Preverjanje PCT pogojev s stališča varstva osebnih podatkov

Preverjanje PCT pogojev s stališča varstva osebnih podatkov

Od začetka leta 2020 se v državah povsod po svetu sprejemajo raznorazni ukrepi na področju preprečevanja širjenja okužb s koronavirusom in posledično zajezitev širjenja bolezni COVID-19. Pri izvajanju navedenih ukrepov neizbežno prihaja do obdelave osebnih podatkov v zvezi z zdravjem. Posamezniki, na katere se tej podatki nanašajo, morajo biti vselej seznanjeni z informacijami, kot so zlasti: kdo obdeluje njihove osebne podatke (tj. kateri upravljavec in kateri morebitni zunanji uporabniki), zakaj jih obdeluje (za katere namene, cilje), koliko časa bo podatke hranil in druge informacije o obdelavi osebnih podatkov, ki jih določa 13. člen Splošne uredbe o varstvu podatkov (v nadaljevanju: GDPR). Te informacije lahko upravljavec zagotovi tudi z enostavno dostopnimi javnimi objavami (npr. plakati in spletne strani), in ne nujno z izročanjem pojasnil v papirni obliki. Upravljavci morajo pri tem upoštevati tudi osnovna načela obdelave podatkov, ki izhajajo iz 5. člena GDPR. Upravljavci in obdelovalci podatkov imajo v povezavi z ukrepi in varstvom osebnih podatkov nemalo vprašanj, s katerimi se obračajo predvsem na Informacijskega pooblaščenca (v nadaljevanju: IP). Slednji je na vprašanja že večkrat odgovarjal v javno objavljenih mnenjih, v septembru pa je ponudil tudi skupek odgovorov na najpogostejša vprašanja na enem mestu, z izdajo oz. objavo Smernic o preverjanju pogojev prebolevnosti, cepljenosti ali testiranja (PCT pogoji). Smernice posebej obravnavajo preverjanje PCT pogoja s strani delodajalcev oz. upravljavcev, posebej preverjanje PCT pogoja za posameznike in še preverjanje PCT pogoja za šole.

Smernice o preverjanju PCT pogojev za delodajalce oziroma upravljavce

Smernice so v prvi vrsti namenjene delodajalcem kot upravljavcem osebnih podatkov zaposlenih posameznikov. Za delodajalce je predvsem pomembno to, da ne smejo beležiti nobenih podatkov glede izpolnjevanja PCT pogojev, temveč lahko v dokazilo le vpogledajo oz. preverijo izpolnjevanje PCT pogojev, praviloma z odčitavanjem QR kode. Delodajalec denimo lahko hrani seznam o tem, kateri delavci izpolnjujejo PCT pogoj, vendar ta seznam ne sme obsegati več podatkov, kot je nujno potrebno za namen organiziranja preverjanja pogojev PCT (npr. predpisan evidenčni list za samotestiranje, izjavo o izpolnjevanju pogoja PCT, ime in priimek ter do kdaj oseba izpolnjuje PCT pogoj). Delodajalec s tem spoštuje načelo najmanjšega obsega podatkov iz 5. člena GDPR. Ob preverjanju izpolnjevanja PCT pogojev je delodajalcem dovoljen tudi vpogled v osebni dokument posameznika. Delodajalec lahko omejen nabor podatkov hrani le toliko časa, kot je to nujno potrebno za namen njihovega zbiranja. Primeren rok hrambe teh podatkov v delovnih razmerjih je lahko, po besedah informacijskega pooblaščenca, največ 2 leti. Pomembno je tudi, da se ostali zaposleni ne seznanijo z osebnimi podatki, temveč so ti dostopni le za to pooblaščeni osebi. Delodajalec je namreč dolžan podatke posameznikov zavarovati pred razkritjem drugim osebam.

Smernice o preverjanju PCT pogojev za posameznike

IP je izdal posebne Smernice tudi za ponudnike raznih storitev v Republiki Sloveniji, saj so tej ponudniki na podlagi veljavnih vladnih Odlokov prav tako dolžni preverjati izpolnjevanje PCT pogoja pri uporabnikih storitev. V Smernicah IP posameznikom pojasnjuje, ali lahko in na kakšen način lahko delodajalci in ponudniki storitev preverjajo PCT pogoj. Izpostavlja predvsem to, da lahko delodajalec ali ponudnik storitve v dokazila glede izpolnjevanja pogojev PCT le VPOGLEDA, ne sme pa jih hraniti v kakršnikoli obliki – ne sme jih kopirati, preslikati, fotografirati ali drugače reproducirati njihove vsebine. Prav tako ponudnik storitev (npr. v gostinskem lokalu, v frizerskem salonu, v trgovini ipd.) nima pravne podlage za ustvarjanje seznamov o strankah s podatki o preverjanju pogojev PCT. Ob preverjanju izpolnjevanja pogojev PCT je dovoljen tudi vpogled v osebni dokument, ki izkazuje istovetnost osebe (npr. osebna izkaznica).

Smernice o preverjanju PCT pogojev za šole

Pri preverjanju PCT pogoja pri zaposlenih in drugih osebah (tudi otrocih, dijakih), mora imeti šola pravno podlago. Šola ne more vpogledati v dokazila glede izpolnjevanja PCT pogojev učencev in dijakov, saj za to nima pravne podlage, razen, če bi veljavni predpis to posebej določal. Če za določene učence (npr. za učence višjih razredov osnovne šole in dijake) veljavni predpis določa prostovoljno samotestiranje s testi HAG na domu, to šoli ne daje pravne podlage za vpogled v dokazila.
Zgolj obveznost preverjanja izpolnjevanja PCT pogojev iz odloka ne pomeni, da lahko šola ustvarja zbirke podatkov za npr. starše ali udeležence dejavnosti, ki jih izvajajo v prostorih šole zunanje organizacije kot najemniki prostorov. Glede na načelo najmanjšega obsega podatkov, pri tem šola ne sme beležiti nobenih podatkov glede izpolnjevanja pogojev PCT obiskovalcev/zunanjih uporabnikov šolskih prostorov, temveč lahko v dokazilo le vpogleda. Šole in druge izobraževalne institucije morajo sproti preverjati izjeme od obveznega preverjanja PCT pogojev, npr. za osebe, ki pripeljejo otroka v vrtec ali nižje razrede osnovne šol. Za te osebe šola ne sme zahtevati niti vpogleda v dokazilo.

Kadar imajo upravljavci ustrezno podlago za zbiranje osebnih podatkov in na osnovi tega hranijo zbirke podatkov, morajo dopolniti tudi evidence dejavnosti obdelave podatkov in informacije, ki se zagotovijo posameznikom. Pri izdelavi le-teh lahko pravni svetovalci na IEPRI, d. o. o. upravljavcem ponudimo pomoč.