Zbiranje podatkov o cepljenosti zaposlenih

Novica z dne 02. 06. 2021

Informacijski pooblaščenec (v nadaljevanju IP) je prejel prošnjo za mnenje, ali je delodajalec upravičen do podatkov o tem, kdaj in s katerim cepivom je bil zaposleni cepljen, ker bo vodil evidenco. Katere podatke mora zaposleni razkriti?

Na podlagi posredovanih informacij in skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) IP posreduje neobvezno mnenje v zvezi z vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

IP uvodoma pojasnjuje, da mora imeti upravljavec za zakonito obdelavo osebnih podatkov ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe o varstvu podatkov. Osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju, Splošna uredba o varstvu podatkov v členu 4(15) opredeljuje kot podatke o zdravstvenem stanju. Slednji se na podlagi člena 9(1) Splošne uredbe o varstvu podatkov uvrščajo med posebno vrsto osebnih podatkov, katerih obdelava je prepovedana, v kolikor ni podana katera od izjem, ki so navedene v točkah (a) do (j) člena 9(2) Splošne uredbe o varstvu podatkov. Pri tem je upravljavec dolžan upoštevati tudi načela v zvezi z obdelavo osebnih podatkov, ki so določena v členu 5 Splošne uredbe o varstvu podatkov. Skladno z načelom najmanjšega obsega podatkov morajo biti osebni podatki na primer ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

Za obdelavo podatkov v delovnih razmerjih je relevanten predvsem 48. člen Zakona o delovnih razmerjih (Uradni list RS, št. 21/13 in naslednji), skladno s katerim se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Kateri osebni podatki so tisti, ki jih delodajalec lahko obdeluje zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, je potrebno presojati od primera do primer. Na delodajalcu je, da utemelji, zakaj potrebuje določen osebni podatek delavca zaradi uresničevanja pravic in obveznosti iz delovnega razmerja oziroma v zvezi z delovnim razmerjem.

IP pojasnjuje, da delodajalec podatkov, ki jih navaja prosilec v vprašanju, načeloma ne potrebuje, razen če to od njega zahtevajo področni predpisi kot na primer odredbe glede obveznih testiranj za zaposlene v določenih dejavnostih. Tudi v takšnem primeru pa lahko delodajalec zbira oziroma obdeluje zgolj tiste podatke, ki so ustrezni in relevantni za takšen namen. V vsakem primeru morajo biti zaposlenim že pri zbiranju podatkov na voljo ustrezne informacije o obdelavi njihovih osebnih podatkov, kot to določa člen 13 Splošne uredbe o varstvu podatkov, na primer komu se podatki pošiljajo, za kakšen konkretni namen, na kateri podlagi, kakšen je rok hrambe, kdo je upravljavec, kakšne pravice ima posameznik v zvezi z njegovimi podatki ali je zagotovitev podatkov obvezna in podobno.

Celotno mnenje najdeteTUKAJ

Nazaj