Ali lahko ravnatelj vpogleda v rezultate opravljenega testiranja dijakov?

Informacijski pooblaščenec je tako na podlagi zaprosila oblikoval mnenje samega vpogleda v rezultat opravljenega hitrega testa in same možnosti zlorab s strani dijakov.

Sladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov  ter 2. členom Zakona o informacijskem pooblaščencu so oblikovali neobvezno mnenje v zvezi z vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

Za vsako obdelavo osebnih podatkov mora imeti upravljavec zakonito in ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe, v primeru obdelave posebnih vrst osebnih podatkov, med katere sodijo tudi zdravstveni podatki, pa mora bili izpolnjen še eden izmed pogojev iz člena 9(2) Splošne uredbe.

V času, ko se soočamo s širjenjem okužb z virusom SARS-CoV-2 in je ogroženo tako zdravje posameznika kot javno zdravje, lahko posebne okoliščine terjajo ukrepe, ki posegajo tudi na področje obdelave zdravstvenih podatkov. Ti ukrepi so lahko utemeljeni zaradi zaščite življenjskih interesov posameznikov, saj se uvodna izjava 46 Splošne uredbe izrecno sklicuje na obvladovanje epidemije, ali zaradi javnega interesa na področju javnega zdravja (člen 9(2) Splošne uredbe), če je to predpisano z nacionalno zakonodajo. IP pa poudarja, da morajo biti vsi ukrepi, namenjeni preprečevanju širjenja bolezni Covid-19, prilagojeni glede na konkretna prepoznana tveganja v posameznih situacijah in okoljih ter da je treba vedno izbrati tisti ukrep, ki najmanj poseže v pravice posameznika glede na zasledovani zakoniti cilj.

Presojo obsega, smiselnosti in nujnosti ukrepov, ki lahko vključujejo tudi obdelavo podatkov o zdravju, mora izvesti zdravstvena stroka (zlasti NIJZ). To pomeni, da morajo pristojni v sodelovanju z zdravstveno stroko od primera do primera presojati, kateri podatki so potrebni za zaščito življenjskih interesov ljudi ali v zvezi z zagotavljanjem zdravja in varstva pri delu ali na drugih pravnih podlagah. V primeru obdelave osebnih podatkov na ustrezni pravni podlagi mora upravljavec vedno upoštevati tudi vsa načela v zvezi z varstvom podatkov ter druge obveznosti, ki jih predpisuje Splošna uredba  (informiranje posameznikov, rok hrambe, varnost podatkov, skrb za točnost in ažurnost podatkov itn.).

Vir: mnenje informacijskega pooblaščenca številka 07120-1/2021/155