Povinnosti zamestnávateľa z pohľadu GDPR v súvislosti s celoplošným testovaním na covid-19
V súvislosti so situáciou spôsobenou pandémiou ochorenia COVID-19 pristúpila vláda Slovenskej republiky k plošnému testovaniu obyvateľstva, ktoré prebehlo na území celého Slovenska od 31.10.2020 a 1.11.2020. Druhé kolo plošného testovania sa podľa aktuálnych informácií uskutoční 6.11.2020 až 8.11.2020 výlučne v regiónoch so zvýšením výskytom tohto ochorenia.
V súvislosti s plošným testovaním Úrad verejného zdravotníctva Slovenskej republiky (ďalej len „Úrad“) podľa § 5 ods. 4 písm. k) zákona č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon“) z dôvodu prijímania opatrení na predchádzanie šíreniu ochorenia COVID-19, vydal podľa § 59b zákona Vyhlášku č. 16/2020, ktorou nariaďuje podľa § 48 ods. 4 písm. e), s), x) a z) zákona viaceré opatrenia pri ohrození verejného zdravia (ďalej ako „Vyhláška“).
Táto Vyhláška zavádza opatrenia na obdobie od 2.11. do 9.11.2020, ktoré spočívajú v zákaze vstupu do priestorov pre osoby, ktoré nespadajú ani pod jednu z výnimiek stanovených Vyhláškou. Medzi osoby, na ktoré sa vzťahuje výnimka, patria okrem iného osoby, ktoré disponujú negatívnym testom z plošného testovania, resp. negatívnym testom získaným iným zákonom predpokladaným spôsobom. Opatrenia tejto Vyhlášky sú uložené samostatne pre jednotlivé prevádzky a samostatne pre zamestnávateľov.
Z Vyhlášky, okrem iného, vyplýva pre zamestnávateľov povinnosť zabezpečiť, aby do priestorov zamestnávateľa nevstupovali zamestnanci a osoby, na ktoré sa nevzťahuje niektorá z výnimiek. Za účelom zabezpečenia tejto povinnosti Vyhláška oprávňuje zamestnávateľov kontrolovať výsledok testu na ochorenie COVID – 19 vo vzťahu k osobám vstupujúcim do jeho prevádzok.
Keďže kontrola výsledku testov je bezpochyby spojená aj s problematikou osobných údajov, zamestnávatelia v súčasnosti intenzívne riešia otázku ako postupovať, aby na jednej strane ich konanie bolo v súlade s právnymi predpismi v oblasti ochrany osobných údajov, a na druhej, aby zabezpečili dodržanie povinností stanovených Vyhláškou.
Stanovenie správneho účelu spracúvania
V prvom rade je potrebné, aby zamestnávateľ v pozícií prevádzkovateľa osobných údajov definoval vhodný účel spracúvania osobných údajov. Vzhľadom na aktuálnu situáciu by stanovenie účelu spracúvania osobných údajov nemalo zamestnávateľom spôsobovať väčšie ťažkosti. Ako vhodné účely takéhoto spracúvania môžeme uviesť napríklad „Ochrana života a zdravia“, „Plnenie zákonných povinností“ alebo „Bezpečnosť a ochrana osôb a majetku“. Všetky tieto účely je možné považovať za legitímne a adekvátne vo vzťahu k aktuálnej legislatívnej, ako aj spoločenskej situácií.
Definovanie správneho právneho základu spracúvania podľa článku 6 odsek 1 GDPR
Okrem stanovenia správneho účelu, je potrebné upozorniť, že akékoľvek spracúvanie osobných údajov v zmysle GDPR[1] musí byť vykonávané na niektorom z právnych základov uvedených v Článku 6 ods. 1 GDPR.
Pri vyžadovaní negatívneho testu na ochorenie COVID – 19 a spracúvaní osobných údajov o zdraví s tým súvisiacich prichádzajú do úvahy viaceré právne základy podľa článku 6 ods. 1 GDPR. Zamestnávateľ v pozícii prevádzkovateľa si môže vybrať ten, ktorý považuje za najvhodnejší. Môže sa teda jednať napríklad o spracúvanie na základe článku. 6 ods. 1 písm. c) GDPR, teda za účelom plnenia zákonnej povinnosti prevádzkovateľa. Táto povinnosť zamestnávateľa by mohla vychádzať zo samotnej Vyhlášky a to v kombinácií s povinnosťami zamestnávateľa vyplývajúcimi pre neho z rôznych právnych predpisov, napríklad zo Zákonníka práce alebo Zákona o bezpečnosti a ochrane zdravia pri práci. Ďalej do úvahy prichádza i využitie právneho základu vyplývajúceho z článku 6 ods. 1 písmeno e) GDPR, a teda plnenie úlohy realizovanej vo verejnom záujme, ktorý nemusí byť tak konkrétne definovaný ako plnenie zákonnej povinnosti.
Ako najvýhodnejší právny základ pre spracúvanie osobných údajov pri kontrole výsledku testovania hodnotíme spracúvanie založené na oprávnených záujmoch prevádzkovateľa a tretích osôb (článok. 6 ods. 1 písmeno f) GDPR), pretože ochrana pre šírením pandémie COVID - 19 a ochrana verejného zdravia takýto oprávnený záujem bezpochyby predstavuje. Tento právny základ teda nie je jediný, avšak použite tohto právneho základu prináša so sebou viaceré nesporné výhody oproti vyššie uvedeným právnym základom.
Výhodou oproti spracúvaniu na základe právnej povinnosti alebo verejného záujmu je existencia výkladu Úradu na ochranu osobných údajov, ktorý tvrdí, že ustanovenia zákona č. 355/2007 Z. z., ktoré má vyhláška vykonávať, táto v navrhovanom znení nereflektuje.“ S ohľadom na uvedené úrad nateraz zotrváva na svojom stanovisku z 29/10/2020, podľa ktorého „Uznesenia vlády č. 678, aj 693, z pohľadu ochrany osobných údajov, nepovažujeme k dnešnému dňu za dostatočný právny základ na spracúvanie údajov týkajúcich sa zdravia.“[2] Zverejnené názory teda využitie oprávneného záujmu ako vhodného právneho základu môže eliminovať akýkoľvek výkladový spor medzi zamestnávateľom ako prevádzkovateľom osobných údajov a Úradom na ochranu osobných údajov.
Domnievame sa, že oprávnený záujem v podobe ochrany pre šírením pandémie COVID - 19 a ochrana verejného zdravia v tomto prípade jednoznačne prevýši nad individuálnymi právami a oprávnenými záujmami na ochrane súkromia dotknutej osoby, a to predovšetkým z dôvodu závažnosti aktuálnej situácie. Z vyššie uvedených dôvodov preto považujeme využitie oprávneného záujmu zo strany zamestnávateľov ako najbezpečnejší postup. V prípade, ak sa ako zamestnávatelia rozhodnete tento právny základ využiť, nezabudnite na povinnosť vykonať tzv. balančný test.
Aké sú Vaše ďalšie povinnosti?
V súvislosti s kontrolou výsledkov testov by zamestnávateľ mal v prvom rade aktualizovať záznamy o spracovateľských činnostiach. Do predmetnej tabuľky odporúčame pridať príslušný účel spracovania, jeho právny základ, kategóriu dotknutých osôb a ďalšie vyžadované informácie, ako napríklad lehotu na výmaz osobných údajov alebo prijaté bezpečnostné opatrenia.
Okrem toho, zamestnávateľ je povinný zaktualizovať aj svoju privacy policy, ktorou prehľadne informuje dotknuté osoby o spracúvaní jej osobných údajov (v tomto prípade vo vzťahu k svojim zamestnancom aj vo vzťahu k osobám vstupujúcim do priestorov zamestnávateľa). V kontexte informovania dotknutých osôb preto odporúčame pri vstupe do priestorov zverejniť na dostupnom mieste Vyhlášku Úradu[3], ako aj aktualizovanú privacy policy.
V prípade, že si zamestnávateľ zvolí ako právny základ spracúvanie na základe oprávneného záujmu prevádzkovateľa, je nevyhnutné vypracovať test proporcionality s cieľom posúdenia oprávneného záujmu prevádzkovateľa v kontexte spracovateľskej operácie, ktorú vykonáva.
Zamestnávateľ by mal neustále aktualizovať, resp. vyhodnocovať, či aktuálne prijaté bezpečnostné a organizačné opatrenia prevádzkovateľa zodpovedajú charakteru ním spracúvaných údajov, keďže údaj o výsledku testu je údajom o zdraví a zamestnávateľ teda spracúva aj ďalšie osobitné kategórie osobných údajov. V tomto prípade by mal zamestnávateľ podriadiť spracúvané údaje o zdravotnom stave dotknutých osôb do špeciálneho režimu s limitovaným počtom osôb, ktoré majú k údajom prístup, prípadne technicky dôkladnejšie zabezpečiť prístup k nim a minimalizovať dobu uchovávania týchto údajov.
Taktiež odporúčame posúdiť prípadnú povinnosť prevádzkovateľa posúdiť vplyv spracúvania údajov na ochranu údajov podľa Článku 35 GDPR. Prevádzkovateľ je povinný vykonať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov v prípade, ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb. V prípade, ak bude v tomto ohľade vykonávané spracúvanie výlučne nahliadaním do potvrdení o výsledku testu bez ďalšieho zaznamenávania údajov o dotknutej osobe, je možné sa povinnosti vykonania posúdenia vplyvov vyhnúť. Uvedené však bude závisieť od nastavenia konkrétnych postupov zamestnávateľa.
Pre úplnosť je potrebné uviesť, že podľa článku 9 ods. 1 GDPR sa zakazuje spracúvanie osobných údajov, ktoré sa okrem iného týkajú zdravia fyzickej osoby. Avšak, zákaz spracúvania údajov o zdraví sa neaplikuje v prípadoch, ak prevádzkovateľ odôvodní spracúvanie týchto údajov niektorou z výnimiek uvedených v článku 9 ods. 2 GDPR. Využitie výnimky podľa článku 9 ods. 2 písm. b), teda „spracúvanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie alebo právom členského štátu alebo kolektívnou zmluvou podľa práva členského štátu poskytujúcimi primerané záruky ochrany základných práv a záujmov dotknutej osoby“; alebo písm. g) GDPR, teda: „spracúvanie je nevyhnutné z dôvodov významného verejného záujmu na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a stanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby“ sa nám v súčasnej situácii javí ako najprijateľnejšie.
Vyššie uvedené dve výnimky nie sú jediné, ktoré sa môžu na takéto spracúvanie aplikovať. Alternatívne zamestnávateľ využiť aj výnimky stanovené v písmenách h) a j) článku 9 ods. 2 GDPR. Keďže nie je povinnosťou prevádzkovateľa v rámci svojej privacy policy informovať dotknuté osoby o tom, na základe ktorej výnimky prebieha spracúvanie, môžete uvedenú otázku odložiť aj na neskôr.
Čo v prípade tretích osôb, ktoré vstupujú do priestorov zamestnávateľa?
V prípade, že zamestnávateľ nebude vyhotovovať kópie certifikátov o výsledku testov (čo v žiadnom prípade neodporúčame), zastávame názor, že zamestnávateľ ani nebude zhromažďovať, archivovať, alebo inak uchovávať údaje získané kontrolou certifikátu z testovania na ochorenie COVID – 19, ale iba vykoná fyzickú kontrolu výsledku. V danom prípade nemusí teda nahliadnutie do certifikátu predstavovať ani spracúvanie osobných údajov v zmysle GDPR. V praxi to bude znamenať, že ak naozaj zamestnávateľ iba fyzicky skontroluje výsledok testu a nebude vykonávať žiadne ďalšie spracovateľské operácie za účelom získania údajov o zdraví dotknutých osôb pri vstupe do priestorov zamestnávateľa, žiadne ďalšie povinnosti vyplývajúce z predpisov na ochranu osobných údajov mu z takejto operácie nevyplývajú. Ak vyššie uvedené zamestnávateľ nespĺňa, musí postupovať v súlade s povinnosťami vymedzenými vyššie.
Na záver si dovolíme uviesť, že síce dnes nevieme s určitosťou predvídať, aké kroky prijme vláda Slovenskej Republiky na zamedzenie šírenia ochorenia COVID – 19, ani akým spôsobom sa budú meniť povinnosti zamestnávateľov v tejto súvislosti. Čo ale môžeme predpokladať, je, že problematika ochrany osobných údajov v kontexte pandémie a prijatých opatrení bude na vzostupe a bude zamestnávateľom prinášať nové výzvy ako tieto opatrenia zavádzať tak, aby zabezpečil súlad s predpismi na ochranu osobných údajov.
Mgr. Patrik Budke
Mlynskè nivy 10
821 09 Bratislava
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk