še, da z institutom nimate sklenjene pogodbe, niti je nima delodajalec. Institut bi izvid posredoval vam, vi pa delodajalcu. Navajate, da bi bili delodajalcu tako izdani konkretni podatki o zdravstvenem stanju delavca, saj niste niti vi niti omenjeni institut, izvajalec medicine dela, ampak laboratorij, kar pa ni v skladu z smernicami IP. 

Zanima vas mnenje IP v zvezi z naslednjimi vprašanji:

Ali vam delodajalec sme posredovati kopijo zapisnika o hitrem testu na droge, brez soglasja delavca?

Ali je potrebna izjava delavca, da dovoljuje, da tretja oseba posreduje delodajalcu podatke o konkretnih rezultatih testiranj na alkohol ter druge psihoaktivne snovi in prepovedane droge?

Ali smete vi in omenjeni institut kljub izjavi delavca, da dovoljuje posredovanje vseh podatkov delodajalcu, to sploh storiti?

Ali bi moral delodajalec take storitve naročati direktno pri institutu za sodno medicino in imeti z njo sklenjeno pogodbo?

Ali smete poslati kri v nadaljnjo analizo na institut, če delavec s tem pisno ne soglaša?

Ali je dovolj samo izjava delavca, da dovoljuje posredovanje podatkov na omenjeni institut ali bi bila potrebna še pogodba o obdelavi osebnih podatkov?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1; v nadaljevanju: ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 - ZUstS-A; ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora ali upravnih postopkov konkretnih obdelav osebnih podatkov ne more presojati.

 

Za zakonito obdelavo zdravstvenih podatkov delavca ni vedno potrebna le njegova privolitev, to je le ena izmed pravnih podlag.

 

Splošna uredba ureja pravice in obveznosti pogodbenega obdelovalca osebnih podatkov ter pravice in obveznosti drugega obdelovalca, za katerega veljajo enake obveznosti varstva osebnih podatkov kot za pogodbenega obdelovalca.

 

Vsak upravljavec osebnih podatkov mora z obdelovalcem osebnih podatkov skleniti pogodbo o obdelavi.

Poudarjamo, da vam IP to neobvezno mnenje posreduje v okviru svojih pristojnosti s področja varstva osebnih podatkov, ni pa pristojen za podajo kakršnihkoli mnenj s področja izvajanja zakonodaje na področju delovne zakonodaje oziroma zakonodaje s področja varstva in zdravja pri delu, glede tega se obrnite na Ministrstvo, pristojno za delo.

Pravno podlago glede pravic, obveznosti, načel in ukrepov, s katerimi se preprečujejo neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika pri obdelavi osebnih podatkov, predstavljata Splošna uredba o varstvu podatkov in ZVOP-1, v kolikor ni v nasprotju z omenjeno uredbo.

Kot že navajamo v našem mnenju delodajalcu, ki ga omenjate, tudi vam najprej omenjamo pravno podlago za obdelavo zdravstvenih podatkov:

Za vsako obdelavo osebnih podatkov je treba imeti ustrezno in zakonito pravno podlago. Pravne podlage za obdelavo osebnih podatkov so določene v členu 6(1) Splošne uredbe.

Splošna uredba o varstvu podatkov v prvem odstavku 9. člena navaja posebne vrste osebnih podatkov ter njihovo obdelavo. Tako sta po Splošni uredbi prepovedani obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

V skladu z drugim odstavkom istega člena se prvi odstavek ne uporablja in omenjena prepoved obdelave ne velja, če velja eno od navedenega v točkah od a do j (navajamo nekaj primerov, in sicer točke a, b, e in h):

  • posameznik, na katerega se nanašajo osebni podatki, je dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali pravo države članice določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1 (točka a);
  • obdelava je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika, na katerega se nanašajo osebni podatki, na področju delovnega prava ter prava socialne varnosti in socialnega varstva, če to dovoljuje pravo Unije ali pravo države članice ali kolektivna pogodba v skladu s pravom države članice, ki zagotavlja ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki (točka b);
  • obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi (točka e);
  • obdelava je potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3 (točka h);

Obdelavo posebnih vrst osebnih podatkov za namene preventivne medicine, medicine dela in ostale namene iz točke (h) mora torej določati pravo unije ali pravo države članice.

Kakor je razvidno iz navedenih pravnih podlag, za zakonito obdelavo zdravstvenih podatkov delavca ni vedno potrebna le njegova privolitev. Njegova privolitev je le ena izmed pravnih podlag.

Preverjanje alkoholiziranosti delavca (ali prisotnosti drog) bi lahko zapadlo pod točko h – ocena delovne sposobnosti zaposlenega.

Zakon o varnosti in zdravju pri delu (Uradni list RS, št. 43/11; v nadaljevanju: ZVZD-1) ureja v 51. členu, da ima delodajalec v primeru suma, da je delavec pod vplivom alkohola, možnost to preveriti. Delavec ne sme delati ali biti na delovnem mestu pod vplivom alkohola, drog ali drugih prepovedanih substanc, delodajalec ima pravico in hkrati (v primeru suma na npr. alkoholiziranost) tudi dolžnost preverjati sposobnost delavca za izvrševanje njegovih delovnih obveznosti. Delodajalec mora takega delavca (npr. pod vplivom alkohola) odstraniti z dela, delovnega mesta in iz delovnega procesa. Če ne ravna tako, se šteje, da ogroža svojo varnost in zdravje ter varnost in zdravje drugih, s čimer huje krši obveznosti iz delovnega razmerja. Uživanje alkohola, drog ali drugih prepovedanih substanc s strani delavca delodajalec ugotavlja po postopku in na način, določen v internem aktu.

Za zakonito zagotavljanje takšnega testiranja je bistveno, da delodajalec z internim aktom ustrezno določi postopek ugotavljanja in ukrepanja v primeru suma, da je zaposleni pod vplivom alkohola, drog ali drugih prepovedanih substanc. Delodajalec lahko tak test izvede samo po postopku predvidenem v internem aktu in ob zagotavljanju možnosti zaposlenemu, da preizkus odkloni. Delodajalec pa v primeru odklonitve glede na okoliščine mora ustrezno ukrepati, če utemeljeno sumi, da je delavec pod vplivom alkohola, drog ali drugih prepovedanih substanc. V odvisnosti od določb tega internega akta se potem z vidika delovnopravne zakonodaje presoja ustreznost načina izvajanja takšnega testa (o tem IP ni pristojen presojati), ki pa, kot rečeno, ne sme biti izveden brez vednosti zaposlenega.

 

Pri tem je pomembno poudariti, da lahko delodajalec alkoholiziranost (ali prisotnost drog ter drugih substanc) zaposlenega preverja sam preko osebe, ki je pri njem zaposlena in jo je pooblastil za opravljanje tovrstnih testov (3. člen ZVZD-1 - strokovni delavec (točka 10.)), ali pa preko tretje osebe, s katero ima delodajalec sklenjeno pogodbo (3. člen ZVZD-1 - zunanja strokovna služba in izvajalec medicine dela, točka 11. in 12.) v skladu s pogodbo o obdelavi osebnih podatkov (rezultatov testa alkoholiziranosti) zaposlenih.

Delodajalec, pa je upravičen zgolj do podatka, ali je določen zaposleni, ki je bil zakonito podvržen preizkusu prisotnosti alkohola, drog ali drugih prepovedanih substanc, dejansko bil ali ni bil pod vplivom teh substanc brez kakršnihkoli drugih podrobnosti razen podatka o ravni alkoholiziranosti, v kolikor je šlo za zakonito napotitev na preizkus prisotnosti alkohola.

 

Splošna uredba določa pogoje za primer, ko obdelavo osebnih podatkov dejansko izvaja drugi obdelovalec kot tisti, ki zbira osebne podatke (upravljavec). V členu 28 Splošna uredba ureja pravice in obveznosti obdelovalca osebnih podatkov (če npr. vi obdelujete osebne podatke v imenu upravljavca – torej v imenu delodajalca, ki pri vas naroči izdelavo testa). V skladu s 3. točko člena 28 uredbe ureja obdelavo s strani obdelovalca pogodba (mora biti v pisni obliki, vključno z elektronsko obliko), ki določa obveznosti obdelovalca do upravljavca in določa vsebino in trajanje obdelave, naravo in namen obdelave ter drugo.

 

Vsak upravljavec osebnih podatkov mora z obdelovalcem osebnih podatkov skleniti pogodbo o obdelavi. Glede na vaše navedbe bi torej delodajalec kot upravljavec osebnih podatkov moral z izvajalcem zdravstvenih testov kot obdelovalcem skleniti tovrstno pogodbo, kjer bi npr. uredil tudi zavarovanje osebnih podatkov pri prenosu (npr. kako se bo uredil pogodbeni odnos s taksi službo pri prenosu osebnih podatkov). Oblika same pogodbe in vsebina pogodbenega razmerja je stvar pogodbenega prava in za njuno tolmačenje IP ni pristojen. Lahko pa z vidika zahtev Splošne uredbe pojasnimo, da bi vsekakor moralo iz pogodbe jasno izhajati, katere oblike obdelav in katerih osebnih podatkov za posameznega delodajalca izvajate, hkrati pa mora seveda vsaka pogodba vsebovati vse vsebine iz 28. člena Splošne uredbe za vsakega posameznega delodajalca.

 

Tega kako boste to civilnopravno uredili IP ne more komentirati. Odločitev je na upravljavcu osebnih podatkov. V konkretnem primeru je več možnosti, bodisi, da delodajalec sklene pogodbo o obdelavi neposredno z vami, ali pa jo sklene neposredno z drugim izvajalcem zdravstvenih testov (npr. institut za sodno medicino).

 

Pisni dogovor (v obliki pogodbe ali drugega ustreznega pravnega akta) zagotovi, da se oba, upravljavec in obdelovalec, zavedata svojih pravic in obveznosti v zvezi z obdelavo osebnih podatkov. V pogodbi o obdelavi se stranki dogovorita o pravicah in obveznostih, ki se lahko nanašajo tudi na neke prihodnje obdelave za delodajalca, obdelave pa morata stranki (to sta delodajalec in izvajalec testov ali institut) v pogodbi natančno urediti (npr. opisno opredeliti namene, za katere bosta obdelovala osebne podatke, ukrepe za zavarovanje osebnih podatkov, katere podatke bo obdeloval). Ni pa potrebno za vsako obdelavo posebej z upravljavcem osebnih podatkov skleniti nove pogodbe, če je takšna obdelava že zajeta v »osnovni« pogodbi.

 

Iz pogodbe mora biti razvidno čigave (npr. podatke delavcev) in katere podatke, za kakšen namen in koliko časa jih bo obdelovalec obdeloval v imenu upravljavca. Iz pogodbe mora biti razviden tudi obseg pravic in obveznosti upravljavca v zvezi z osebnimi podatki, saj upravljavec ne more prenesti na obdelovalca več pravic, kot jih ima sam, hkrati pa omejitve za upravljavca predstavljajo tudi omejitve za obdelovalca.

Splošna uredba predpisuje minimalni obseg sestavin pogodbe ali drugega pravnega akta, ki mora zlasti določati, da obdelovalec:

  • lahko osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca,
  • zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
  • sprejme vse ukrepe, potrebne za varnost osebnih podatkov (ukrepe opiše v internem pravilniku o varnosti osebnih podatkov);
  • zaposli drugega obdelovalca le, če je prej pridobil posebno ali splošno pisno dovoljenje upravljavca in da zagotovi, da veljajo med obdelovalcem in pod-obdelovalcem enake obveznosti kot med upravljavcem in obdelovalcem in da je med njima sklenjena pisna pogodba.
  • upravljavcu pomaga pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki;
  • upravljavcu pomaga pri zagotavljanju varnosti obdelave osebnih podatkov, uradnem obveščanju o kršitvah in oceni učinkov na varstvo osebnih podatkov;
  • po zaključku storitve obdelave izbriše ali vrne vse osebne podatke upravljavcu (razen kadar hrambo predpisuje zakon);
  • da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz člena 28 Uredbe, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

Splošna uredba nadalje v 28. členu, v točki 4 navaja, da kadar obdelovalec zadolži drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, za tega drugega obdelovalca na podlagi pogodbe ali drugega pravnega akta v skladu s pravom Unije ali pravom države članice veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz te uredbe. Kadar ta drugi obdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja upravljavcu za izpolnjevanje obveznosti drugega obdelovalca.

 

Iz vsega navedenega izhaja, da ni potrebno soglasje delavca, da delodajalec sklene pogodbo o izvajanju testov alkoholiziranosti oziroma prisotnosti drugih substanc po vnaprej predpisanem postopku z zdravstveno ustanovo, ki dejansko izvede teste.

 

Upravljavec podatkov lahko sklene pogodbo o obdelavi osebnih podatkov s pogodbenim obdelovalcem ob upoštevanjem pogojev, ki jih določa Splošna uredba, pogodbeni obdelovalec pa lahko nadalje ob izpolnjevanju pogojev Splošne uredbe sklene pogodbo s podizvajalcem (npr. institutom za sodno medicino), vendar mora zato pridobiti predhodno dovoljenje upravljavca. Delodajalec lahko tudi neposredno sklene pogodbo o obdelavi osebnih podatkov z njim (institutom). To je stvar odločitve upravljavca osebnih podatkov. Za pogodbenega podobdelovalca pa veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem. Pogodbeni obdelovalec tudi odgovarja upravljavcu za izpolnjevanje obveznosti drugega obdelovalca.

 

IP ni pristojen presojati, katere institucije so pristojne za izvajanje testov prisotnosti določenih substanc. Predlagamo, da se v zvezi s tem obrnete na pristojno ministrstvo za delo, ki izvaja nadzor na ZVZD-1.

 

V upanju, da ste dobili odgovor na vprašanje, vas lepo pozdravljamo.

 

 

Pripravila:

Urška Črnič, univ. dipl. prav.,

državna nadzornica za varstvo osebnih podatkov

 

 

                                                                                   Mojca Prelesnik, univ. dipl. prav.,

                                                                                   Informacijska pooblaščenka