0611-608-2021-9 odločba po ZIN uskladitev GDPR 58 2d

0611-608-2021-9 odločba po ZIN uskladitev GDPR 58 2d
31. 01. 2022 objavil/a Administrator
COVID-19
občutljivi OP
zdravstveni podatki
zdravstveno stanje

 

Številka: 0611-608/2021/9

Datum:   18. 1. 2022

 

Informacijski pooblaščenec (v nadaljevanju: IP) po pooblaščeni uradni osebi, državni nadzornici za varstvo osebnih podatkov …, na podlagi 2. in 8. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/2205, 51/07–ZUstS-A; v nadaljevanju: ZInfP), 54. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo in 177/20, v nadaljevanju: ZVOP-1), člena 57 in 58 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju: Splošna uredba) ter 29. in 32. člena Zakona o inšpekcijskem nadzoru (UL RS, št. 43/2007 - UPB1 in 40/14, v nadaljevanju: ZIN), v zadevi opravljanja inšpekcijskega nadzora zoper zavezanca (matična številka: …, v nadaljevanju: zavezanec) glede obdelovanja zdravstvenih podatkov zaposlenih in načinu obveščanja zaposlenih o zdravstvenem stanju zaposlenih, ki so zboleli za boleznijo covid-19, ki jo povzroča koronavirus SARS-CoV-2, po uradni dolžnosti izdaja

 

 

 

 

ODLOČBO

 

 

 

1.   Zavezanec mora:

 

-       prenehati z obveščanjem zaposlenih z rezultati testiranja konkretnih zaposlenih na način, da zaposlene obvešča o zaposlenih, ki so za boleznijo covid-19 zboleli, z imenom in priimkom ter sprejeti ukrepe, da do tega v bodoče ne bo več prišlo.

 

Zavezanec mora v vsakem konkretnem primeru posebej presoditi ali je način obveščanja skladen z načelom najmanjšega obsega podatkov (načelom sorazmernosti), ki določa, da mora biti obdelava osebnih podatkov (torej kadar zavezanec poleg podatka o obolelosti za boleznijo covid-19 ali negativnem testu, posreduje tudi podatek iz katerega je mogoče sklepati že na določljivost posameznika) ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

 

2.     Zavezanec mora ukrep iz 1. točke izreka te odločbe izvršiti v roku petnajstih (15) dni od prejema te odločbe.

 

3.     Zavezanec mora o izvedenih ukrepih iz 1. točke izreka te odločbe najkasneje v roku petih (5) dni po odpravi nepravilnosti pisno obvestiti Informacijskega pooblaščenca. Obvestilo mora vsebovati tudi navedbe in dokaze o tem, da je zavezanec izvršil ukrepe iz 1. točke izreka te odločbe in na kakšen način jih je izvršili.

 

4.     Organu v tem postopku posebni stroški niso nastali, zavezanec pa sam trpi svoje stroške inšpekcijskega postopka.

 

 

 

 

 

 

 

O b r a z l o ž i t e v

 

 

I. Navedba predpisov, na katere se opira odločba:

 

Osebni podatek pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom, določljiv posameznik pa je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika (člen 4(1) Splošne uredbe).

 

Podatek o zdravstvenem stanju posameznika pomeni osebni podatek, ki se nanaša na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkriva informacije o njegovem zdravstvenem stanju (člen 4(15) Splošne uredbe).

 

Obdelava osebnih podatkov pa je vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje (člen 4(2) Splošne uredbe).

 

Obdelava osebnih podatkov tako pomeni tudi razkritje osebnih podatkov s posredovanjem, razširjanjem ali drugačnim omogočanjem dostopa do osebnih podatkov.

 

Podatek o obolelosti za boleznijo covid-19 pa je podatek v zvezi z zdravjem oziroma podatek o zdravstvenem stanju posameznika (člen 4 (15) Splošne uredbe). Pravno podlago za obdelavo posebnih vrst osebnih podatkov, kot so podatki o zdravstvenem stanju, določa člen 9 Splošne uredbe, in sicer je v prvem odstavku določeno, da je prepovedana obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo, drugi odstavek pa nadalje določa, da se odstavek 1 ne uporablja, če velja eno od naslednjega:

 

(a)

posameznik, na katerega se nanašajo osebni podatki, je dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali pravo države članice določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1;

 

(b)

obdelava je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika, na katerega se nanašajo osebni podatki, na področju delovnega prava ter prava socialne varnosti in socialnega varstva, če to dovoljuje pravo Unije ali pravo države članice ali kolektivna pogodba v skladu s pravom države članice, ki zagotavlja ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki;

 

(c)

obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;

 

(d)

obdelavo v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se osebni podatki ne posredujejo zunaj tega telesa brez privolitve posameznikov, na katere se nanašajo osebni podatki;

 

(e)

obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi;

 

(f)

 obdelava je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar  

 koli sodišča izvajajo svojo sodno pristojnost;

 

(g)

obdelava je potrebna iz razlogov bistvenega javnega interesa na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki;

 

(h)

obdelava je potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3;

 

(i)

obdelava je potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije ali prava države članice, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti;

 

(j)

obdelava je potrebna za namene arhiviranja v javnem interesu, za znanstveno - ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki.

 

Osebni podatki iz odstavka 1 se lahko obdelujejo v namene iz točke (h) odstavka 2, kadar jih obdeluje ali je za njihovo obdelavo odgovoren strokovnjak, za katerega velja obveznost varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi, ali druga oseba, za katero tudi velja obveznost varovanja skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi. Države članice lahko ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genetskih, biometričnih ali podatkov v zvezi z zdravjem.

 

Člen 5 Splošne uredbe določa načela v zvezi z obdelavo osebnih podatkov, in sicer morajo biti osebni podatki:

 

(a)

obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki („zakonitost, pravičnost in preglednost“);

 

(b)

zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) ne velja za nezdružljivo s prvotnimi nameni („omejitev namena“);

 

(c)

ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“);

 

(d)

točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo („točnost“);

 

(e)

hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki („omejitev shranjevanja“);

 

(f)

obdelujejo se na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“).

 

Upravljavec je odgovoren za skladnost z odstavkom 1 in mora biti to skladnost tudi zmožen dokazati („odgovornost“).

 

 

II. Ugotovitve IP ter pojasnila in stališča zavezanca:

 

Tekom inšpekcijskega postopka je bil zavezanec opozorjen, da mora v postopku pred IP govoriti resnico in na posledice krive izpovedbe.

 

Zavezanec je tekom postopka pojasnil sledeče, in sicer da:

 

-       evidence obolelih za boleznijo covid-19 ne vodi, ocenjuje, da je bilo približno … obolelih;

-       postopek obveščanja zaposlenih o obolelih za boleznijo covid-19 poteka tako, da oboleli telefonsko obvesti … zavezanca, do ozdravitve ostane doma oziroma v karanteni, v kolikor do visoko tveganih stikov ni prišlo, zavezanec nikogar ne obvešča, v kolikor do visoko tveganega stika pride, pa zavezanec po elektronski pošti opozori vse zaposlene, ki so ali bi lahko bili v visoko tveganem stiku z obolelo osebo (pri tem posreduje ime osebe in rezultat testa);

-       načeloma obvešča izključno osebe, ki so v delovnem procesu prišle v neposreden stik z okuženo ali obolelo osebo, izjemoma je ravnal drugače ob prvem vdoru virusa v …, saj ni bilo mogoče ugotoviti kdo je bil v visoko tveganih stikih. Zaposlenim je bil, po nasvetu medicine dela, poslan vprašalnik, da bi lahko čim prej izsledili visoko tvegane stike. V mesecu … pa je … vsem zaposlenim posamično poslala vprašalnik o povezanosti z visoko tveganimi skupinami, da bi lahko organizirala delo na način, ki bi čim manj prizadel morebitne ogrožene zaposlene ali zaposlene, ki so v življenjski bližini z ogroženimi ljudmi;

-       imajo sprejeti Pravilnik o postopkih in ukrepih za zavarovanje osebnih podatkov (sprejet na podlagi sodelovanja zaposlenih in sindikata), podatke pa je v konkretnih primerih zbirala … kot … in organizatorka delovnega procesa, komunikacija je potekala telefonsko, oboleli so bili korektno seznanjeni, o vsebini nima pisnih dokazil;

-       je delovni proces v … specifičen, delo običajno poteka v manjših, a pogosto fleksibilno sestavljenih …. Morebitnih visoko tveganih stikov se med zaposlenimi ne da vedno predpostaviti. V zadnjih dveh letih poteka delo v izjemno težkih okoliščinah.

 

Zavezanec je predložil sledečo dokumentacijo:

 

-       elektronska sporočila zaposlenim z dne ...

 

Zavezanec je na podlagi Seznanitve zavezanca z ugotovitvami v postopku inšpekcijskega nadzora in pozivom na izjasnitev pred odločitvijo št. … z dne … predložil dokazila, da je zaposlene obvestil o pravicah do informacij skladno s členom 13 Splošne uredbe ter navedel, da je pri obveščanju o okužbah upošteval načelo sorazmernosti, saj je posredoval ime in priimek okuženih zaposlenih z elektronskim sporočilom z dne … zaradi množične okužbe, ki bi se naj zgodila že najmanj … pred ugotovitvijo in dela v majhnih … ter verjetnosti, da so vsi zaposleni prišli v stik z okuženo zaposleno (pri zavezancu je … zaposlenih in zunanji sodelavci). V nadaljevanju je navedel, da so z elektronskim sporočilom z dne … bili obveščeni izključno …, saj so vsi bili na … in izpostavljeni visoko tveganemu stiku, podatek o okužbi izven te … ni bil posredovan.

 

 

III. Razlogi, ki glede na ugotovljeno dejansko stanje narekujejo takšno odločitev:

 

Na podlagi do sedaj izvedenega postopka inšpekcijskega nadzora IP ugotavlja sledeče dejansko stanje. Zavezanec zbirke podatkov o obolelih za boleznijo covid-19, ki jo povzroča koronavirus SARS-CoV-2 ne vodi, zaposlene obvešča o obolelih za boleznijo covid-19 z namenom varovanja zdravja zaposlenih in zagotavljanja zdravega delovnega okolja, vendar bi obveščanje zaposlenih o okužbi lahko in moral izvesti na način, da konkretnega imena in priimka ne bi posredoval, ko je iz elektronskega naslova … … posredovala podatke o osebah, ki so zbolele za boleznijo covid-19 zaposlenim z imenom in priimkom v elektronskem sporočilu z dne …, na način, da tudi v kolikor so bila posredovana sporočila posredovani vsem zaposlenim, ki so z obolelo osebo morda lahko prišli v t. i. visoko tvegani stik, zavezanec pri tem ne bi smel posredovati tudi imena in priimka, saj bi zadoščalo obvestilo o okužbi in posredovanje takšnega obvestila v skriti kopiji – glede na okoliščine primera pa bo moral zavezanec v vsakem konkretnem primeru presoditi ali je takšno spročilo potrebno posredovati določenemu krogu zaposlenih ali vsem.

 

Pri tem zavezanec imen in priimkov posameznikov, ki zbolijo za boleznijo covid-19, ne bi smel  posredovati na način, da obdeluje njihove zdravstvene podatke tako, da jih posreduje posameznikom, saj lahko takšno obveščanje izvede tudi brez posredovanja konkretnega imena in priimka.

 

V kolikor zavezanec presodi, da bi v visoko tvegani stik lahko prišli vsi, ki bi se na sedežu zavezanca v določenem obdobju lahko nahajali, bi moral v nadaljevanju posebej proučiti in utemeljiti tudi zakaj splošno obvestilo brez navedbe konkretnega posameznika na način, da ta ne bi bil določen oziroma določljiv, ne bi doseglo istega namena.

 

IP ugotavlja, da bi enako vsebino sporočila zavezanec lahko poslal tudi brez imena in priimka zaposlenih ter pri tem dosegel enak namen preprečevanja širjenja nalezljivih bolezni. Visoko tvegane stike bi lahko iskal individualno, brez razkritja posameznika, ki je za boleznijo obolel, vsem zaposlenim. Zato je bilo takšno obveščanje, zlasti pa z imenom in priimkom, posledično nezakonita obdelava osebnih podatkov in kršitev načela najmanjšega obsega podatkov iz točke (c) člena 5(1) Splošne uredbe, saj bi enak učinek in preventivni ukrep varovanja javnega zdravja zavezanec lahko dosegel že s splošnim obvestilom brez navedbe imena in priimka, ki bi ga prav tako lahko poslal vsem navedenim deležnikom, v kolikor bi ugotovil, da je v določenih prostorih in v določenem časovnem obdobju glede na specifičnosti delovnega procesa pri zavezancu, prišlo do t. i. visoko tveganega stika.

 

 

IV. Sklepno:

 

Točka (d) člena 58(2) Splošne uredbe določa, da nadzorni organ upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami Splošne uredbe.

 

Glede na obrazloženo je bilo treba zavezancu zaradi ugotovljenih nepravilnosti, na podlagi 2. in 8. člena ZInfP, 1. točke prvega odstavka 54. člena ZVOP-1, prvega odstavka 32. člena ZIN ter točke (d) člena 58(2) Splošne uredbe, odrediti odpravo ugotovljenih nepravilnosti in uskladitev dejanj obdelave osebnih podatkov z določbami členov 5(1)(c) Splošne uredbe ter člena 9 Splošne uredbe, kot to izhaja iz 1. točke izreka te odločbe.

 

Peti odstavek 29. člena ZIN določa, da mora zavezanec v primeru, če je inšpektor odredil odpravo nepravilnosti in pomanjkljivosti ter zavezancu določil rok za njihovo odpravo, o odpravljenih nepravilnostih takoj obvestiti inšpektorja. Skladno z navedenim mora zavezanec o vseh izvedenih ukrepih iz 1. točke izreka te odločbe najkasneje v roku petih (5) dni po odpravi nepravilnosti pisno obvestiti IP. Obvestilo mora vsebovati tudi navedbe in dokaze o tem, da je zavezanec izvršil ukrepe iz 1. točke izreka te odločbe in na kakšen način jih je izvršil.

 

Izrek o stroških postopka temelji na določbi prvega odstavka 31. člena ZIN, po kateri stroške inšpekcijskega postopka, ki so bili nujni za ugotovitev dejstev, ki dokazujejo, da je zavezanec kršil zakon ali drugi predpis, trpi zavezanec. Zavezanec tekom postopka stroškov postopka sicer ni priglasil, organu pa posebni stroški postopka niso nastali.

 

Ta odločba je izdana po uradni dolžnosti in je na podlagi 22. člena Zakona o upravnih taksah (Uradni list RS, št. 106/10 – uradno prečiščeno besedilo, 14/15 – ZUUJFO, 84/15 – ZZelP-J, 32/16, 30/18 – ZKZaš in 189/20 – ZFRO) takse prosta.

 

POUK O PRAVNEM SREDSTVU:

Ta odločba je v upravnem postopku dokončna. Zoper njo v skladu z določbo 55. člena ZVOP-1 ni dovoljena pritožba, dopustno pa je sprožiti upravni spor. Upravni spor se sproži z vložitvijo tožbe pri Upravnem sodišču, Fajfarjeva 33, 1000 Ljubljana, v roku tridesetih (30) dni od njene vročitve. Tožba se vloži neposredno pisno pri navedenem sodišču ali se mu pošlje po pošti. Šteje se za pravočasno vloženo, če je oddana zadnji dan tožbenega roka priporočeno po pošti. Tožbi je poleg odločbe, ki se izpodbija, v izvirniku, prepisu ali kopiji potrebno priložiti tudi po en prepis ali kopijo tožbe in prilog za toženca, če je kdo prizadet z upravnim aktom pa tudi zanj.

 

 

 

 

 

                                                                      

 

 

 

 

 

 

 

 

Vročiti: 

 

-