Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vprašanje, ali lahko delodajalec od svojih zaposlenih zahteva informacijo o cepljenosti proti Covid 19 in vpogleda v certifikat.
IP v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) podaja neobvezno mnenje v zvezi s tem vprašanjem. Ob tem poudarja, da IP izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.
IP uvodoma pojasnjuje, da je že odgovarjal na podobna vprašanja, in sicer v naslednjih mnenjih, ki so dostopna na spletni strani IP:
- št. 07121-1/2021/1325 z dne 26. 7. 2021;
- št. 07121-1/2021/1297 z dne 21. 7. 2021;
- št. 07121-1/2021/1255 z dne 19. 7. 2021;
- št. 07121-1/2021/1254 z dne 19. 7.2021;
- št. 07120-1/2021/385 z dne 27. 7. 2021.
Iz navedenih mnenj izhaja, da lahko v delovnih razmerjih pod določenimi pogoji pravno podlago za posredovanje informacije o izpolnjevanju pogoja PCT zaposlenega delodajalcu predstavlja določba 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, s spremembami in dopolnitvami; v nadaljevanju ZDR-1), ki v prvem odstavku določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.
Na delodajalcu je, da utemelji, zakaj potrebuje določen osebni podatek delavca zaradi uresničevanja pravic in obveznosti iz delovnega razmerja oziroma v zvezi z delovnim razmerjem. Ob navedenem IP pojasnjuje, da delodajalec podatkov o cepljenosti načeloma ne potrebuje, razen če to od njega zahtevajo področni predpisi, kot na primer odredbe glede obveznih testiranj za zaposlene v določenih dejavnostih. Pri ugotavljanju pravne podlage za obdelavo zdravstvenih osebnih podatkov delavcev je treba v okoliščinah konkretnega primera najprej ugotoviti, ali je pogoj PCT z zakonom oziroma podzakonskim predpisom določen kot obvezen.
Če je pogoj PCT obvezen, je delodajalec na podlagi ZDR-1 ter v zvezi s podzakonskim predpisom, ki določa obveznost izpolnjevanja takšnega pogoja, upravičen do informacije o izpolnjevanju pogoja PCT. Vendar pa je IP že večkrat poudaril, da v kontekstu delovnih razmerij ne obstaja obveznost predložitve zdravstvenega izvida, temveč zgolj same informacije iz izvida, zato delodajalec tudi ne sme zbirati ter hraniti zdravstvenih izvidov ali potrdil o cepljenju/ prebolevnosti/ testiranju (razen če bi področni predpisi določali drugače).
Če za nek sektor oziroma za konkretno podjetje ni predpisan obvezen pogoj PCT, delodajalec pa želi kljub temu sprejeti določene ukrepe za zajezitev širjenja virusa, pa IP pojasnjuje, da ni pristojen presojati primernosti, nujnosti in sorazmernosti samega ukrepa. To namreč je predmet ocene tveganj, ki jo delodajalec izvede v skladu z Zakonom o varnosti in zdravju pri delu (Uradni list RS, št. 43/11; v nadaljevanju ZVZD-1) ob sodelovanju pristojnih institucij (pooblaščena oseba medicine dela in NIJZ). Določanje ukrepov v skladu z ZVZD-1 torej ni pristojnost IP, vendar pa je IP pristojen, če pri izvajanju teh ukrepov pride do obdelave osebnih podatkov. Izvajanje ukrepov za varnost in zdravje pri delu je pravica in dolžnost delavca, kar pomeni, da je delodajalec na podlagi 48. člena ZDR-1 v potrebnem obsegu upravičen tudi do obdelave osebnih podatkov v zvezi z izvajanjem teh ukrepov. Ob tem pa mora delodajalec kot upravljavec osebnih podatkov zagotavljati spoštovanje vseh načel varstva osebnih podatkov, med drugim tudi načela omejitve namena (osebni podatki so zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni) in načela najmanjšega obsega podatkov (osebni podatki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo). Če torej delodajalec izvaja ukrepe, ki so pripravljeni v skladu z ZVZD-1 in usklajeni s pristojnimi strokovnimi službami (NIJZ, izvajalec medicine dela), potem sme v potrebnem obsegu obdelovati tudi s tem povezane osebne podatke delavcev.
Lex sapiens 