Pri Informacijskem pooblaščencu (IP) so prejeli zaprosilo za mnenje o tem, ali in na kateri pravni podlagi je dopustno, da je Zdravstveni inšpektorat pri inšpekcijskem nadzoru v vrtcu zahteval zdravstveno dokumentacijo otrok (cepilni statusi in dokazila). Prosilca zanima tudi, ali je to dopustno brez obveščanja staršev.

Na podlagi informacij IP v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Splošne uredbe (EU) o varstvu podatkov (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posreduje neobvezujoče mnenje v zvezi z vprašanji. Pojasnjujejo še, da se IP lahko dokončno opredeljuje do konkretnih primerov obdelav osebnih podatkov le v nadzornih postopkih.

Če je to potrebno za izvedbo konkretnega inšpekcijskega nadzora iz pristojnosti Zdravstvenega inšpektorata RS, se lahko inšpektorat v vrtcu seznani tudi s podatki oziroma dokumenti v zvezi s cepilnim statusom vrtčevskih otrok.

Proaktivno obveščanje o seznanitvi ni obvezno niti s strani vrtca niti s strani inšpektorata. Starši se lahko na njihovo zahtevo seznanijo z informacijami o uporabnikih osebnih podatkov na podlagi 15. člena Splošne uredbe o varstvu podatkov.

O b r a z l o ž i t e v:

Zdravstveni inšpektorat RS ima zakonsko podlago – v smislu (g) in (i) točke drugega odstavka 9. člena Splošne uredbe ter (c) in (e) točke prvega odstavka 6. člena Splošne uredbe – za seznanitev z osebnimi podatki vrtčevskih otrok in njihovih staršev (npr. na način vpogleda, pridobitve reprodukcij, začasnega prevzema originalne dokumentacije) zlasti v naslednjih zakonih:

• v Zakonu o zdravstveni inšpekciji (ZZdrI) v 13. členu;
• v Zakonu o inšpekcijskem nadzoru (ZIN) v 19. členu;
• v Zakonu o prekrških (ZP-1) v četrtem odstavku 45. člena in
• v Zakonu o splošnem upravnem postopku (ZUP) v 34.a členu.

Pogoj je, da gre za izvajanje inšpekcijskega ali prekrškovnega postopka iz zakonske pristojnosti inšpektorata, osebni podatki pa so potrebni za vodenje postopka ali/in za odločanje. Pri tem je treba upoštevati tudi načelo najmanjšega obsega podatkov iz 5. člena Splošne uredbe.

Zgornje podlage lahko veljajo tudi za zdravstvene osebne podatke.

IP ni pristojen presojati, ali so v konkretnem nadzoru zahtevani osebni podatki res potrebni za izvedbo nadzora s strani inšpektorata. Prav tako ni pristojen za inšpekcijski nadzor nad postopkom inšpekcijskega nadzora, ki ga opravlja drug inšpekcijski organ pri nekem zavezancu, npr. v vrtcu.

V tem mnenju se primeroma sklicujejo tudi na naslednji mnenji, ki sta bili izdani s strani IP:

• https://www.ip-rs.si/mnenja-gdpr/posredovanje-op-u%C4%8Dencev-in%C5%A1pekcijski-slu%C5%BEbi in
• https://www.ip-rs.si/mnenja-gdpr/razkritje-osebnih-podatkov-o-pacientih-zirs.

Glede proaktivnega obveščanja posameznikov ali njihovih zakonitih zastopnikov Splošna uredba, ZVOP-2, zgornji zakoni ter Zakon o vrtcih (ZVrt) ne določajo obveznosti niti za vrtec niti za inšpektorat. Vsak posameznik se lahko na zahtevo seznani z informacijami o zunanjih uporabnikih njegovih osebnih podatkov, in sicer na podlagi 15. člena Splošne uredbe, ki ureja pravico do seznanitve z lastnimi osebnimi podatki. Pojasnila o tem in vzorec zahteve lahko najdejo na spletni strani IP. Velja tudi obrnjeno, torej da se lahko posameznik pri uporabniku - upravljavcu seznani z virom osebnih podatkov, ki se nanašajo nanj. Opozarjajo še, da se v skladu z (9) točko 4. člena Splošne uredbe javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike.

Celotno mnenje je na voljo TUKAJ.