Zapri

Novice


Arhiv: Smernice IP glede preverjanja izpolnjevanja PCT pogoja za delodajalce oziroma upravljalce

Informacijska pooblaščenka (v nadaljevanju: IP) je v objavil Smernice o preverjanju PCT pogoj za delodajalce oziroma upravljalce, za posameznike in za šole. 

Pri preverjanju, ali posameznik izpolnjuje pogoj prebolevnosti, cepljenosti ali testiranja (PCT pogoji) pride do obdelave osebnih podatkov v zvezi z zdravjem, ki so zaradi svoje občutljive narave po zakonodaji posebej zaščiteni. Splošna uredba o varstvu podatkov določa, da mora imeti vsak upravljavec za zakonito obdelavo osebnih podatkov vedno pravno podlago. To velja tudi za delodajalca, ko preverja PCT pogoje pri svojih zaposlenih ali drugih osebah, ki zanj opravljajo dela.

V Smernicah IP odgovarja na vrsto vprašanj, ki jih podajamo v nadaljevanju.

1. Ali so odloki vlade glede preverjanja pogojev PCT skladni z Ustavo? Ali jih moram spoštovati?

IP že ves čas pandemije izpostavlja, da lahko obdelavo osebnih podatkov glede na določbe Ustave določa le zakon, ki v pravice ne bi smel posegati, če to ni nujno, učinkovito in sorazmerno zlasti glede na ocene zdravstvene stroke. Ker obdelava osebnih podatkov pri ugotavljanju izpolnjevanja pogojev PCT pomeni poseg v pravico do zasebnosti, te ni dopustno urejati s podzakonskim aktom (npr. vladnim odlokom), kot je to trenutno urejeno v praksi. Zato je IP pri Ustavnemu sodišču vložil zahtevo za presojo ustavnosti in zakonitosti odlokov, ki urejajo obdelavo osebnih podatkov pri preverjanju pogojev PCT. IP ni pristojen, da bi sam presodil, ali so odloki skladni z Ustavo, to pristojnost ima le Ustavno sodišče. Dokler Ustavno sodišče o zadevi ne odloči, vsi veljavni odloki in pravni akti glede ukrepov za zmanjšanje posledic pandemije veljajo. Vsi zavezanci so jih dolžni spoštovati, dokler jih sodišče ne odpravi ali razveljavi.

2. Ali lahko kot delodajalec vpogledam v dokazilo glede izpolnjevanja PCT pogoja zaposlenega?

Da, če imate kot delodajalec pravno podlago za pogojevanje opravljanja dela z izpolnjevanjem pogojev PCT. V tem primeru lahko izpolnjevanje tega pogoja preverjate pri svojih zaposlenih na način vpogleda v ustrezna dokazila. Pravna podlaga je podana v primeru, če je s predpisom (npr. zakonom, vladnim odlokom) zahtevano, da je pogoj PCT za zaposlene in druge osebe, ki delajo pri delodajalcu, v določeni panogi obvezen, ali v primeru, da je takšno preverjanje potrebno za zaščito interesov, ki so bistveni za življenje posameznikov po presoji pooblaščenega zdravnika medicine dela. IP o etični in pravni ustreznosti samega ukrepa PCT ne sme presojati. 

Delodajalci namreč lahko obdelujejo osebne podatke (npr. preverjajo PCT pogoje) svojih zaposlenih, če je to potrebno za namene uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem zaposlenega (48. člen Zakona o delovnih razmerjih – ZDR-1). 

Vladni odloki, ki urejajo ukrepe za zajezitev epidemije COVID-19, določajo, kdaj mora delavec izpolnjevati PCT pogoje, kar pomeni, da urejajo dodatne »pravice in obveznosti iz delovnega razmerja«. Zato je podlaga za dopustno obdelavo osebnih podatkov delavcev, do katere pride s preverjanjem pogoja PCT, že v 48. členu ZDR-1 v povezavi z (b) točko drugega odstavka 9. člena Splošne uredbe o varstvu podatkov in s trenutno veljavnimi predpisi. Odloki namreč delavcu nalagajo obveznost, da v zvezi s svojim delovnim razmerjem izkaže, da izpolnjuje pogoj PCT, delodajalcu pa obveznost, da te pogoje preveri pri svojih zaposlenih in tudi pri uporabnikih storitev (npr. pri strankah, ki obiščejo podjetje). 

Ker se odloki pogosto spreminjajo (na tedenski ravni), je treba preveriti, za katere primere trenutno veljavni odlok določa obvezno preverjanje pogoja PCT (npr. ali to velja le za določene panoge ali za vse zaposlene in samozaposlene).

3. Kaj pa v dokazilo o izpolnjevanju PCT pogojev obiskovalcev in uporabnikov storitev?

Da, če za to obstaja pravna podlaga – to je lahko določba v ustreznem pravnem predpisu. Na primer, če vam takšno obvezno preverjanje izpolnjenosti PCT pogojev pri obiskovalcih in uporabnikih storitev nalaga vladni odlok, je posredna pravna podlaga za to podana. Pri tem pa ponudnik storitev ne sme beležiti nobenih podatkov glede izpolnjevanja pogojev PCT obiskovalcev/uporabnikov, temveč lahko v dokazilo le vpogleda. Če se dokazovanje izvaja z evropskimi digitalnimi potrdili, si ob vpogledu lahko pomaga še z aplikacijo za odčitavanje QR kode zato, da se prepriča, ali je potrdilo pristno oziroma veljavno. Aplikacija upravljavcu ne omogoča vpogleda v centralne zbirke zdravstvenih podatkov. 

O tem, v katerih primerih je treba preveriti PCT pogoje, IP svetuje, da si to preberete v trenutno veljavnem odloku, ki ureja ukrepe za zamejevanje širjenja virusa COVID-19.

4. Na kakšen način lahko kot delodajalec preverim izpolnjevanje PCT pogojev svojih delavcev?

Delodajalec mora pri preverjanju PCT pogojev čim manj poseči v zasebnost posameznika in zato lahko preveri le tiste podatke, ki so relevantni za uresničitev namena njegove obveznosti glede preverjanja PCT pogojev. Gre za temeljno načelo varstva osebnih podatkov – načelo najmanjšega obsega podatkov – v skladu s katerim lahko delodajalec v dokazila glede izpolnjevanja pogojev PCT svojih delavcev (enako velja tudi za dokazila obiskovalcev in uporabnikov storitev) le VPOGLEDA, ne sme pa jih hraniti. Predloženih dokazil v papirni ali digitalni obliki torej delodajalec ne sme kopirati, preslikati, fotografirati ali drugače reproducirati njihove vsebine. 

Delodajalec izpolnjevanje pogojev PCT praviloma preveri s pomočjo aplikacije za odčitavanje QR kode, ki jo vsebuje evropsko digitalno potrdilo ali z vpogledom v drugo dokazilo glede izpolnjevanja PCT pogoja. Aplikacija omogoča zgolj preverjanje pristnosti oziroma veljavnosti potrdila.

Vsak delodajalec je dolžan sam interno določiti, kdo konkretno izvaja preverjanje in kdaj, ter o tem obvestiti zaposlene. Predpisi ne določajo posebnih pogojev za to, kdo lahko to nalogo opravlja pri delodajalcu ali ponudniku storitev. Gre torej za samostojno odločitev upravljavca o tem, komu bo dodeljena ta naloga.

5. Ali lahko hranim seznam o tem, kateri izmed delavcev izpolnjuje določen PCT pogoj?

Da, če drugače ne morete organizirati izvajanja veljavnih predpisov. Vendar morate pri tem spoštovani temeljna načela varstva osebnih podatkov. Delodajalec lahko zbira oziroma obdeluje le tiste osebne podatke, ki so nujno potrebni za namen organiziranja preverjanja pogojev PCT (npr. predpisan evidenčni list za samotestiranje, izjavo o izpolnjevanju pogoja PCT, ime in priimek ter do kdaj oseba izpolnjuje pogoj PCT (brez beleženja drugih podatkov, ki niso ključni, npr. vrsta cepiva in izvajalec cepljenja )). Gre za spoštovanje načela najmanjšega obsega podatkov. 

Tudi pri samem preverjanju dokazil je priporočljivo, da se delodajalec seznani le z najnujnejšimi podatki iz dokazil (npr. na koga se dokazilo nanaša, časovna veljavnost potrdila za prebolevnike, in za cepljene podatek o polni cepljenosti - odmerek 1/1 ali odmerek 2/2). 

Te podatke pa lahko obdeluje le za preverjanja izpolnjevanja PCT pogoja in ne za druge namene. Hrani jih lahko le toliko časa, kot je to nujno potrebno za namen njihovega zbiranja. Primeren rok hrambe teh podatkov v delovnih razmerjih je lahko do 2 leti. Delodajalec mora zagotoviti ustrezno varnost zbranih osebnih podatkov, torej da se ostali zaposleni ne morejo seznanijo z osebnimi podatki s seznama, temveč da je ta seznam dostopen le za to pooblaščeni osebi. To je še toliko bolj pomembno, ko gre za zdravstvene podatke oz. podatke posebne vrste. 

Delodajalec si mora prizadevati, da v evidencah ne ločuje med pogojem cepljenosti in prebolevnosti, če je seveda to v danih okoliščinah objektivno izvedljivo. 

Vsak delodajalec sam interno organizira preverjanje pogojev PCT, pri čemer pa je pomembno, da preveri, kaj mu v zvezi s tem nalagajo veljavni predpisi (npr. vladni odloki). IP ne more presojati, ali je organizacija delodajalca v zvezi s preverjanjem PCT pogojev ustrezna, to preverjajo pristojne inšpekcije. IP lahko v inšpekcijskem postopku preveri le, ali je izbrani način skladen s predpisi s področja varstva osebnih podatkov.

6. Ali sem kot delodajalec dolžan komu podati kakšne informacije?

Da, to zahtevajo členi 13 in 14 Splošne uredbo o varstvu podatkov. Delodajalec mora pred preverjanjem izpolnjevanja pogojev PCT svojih zaposlenih ter obiskovalcev in uporabnikov storitev tem omogočiti, da se seznanijo z osnovnimi informacijami glede obdelave podatkov, zlasti:
kdo obdeluje njihove podatke (tj. naziv upravljavca in morebitnih zunanjih uporabnikov),
- zakaj jih obdeluje,
- katere konkretne podatke obdeluje in koliko časa jih bo hranil ter druge informacije o obdelavi (13. člen Splošne uredbe o varstvu podatkov).

IP je pripravil tudi vzorec, ki ga prilagamo: OBVESTILO POSAMEZNIKOM PO 13. ČLENU SPLOŠNE UREDBE O VARSTVU PODATKOV (GDPR) GLEDE OBDELAVE OSEBNIH PODATKOV

7. Ali lahko pri uporabnikih storitev in obiskovalcih preverim istovetnost osebe z osebno izkaznico? 

Da, ob preverjanju izpolnjevanja pogojev PCT je dovoljen tudi vpogled v javno listino, ki izkazuje istovetnost osebe (npr. osebna izkaznica).

Smernice IP za delodajalce oziroma upravljalce lahko najdete na naslednji spletni strani: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice%20PCT.pdf


S spoštovanjem Ekipa GZS SPGZ


Fotogalerija





 

Arhivi