Upravičenost vodenje evidence obolelih otrok v vrtcu

21. 12. 2020

Informacijski pooblaščenec (IP) je prejel zaprosilo za mnenje. Pri tem prosilca zanima, ali lahko vrtec zbira evidenco obolelih otrok glede na to, da je zdravstveno stanje občutljiv osebni podatek. Prosilec pojasnjuje, da vrtec zaradi sledljivosti v primeru okužbe po napotkih NIJZ za vrtce in šole zbira podatke o bolezenskih znakih (vročina, slabo počutje, glavobol, obilen izcedek, driska, bruhanje), in sicer ime in priimek otroka, znaki, kdaj so bili starši obveščeni oziroma so starši obvestili vrtec ter prihod po bolezni ter če so starši prinesli izjavo; dostopa do podatkov nima nihče, razen v primeru potrjene okužbe, rok hrambe pa je en mesec.

Na podlagi informacij IP posreduje neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma pojasnjuje, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. To pomeni, da na vprašanje, ali sme vrtec obdelovati zdravstvene podatke otrok v primeru, ki ga prosilec opisuje, ne more dokončno odgovoriti. Zato v nadaljevanju podaja splošna pojasnila ter pravna izhodišča in pogoje za zakonito obdelavo osebnih podatkov.

Obdelava osebnih podatkov pomeni skladno s členom 4(2) Splošne uredbe vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

IP pojasnjuje, da mora imeti upravljavec za vsako obdelavo osebnih podatkov zakonito in ustrezno pravno podlago. Pravne podlage so določene v členu 6(1) Splošne uredbe, za obdelavo posebnih vrst osebnih podatkov, kamor sodijo tudi podatki v zvezi z zdravjem posameznika, pa mora biti izpolnjen še eden izmed dodatnih pogojev iz člena 9(2) Splošne uredbe.

Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca. Za obdelavo zdravstvenih podatkov otrok s strani vrtca bi v konkretnem primeru najverjetneje prišla v poštev pravna podlaga po členu 6(1)(c) ali (e) v zvezi s členom 9(2)(i) Splošne uredbe, torej nacionalna zakonodaja. IP ni znano, da bi takšna zakonodaja obstajala.  Poudarja pa, da zgolj »napotki NIJZ« še ne predstavljajo ustrezne pravne podlage za obdelavo osebnih podatkov.

Ob tem IP izpostavlja, da je ključen element zakonite obdelave osebnih podatkov obveščenost posameznika o obdelavi njegovih podatkov, s čimer se zagotovi transparentnost obdelave in možnost preverjanja njene zakonitosti. Člen 13 Splošne uredbe določa nabor informacij, ki jih mora upravljavec osebnih podatkov zagotoviti posamezniku takrat, ko pridobi osebne podatke, med drugim tudi pravno podlago za njihovo obdelavo.

IP predlaga, da se prosilec za pojasnilo glede pravne podlage v konkretnem primeru obrne neposredno na vrtec. Če bo na podlagi obrazloženega in odgovora vrtca menil, da slednji zdravstvene podatke otrok obdeluje nezakonito, lahko na IP naslovi prijavo kršitve varstva osebnih podatkov, pri čemer si lahko pomaga z obrazcem »Prijava kršitve varstva osebnih podatkov«, ki je objavljen na spletni strani IP https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/. Takšna prijava ima naravo pobude za uvedbo inšpekcijskega nadzora, IP pa inšpekcijski postopek uvede po uradni dolžnosti, in sicer v primeru, če iz prijave izhaja utemeljen sum kršitve določb Splošne uredbe oziroma drugih predpisov s področja varstva osebnih podatkov.

Nazaj