Ali lahko delodajalec zahteva posredovanje skeniranih potrdil o cepljenju ali potrdil o prebolelosti?

Datum: 15.09.2021
Številka: 07121-1/2021/1768

Na Informacijskega pooblaščenca (v nadaljevanju: IP) ste naslovili zahtevo za mnenje, v kateri navajate, da se na vas obračajo številni člani, od katerih delodajalci (...) zahtevajo, da jim posredujejo skenirana potrdila o cepljenju ali potrdila o prebolelosti. Pri tem kot pravno podlago navajajo Odlok o načinu izpolnjevanja pogoja prebolevnosti, cepljenja in testiranja za zajezitev širjenja okužb z virusom SARS-CoV-2 (Uradni list RS, št. 142/21), ter da mora delodajalec zagotoviti spoštovanje določb odloka. Podatki o statusu in skenirana potrdila naj bi se hranila med kadrovsko dokumentacijo, potrebujejo pa jo odgovorne osebe za organiziranje varnega dela. V sindikatu se strinjate, da na podlagi odloka delodajalci preverjajo pogoje, menite pa, da opisano ni v skladu z varovanjem občutljivih osebnih podatkov. Zanima vas:

1. ali je na podlagi zakonodaje dopustno, da delodajalec zahteva skenirana potrdila o cepljenju ali prebolevnosti,
2. ali lahko ... zavrne posredovanje skeniranega potrdila, ter delodajalcu sporoči, da izpolnjuje pogoje PCT iz odloka in posledično navede številko oziroma oznako potrdila, datum cepljenja,
3. ali lahko ... za dokazovanje izpolnjevanja pogojev PCT posreduje oziroma da na vpogled zgolj kodo potrdila oziroma zgolj na vpogled EU digitalno COVID potrdilo.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo in 177/20; v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05; v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Uvodoma pojasnjujemo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov oziroma ustreznosti konkretnega ravnanja upravljavca ne more presojati. Zato vam v nadaljevanju podajamo splošna pojasnila ter pravna izhodišča in pogoje za zakonito obdelavo osebnih podatkov.

Splošna uredba v členu 5 določa temeljna načela obdelave osebnih podatkov. Točka (c) navedenega člena opredeljuje načelo najmanjšega obsega podatkov, skladno s katerim so osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Načelo celovitosti in zaupnosti osebnih podatkov opredeljuje točka (f) istega člena, in sicer se osebni podatki obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi.

Za vsako obdelavo osebnih podatkov mora upravljavec izkazati eno od šestih možnih pravnih podlag iz člena 6(1) Splošne uredbe, če gre za podatke, ki se navezujejo na zdravstveno stanje posameznika (in gre za t.i. posebne vrste osebnih podatkov), pa iz člena 9(2) Splošne uredbe. Obdelavo osebnih podatkov predstavlja tudi hramba osebnih podatkov.

Dolžnost zavarovanja osebnih podatkov, ki jih obdeluje, upravljavcu nalagajo še vedno veljavna 24. in 25. člen ZVOP-1 ter člen 32 Splošne uredbe. O obdelavi osebnih podatkov posameznikov je upravljavec dolžan posamezniku zagotoviti informacije iz člena 13 Splošne uredbe, in sicer predvsem informacije o upravljavcu in njegovi pooblaščeni osebi za varstvo osebnih podatkov, namenih in pravnih podlagah obdelave, uporabnikih osebnih podatkov, morebitnih zakonitih interesih in prenosih osebnih podatkov.

15. 9. 2021 je v Republiki Sloveniji pričel veljati Odlok o načinu izpolnjevanja pogoja prebolevnosti, cepljenja in testiranja za zajezitev širjenja okužb z virusom SARS-CoV-2 (Uradni list RS, št. 147/21; v nadaljevanju: Odlok), ki med drugim določa uvedbo t.i. pogoja PCT in način dokazovanja oziroma preverjanja tega pogoja. Delodajalec, ki je dolžan skladno z določbami Odloka preverjati izpolnjevanje pogoja PCT svojih zaposlenih, preverjanje ob upoštevanju načela najmanjšega obsega osebnih podatkov opravlja, na primer, z vpogledom v enega od dokazil, navedenih v 2. oziroma 6. členu Odloka, pri tem pa lahko pooblaščena oseba delodajalca napravi zaznamek, da je v dokazilo vpogledala, da je pogoj PCT izpolnjen, do kdaj je izpolnjen. Posredovanje oziroma hramba enolične oznake potrdila iz digitalnega COVID dokazila za namen preverjanja ni primerna oziroma potrebna. Preverjanje izpolnjevanja je skladno z Odlokom dolžnost delodajalca oziroma odgovorne osebe, ki izvaja ali organizira opravljanje dela, in ki jo mora po potrebi izkazati pristojnim nadzornim organom (na primer inšpekcijskim službam, ki so pristojne nadzirati izvajanje Odloka).

Z vidika načela najmanjšega obsega podatkov bi lahko hramba dokazil, s katerimi se izkazuje oziroma preverja izpolnjevanje pogoja PCT, s strani delodajalca predstavljala nesorazmerno obdelavo osebnih podatkov, saj sama hramba dokazil ni nujno potrebna za izpolnitev namena obdelave, ki je preverjanje izpolnjevanja pogoja PCT.

Delodajalec mora ob tem osebne podatke zavarovati na način, da ne pride do njihove nepooblaščene obdelave, kar med drugim pomeni, da se imajo pravico seznaniti z osebnimi podatki zaposlenih, katerih izpolnjevanje pogoja PCT se preverja, zgolj zaposleni pri delodajalcu, ki te podatke potrebujejo v zvezi s svojimi delovnimi nalogami, ne pa tudi ostali zaposleni. Delodajalec kot upravljavec osebnih podatkov mora zaposlene pri tem tudi obvestiti, za katere namene bo njihove osebne podatke obdeloval oziroma jim zagotoviti druge potrebne informacije iz zgoraj omenjenega člena 13 Splošne uredbe.

Posameznik, ki je skladno z določbami Odloka dolžan izpolnjevati pogoj PCT, pa mora na drugi strani delodajalcu omogočiti preverjanje izpolnjevanja pogoja PCT. To pomeni, da mora posameznik delodajalcu omogočiti vpogled v eno od dokazil, ki jih Odlok navaja v 2. in 6. členu. Kot že navedeno si lahko delodajalec ob tem napravi zaznamek, da je bilo izpolnjevanje pogoja PCT preverjeno z vpogledom v dokazilo določenega dne.

Vsa mnenja IP so objavljena in dostopna na naši spletni strani: https://www.ip-rs.si/vop/.

Lep pozdrav,

Mojca Prelesnik

informacijska pooblaščenka

Mateja Telič,

državna nadzornica

za varstvo osebnih podatkov

Vir: Informacijski pooblaščenec