Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih GDPR

+ -
Datum: 20.06.2019
Naslov: Vsebine računov, ki jih izstavlja izvajalec obveznih zdravstvenih pregledov zaposlenih
Številka: 0712-1/2019/1512
Vsebina: Delovna razmerja, Posebne vrste, Vgrajeno in privzeto varstvo podatkov, Zdravstveni osebni podatki
Pravni akt: Mnenje

Prejeli smo vaš dopis, v katerem nas prosite za mnenje glede vsebine računov, ki jih izstavlja izvajalec obveznih zdravstvenih pregledov zaposlenih. Kot ste pojasnili zunanji izvajalec opravlja obvezne zdravstvene preglede zaposlenih, na izstavljenem računu s prilogami pa za vsak posamezen  pregled navede:


- ime in priimek z letnico rojstva zaposlenega v glavi računa,

- ime in priimek z letnico rojstva in naslovom osebnega bivališča v k računu priloženi specifikaciji naštetih posameznih opravljenih storitev.

 

Menite, da navedeno ne sledi določbam Splošne uredbe glede minimizacije obdelave ter načela vgrajenega in privzetega varstva osebnih podatkov, na kar ste jih tudi opozorili. Po vašem opozorilu so z računov umaknili letnico rojstva, glede specifikacije storitve pa navajajo, da je ne morejo spremeniti, da je takšna zasnova informacijskega sistema in da v tem ne vidijo nič spornega. Pojasnili ste še, da tudi vaši zaposleni  nasprotujejo temu, da se njihovi osebni podatki brez potrebe izpostavljajo nepooblaščenim in nenadzorovanim dostopom – v omenjenem primeru osebju računovodstva izvajalca pregledov ter sodelujočim v procesu pošiljanja oziroma prejemanja pošte v obeh podjetjih.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da predstavlja načelo minimizacije obdelave osebnih podatkov (člen 5(c) Splošne uredbe) eno temeljnih načel varstva osebnih podatkov, ki ob načelu vgrajenega in privzetega varstva podatkov (člen 25 Splošne uredbe), terja, da se  - glede na namen obdelave osebnih podatkov obdela samo tiste osebne podatke, ki jih je potrebno obdelati za konkreten namen.

 

Člen 25 Splošne uredbe natančneje določa, da upravljavec ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki so povezana z obdelavo in se razlikujejo po verjetnosti in resnosti, tako v času določanja sredstev obdelave kot tudi v času same obdelave izvaja ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve te uredbe in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.  Upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu posameznikov brez posredovanja zadevnega posameznika.

 

V konkretnem primeru je torej treba ugotoviti, ali gre za obdelavo, ki sledi navedenim načelom. Izvajalec obveznih zdravstvenih pregledov zaposlenih nastopa v vlogi upravljavca, naročnikom svojih storitev pa zanje izstavi račun. Vprašanje, ki se pri tem postavi, je, ali je to, da izvajalec na izstavljenem računu navede tudi specifikacijo opravljenih storitev, mogoče šteti za prekomerno obdelavo osebnih podatkov.

 

IP meni, da je navedba opravljenih storitev pomembna tako za naročnika kot za izvajalca, saj je namenjena preverjanju obsega in veljavnosti zaračunanih storitev ter s tem pravni varnosti tako izvajalca kot naročnika. Navedba opravljenih storitev (npr. sedimentacija, hemogram, analiza krvnega sladkorja ipd.), pa ne sme vsebovati podatkov o zdravstvenem stanju, do katerih delodajalec ni upravičen. Navedba opravljene storitve na računu, če in kot razumemo v zadevnem primeru ne vsebuje zdravstvenih podatkov zaposlenih, česar ni primerno posploševati na druge primere, kjer bi bilo dejansko stanje drugačno, po mnenju IP še ne pomeni razkrivanja zdravstvenih podatkov zaposlenih, saj iz opravljene storitve še ni mogoče sklepati na zdravstveno stanje posameznika, kot bi recimo bilo mogoče iz rezultatov opravljenih preiskav, in ne pretirana glede na zasledovane namene obdelave osebnih podatkov. Namen obdelave osebnih podatkov tu namreč ni le izvedba storitve, temveč tudi obračun izvedene storitve. Če izstavljeni računi ne bi vsebovali navedbe opravljenih preiskav (ne pa seveda tudi zdravstvenih podatkov), bi tako izvajalec kot naročnik lahko dvomila ali oporekala veljavnosti obračuna.

 

Glede na navedeno IP meni, da v konkretnem primeru ne gre za prekomerno obdelavo osebnih podatkov, kar pa – kot smo že izpostavili zgoraj, ne gre posploševati na druge primere, kjer niso vse okoliščine enake. Prav tako poudarjamo, da je mnenje izdano zgolj in samo na podlagi informacij, kot so nam bile predstavljene in brez vpogleda v konkretno dokumentacijo.

 

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                                                                  

                                                                                               informacijska pooblaščenka

 

Pripravil:                                                                                                                              

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke