Bodite obveščeni o aktualnem dogajanju.
Datum: 24.09.2021 Številka: 07121-1/2021/1568 Kategorije: Delovna razmerja||Zdravstveni osebni podatki
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše elektronsko sporočilo, v katerem sprašujete, če lahko delodajalec od svojih zaposlenih zahteva informacijo o cepljenosti proti Covid 19 in vpogleda v certifikat.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem poudarjamo, da IP izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.
IP uvodoma pojasnjuje, da je že odgovarjal na podobna vprašanja, kot je vaše, npr. v mnenjih:
Vsa mnenja so dostopna na spletni strani IP: https://www.ip-rs.si/mnenja-gdpr/.
Iz navedenih mnenj izhaja, da lahko v delovnih razmerjih pod določenimi pogoji pravno podlago za posredovanje informacije o izpolnjevanju pogoja PCT zaposlenega delodajalcu predstavlja določba 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, s spremembami in dopolnitvami; v nadaljevanju ZDR-1), ki v prvem odstavku določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.
Na delodajalcu je, da utemelji, zakaj potrebuje določen osebni podatek delavca zaradi uresničevanja pravic in obveznosti iz delovnega razmerja oziroma v zvezi z delovnim razmerjem. Ob navedenem IP pojasnjuje, da delodajalec podatkov kot jih navajate načeloma ne potrebuje, razen če to od njega zahtevajo področni predpisi kot na primer odredbe glede obveznih testiranj za zaposlene v določenih dejavnostih. Pri ugotavljanju pravne podlage za obdelavo zdravstvenih osebnih podatkov delavcev morate v okoliščinah konkretnega primera najprej ugotoviti, ali je pogoj PCT z zakonom oziroma podzakonskim predpisom določen kot obvezen ali ne.
Če je pogoj PCT v vašem primeru obvezen, je delodajalec na podlagi ZDR-1 ter v zvezi s podzakonskim predpisom, ki določa obveznost izpolnjevanja takšnega pogoja, upravičen do informacije o izpolnjevanju pogoja PCT. Vendar pa je IP že večkrat poudaril, da v kontekstu delovnih razmerij ne obstaja obveznost predložitve zdravstvenega izvida, temveč zgolj same informacije iz izvida, zato delodajalec tudi ne sme zbirati ter hraniti zdravstvenih izvidov ali potrdil o cepljenju/ prebolevnosti/ testiranju (razen če bi področni predpisi določali drugače).
Če za vaš sektor oziroma za konkretno podjetje ni predpisan obvezen pogoj PCT, delodajalec pa želi kljub temu sprejeti določene ukrepe za zajezitev širjenja virusa, pa IP pojasnjuje, da ni pristojen presojati primernosti, nujnosti in sorazmernosti samega ukrepa. To namreč je predmet ocene tveganj, ki jo delodajalec izvede v skladu z Zakonom o varnosti in zdravju pri delu (Uradni list RS, št. 43/11; v nadaljevanju ZVZD-1) ob sodelovanju pristojnih institucij (pooblaščena oseba medicine dela in NIJZ). Določanje ukrepov v skladu z ZVZD-1 torej ni pristojnost IP, vendar pa je IP pristojen, če pri izvajanju teh ukrepov pride do obdelave osebnih podatkov. Izvajanje ukrepov za varnost in zdravje pri delu je pravica in dolžnost delavca, kar pomeni, da je delodajalec na podlagi 48. člena ZDR-1 v potrebnem obsegu upravičen tudi do obdelave osebnih podatkov v zvezi z izvajanjem teh ukrepov. Ob tem pa mora delodajalec kot upravljavec osebnih podatkov zagotavljati spoštovanje vseh načel varstva osebnih podatkov, med drugim tudi načela omejitve namena (osebni podatki so zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni) in načela najmanjšega obsega podatkov (osebni podatki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo). Če torej delodajalec izvaja ukrepe, ki so pripravljeni v skladu z ZVZD-1 in usklajeni s pristojnimi strokovnimi službami (NIJZ, izvajalec medicine dela), potem sme v potrebnem obsegu obdelovati tudi s tem povezane osebne podatke delavcev.
IP je v okviru projekta iDecide izdal priročnike, od katerih je eden namenjen varovanju osebnih podatkov v delovnem razmerju in vsebuje tudi posebno poglavje glede varstva osebnih podatkov v času epidemije Covid-19. Priročnik je dostopen na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/brosure/brosura_delovna_populacija.pdf.
Svetujemo, da si več o pravicah posameznika glede varstva podatkov preberete na naši spletni strani www.tiodlocas.si.
Vsa mnenja IP so objavljena in dostopna na naši spletni strani: https://www.ip-rs.si/vop/.
Prav tako pa so vsa ključna področja, kot jih ureja Splošna uredba o varstvu podatkov predstavljena na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/, kjer lahko najdete veliko koristnih nasvetov glede bistvenih obveznosti podjetij in drugih organizacij za pravilno izvajanje ukrepov varstva osebnih podatkov.
Lep pozdrav, Mojca Prelesnik informacijska pooblaščenka
Vir: Informacijski pooblaščenec >>