COVID-19 a ochrana osobných údajov
Opatrenia proti šíreniu ochorenia COVID-19 prinášajú podnikom a organizáciám nové povinnosti, pri ktorých spracúvajú nové informácie osobnej povahy o svojich zamestnancoch alebo aj iných osobách. Okrem toho mnohí zamestnanci pracujú z domu, kde je vyššie riziko úniku spracúvaných dát.
Na ochranu svojich zamestnancov, zákazníkov alebo aj iných osôb, mnohí zamestnávatelia získavajú od svojich zamestnancov (či už povinne alebo dobrovoľne) informácie o zdravotnom stave. Zväčša nahlasujú informácie o svojom zdravotnom stave, či majú alebo môžu mať nejaké príznaky ochorenia, či sa mohli stretnúť s „nakazenou“ alebo potenciálne nakazenou fyzickou osobou, ak absolvovali test na COVID-19, tak aké sú jeho výsledky a pod.
Nahlasovanie citlivých a iných informácii spojených so šírením ochorenia COVID-19 je tiež prejavom vzájomnej spoločenskej zodpovednosti.
Na základe prijatých opatrení môžu organizácie merať telesná teplota osôb pri vstupe do prevádzky (v prípade nemocníc je meranie teploty povinné). Aj tento údaj je údajom o zdravotnom stave. Organizácie teda budú spracúvať nielen zdravotné údaje svojich zamestnancov ale aj iných osôb.
Údaje týkajúce sa zdravia zamestnanca a akékoľvek informácie, z ktorých možno odvodiť informácie o zdravotnom stave fyzickej osoby, spadajú do osobitnej kategórie osobných údajov, tzv. citlivých údajov. Práve tieto citlivé údaje sú alebo budú novými informáciami, ktoré zamestnávatelia alebo všeobecne organizácie spracúvajú alebo budú spracúvať. Ich spracúvanie si vyžaduje osobitnú ochranu, keďže by mohlo predstavovať významné riziká pre základné práva a slobody dotknutých fyzických osôb.
Spracúvajte citlivé dáta zákonným spôsobom
Pre zákonnosť spracúvania zdravotných údajov platí, že okrem naplnenia niektorého z právnych základov, ktoré GDPR predpokladá, je potrebné tiež splniť niektorú z výnimiek zo zákazu spracúvania týchto dát. Každá dotknutá osoba, ktorej osobné údaje spojené s COVID-19 má organizácia spracúvať, musí dostať transparentné, ľahko prístupné a zrozumiteľné informácie o podmienkach spracúvania týchto údajov, so všetkými náležitosťami, ktoré GDPR vymedzuje.
Čo sa týka určenia vhodného právneho základu, najčastejšie budú spoločnočnosti siahať po
- výkone oprávneného záujmu, pričom musia najprv vyhodnotiť či jeho záujmy prevažujú nad záujmami alebo základnými právami a slobodami dotknutej osoby a splniť ďalšie podmienky pre vyhodnotenie použiteľnosti tohto právneho základu;
- plnení úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci, ak je to určené v právnom poriadku SR;
- plnení zákonnej povinnosti, ak príslušné právne predpisy prikazujú povinné spracúvanie citlivých dát zamestnancov alebo iných osôb;
- plnení zmluvnej povinnosti, ak napríklad je zamestnávateľ povinný aj v zmysle zmluvy zabezpečiť bezpečnosť a ochranu zdravia zamestnancov a na to aby ju zabezpečil, je zamestnanec povinný mu citlivé údaje poskytnúť;
- ochrane životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby.
- verejného záujmu v oblasti verejného zdravia ako je ochrana proti závažným cezhraničným ohrozeniam zdravia;
- plnenia povinností podľa pracovného práva;
- ochrany životne dôležitých záujmov dotknutej alebo inej fyzickej osoby;
O aké opatrenia alebo zákony sa môžu zamestnávatelia oprieť?
Slovenskí zamestnávatelia ako aj ostatné organizácie sa môžu pri stanovovaní vhodného právneho základu a príslušnej výnimky zo zákazu spracúvania citlivých dát oprieť najmä o tieto zákony.
- Zákon o civilnej ochrane obyvateľstva, na základe ktorého musí byť vydané konkrétne opatrenie a Zákon o ochrane, podpore a rozvoji verejného zdravia (napr. opatrenie Úradu verejného zdravotníctva o meraní telenej teploty, opatrenie o povinnej 14-dňovej karanténe u osôb, ktoré prišli zo zahraničia, prípadne ďalšie opatrenia[1]).
- Zákon o bezpečnosti a ochrany zdravia pri práci, na základe ktorého je zamestnávateľ povinný napríklad posudzovať riziko nákazy na pracovisku, a v prípade potreby vykonať vhodné opatrenia na zabezpečenie ochrany zdravia zamestnancov.
- Zákonník práce, na základe ktorého je zamestnávateľ povinný napríklad robiť opatrenia v záujme ochrany života a zdravia zamestnancov pri práci; alebo je povinný svojim zamestnancom zabezpečovať také pracovné podmienky, aby mohli riadne plniť svoje pracovné úlohy bez ohrozenia života, zdravia a majetku.
Zamestnávatelia môžu spracúvať nie len údaje o svojich zamestnancoch, ale môžu prísť do kontaktu aj s osobnými údajmi rodinných príslušníkov svojich zamestnancov alebo iných osôb. Tieto informácie zamestnávateľom nahlasujú zväčša priamo ich zamestnanci, a teda zamestnávateľ musí zabezpečiť, aby aj osoby, ktorých osobné údaje získava od svojich zamestnancov, dostali informáciu, za akých podmienok bude ich osobné údaje spracúvať, najmä na aké účely, čo ho k tomu oprávňuje, ako dlho ich bude spracúvať a ďalšie povinné informácie.
Každá dotknutá osoba, ktorej osobné údaje spojené s COVID-19 má organizácia spracúvať, musí dostať transparentné, ľahko prístupné a zrozumiteľné informácie o podmienkach spracúvania týchto údajov so všetkými náležitosťami, ktoré GDPR vymedzuje. Zamestnávateľ je povinný poskytnúť dotknutej osobe informácie o podmienkach takéhoto spracúvania v súlade s článkom 13 alebo 14 GDPR.
Dáta treba minimalizovať a zhromažďovať iba toľko, koľko je nevyhnutné na naplnenie sledovaného účelu zamestnávateľom
Zamestnávatelia sú povinní vyžadovať zdravotné informácie iba v rozsahu, v akom to vnútroštátne právne predpisy umožňujú a prísne dodržiavať zásadu minimalizácie spracúvaných dát.
Príklad: Ak na účel prevencie a ochrany zdravia a bezpečnosti zamestnancov z dôvodu pandémie COVID-19 informuje zamestnávateľ ostatných zamestnancov, že ich kolega je nakazený koronavírusom, alebo že tu existuje dôvodné podozrenie z možného nakazenia, nie je oprávnený zverejňovať ďalšie podrobnosti o jeho zdravotnom stave, ktoré nie sú nevyhnutné na naplnenie uvedeného účelu.
Zamestnávatelia v súčasnosti často žiadajú svojich zamestnancov, aby vyplňovali pravidelne podrobné dotazníky týkajúce sa ich zdravotného stavu a/alebo stavu ich rodinných príslušníkov. Takéto rozsiahle spracúvanie dát však nemusí byť v poriadku a vo väčšine prípadov môže byť konštatované, že zamestnávateľ porušil zásadu minimalizácie rozsahu spracúvaných dát o svojich zamestnancoch, prípadne iných osobách. Zväčša totiž platí pravidlo, že „ak sa niektoré opatrenie zdá prehnané, pravdepodobne to tak aj je, a ak viem použiť miernejšie opatrenie na dosiahnutie rovnakého výsledku, použijem ho.“
Home office a bezpečnosť spracúvaných dát
So zabezpečením ochrany zdravia zamestnancov a iných osôb v rámci spoločenskej zodpovednosti súvisí aj umožnenie zamestnancom vykonávať prácu „z domu“, tzv. home office.
Zamestnávateľ je aj v tomto prípade povinný zabezpečiť také technické a organizačné opatrenia, aby bola zabezpečená bezpečnosť spracúvaných dát v súlade s GDPR.
Pri práci na home office sa môžu ľahko dostať k citlivým údajom aj iné osoby, prípadne môže dôjsť k bezpečnostnému incidentu, nakoľko bezpečnosť domácej siete už zamestnávateľ nevie ovplyvniť.
Je dôležité prijať také opatrenia, plne rešpektujúc zásadu dôvernosti, ktoré zabezpečia, aby osobné údaje neboli sprístupnené neoprávneným subjektom. Tieto opatrenia je potrebné náležite zdokumentovať a informovať o nich všetky zainteresované strany.
Týka sa to najmä aktualizovania bezpečnostných politík, nakoľko umožnenie zamestnancom pracovať z domu je často novým opatrením, a zamestnávatelia bezpečnosť spojenú s takýmto spôsobom vykonávania pracovnej činnosti doteraz nemuseli riešiť.
Predaj a poskytovanie služieb online prináša aj nový rozsah spracúvaných osobných údajov
Prijaté karanténne opatrenia a uzatvorenie mnohých prevádzok prináša so sebou aj nový rozsah spracúvaných osobných údajov, ktoré doteraz organizácie nespracúvali.
Mnoho podnikov prešlo na online predaj (e-shop), predaj na základe telefonickej objednávky, donášku svojich tovarov či zverejňovanie rôznych videí ako poskytovanie služby. Tieto nové procesy pre podniky nevyhnutne znamenajú aj získavanie a spracúvanie ďalších dát ako meno a priezvisko zákazníka, jeho adresu, históriu objednávok, registráciu v online obchode alebo aj fotografie a videá svojich zamestnancov, ktoré sú zverejňované.
Aj tieto osobné údaje musia byť spracúvané zákonne, preto je potrebné, aby sa podniky zamerali aj na zosúladenie týchto procesov s GDPR.
Ak sa predpokladá, že rozsah citlivých dát bude veľký
Najmä spoločnosti zamestnávajúce veľa osôb, alebo prevádzky, ktoré budú musieť merať teplotu veľkému množstvu osôb, by mali zvážiť vykonanie posúdenia vplyvu na ochranu týchto citlivých údajov, ktoré budú musieť v dôsledku opatrení spojených s COVID-19 pravdepodobne zhromažďovať vo veľkom rozsahu, tzv. DPIA analýzu. Spracúvanie citlivých dát vo veľkom rozsahu pravdepodobne vždy povedie k vysokému riziku pre práva a slobody dotknutých osôb. Zoznam spracovateľských operácii, ktoré vždy podliehajú posúdeniu vplyvu, možno nájsť aj na webovej stránke Úradu na ochranu osobných údajov SR[2].
Cieľom DPIA analýzy je najmä zistiť, aké môžu byť riziká takéhoto spracúvania, a čo musí spoločnosť spraviť, aby tieto riziká zmiernila, a tiež aké zmeny musia spoločnosti zaviesť, aby všetky ich vnútorné procesy a politiky vzťahujúce sa k spracúvaniu osobných údajov v spoločnosti boli právne konformné a dostatočne reagovali na zmeny, ktoré súvisia so spracúvaním nových dát, aby bolo ich spracúvanie v súlade s GDPR a zabezpečenie súladu vedeli spoločnosti aj preukázať.
Okrem toho je možné, že vzhľadom na spracúvanie citlivých dát vo veľkom rozsahu alebo pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, budú musieť organizácie vymenovať povinne aj zodpovednú osobu (data protection officer).
Aké zmeny môže nové spracúvanie spôsobiť a nad čím sa treba zamyslieť?
- Informovanie dotknutých osôb o tom, aké nové osobné údaje bude organizácia spracúvať a akým spôsobom a ako ich bude chrániť;
- Bezpečnostné opatrenia na ochranu dát, najmä v dôsledku spracúvania osobných údajov „z domu“;
- Poučenia oprávnených osôb, ktoré tieto nové dáta spracúvajú o postupoch pri ich spracúvaní;
- Záznamy o spracovateľských činnostiach – zaznamenať všetky nové účely a určiť podmienky spracúvania;
- Sprostredkovateľské zmluvy, t.j. zmluvy o spracúvaní osobných údajov sprostredkovateľmi.
seniorný právny expert
831 04 Bratislava
Tel: +421 2 32 609 451
e-mail: sblahutova@semancin.sk
______________________________
[1] K dispozici >>> tu.