Právní průvodce COVID-19: Otázky ochrany soukromí

6 Nov 2020

Naposledy aktualizováno: 6. listopadu 2020, 09:00

Jaké údaje o zaměstnancích mohou zaměstnavatelé zpracovávat v souvislosti o COVID-19?

Informace týkající se např. zdravotního stavu z hlediska symptomů viru COVID-19 nebo kontaktu zaměstnanců či členů jejich domácnosti s nakaženými osobami, jsou osobními údaji ve smyslu GDPR, a je proto třeba zajistit jejich odpovídající ochranu a zákonnost zpracování. Vzhledem k tomu, že se zpravidla bude jednat o údaje týkající se zdravotního stavu subjektů údajů, bude se zároveň jednat o tzv. zvláštní kategorie osobních údajů dle článku 9 odst. 1 GDPR.

Podle Ministerstva práce a sociálních věcí může zaměstnavatel především vyžadovat informace o tom, zda zaměstnanec nebo jeho nejbližší nenavštívil(i) exponované oblasti nebo zda neprojevují příznaky nemoci. Zaměstnavatel by měl tyto informace vyžadovat pouze pro nezbytné účely – zejména např. pro nařízení práce z domova a ochranu ostatních zaměstnanců. Ačkoli je zaměstnavatel oprávněn v některých případech tyto údaje od svých zaměstnanců požadovat a zpracovávat, neměl by je detailně zaznamenávat a vést detailní spisy o vývoji zdravotního stavu zaměstnanců. V případě pochybností by měl zaměstnavatel (správce) využít jiná vhodná opatření, např. dohodnout se se zaměstnancem na práci z domova.

Aktuální stanovisko EDPB rovněž potvrdilo, že pro takové zpracování není nutný souhlas subjektu údajů, jelikož se zpravidla bude jednat o zpracování osobních údajů nezbytné z důvodu veřejného zájmu v oblasti veřejného zdraví (čl. 9 odst. 2 písm. i) GDPR) nebo za účelem ochrany životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby (čl. 9 odst. 2 písm. c) GDPR).

Dle vyjádření ÚOOÚ z 20. 3. 2020 je zaměstnavatel zároveň oprávněn zpracovávat osobní údaje, jestliže je to nutné pro informování zaměstnanců o riziku nákazy, zejména pokud se na pracovišti vyskytovala nakažená osoba. V těchto případech je zaměstnavatel oprávněn konkrétní osobu identifikovat, nicméně pouze v rozsahu nezbytném pro splnění účelu, tedy ochrany zdraví. Vždy je nutné dbát na ochranu důstojnosti a integrity dané osoby.

ÚOOÚ se dne 12. 5. 2020 vyjádřil také k možnosti zaměstnavatele měřit tělesnou teplotu zaměstnanců a dalších osob při vstupu na pracoviště. Dle ÚOOÚ není zpracování tělesné teploty povinností, a to ani v době nouzového stavu, avšak vzhledem k hygienickým a protiinfekčním opatřením je množné toto zpracování považovat za oprávněný zájem zaměstnavatele ve smyslu GDPR. ÚOOÚ dále zdůrazňuje, že takováto opatření, která lze v období mimořádné situace považovat za nezbytná, pozbydou návratem k normálnímu stavu důvodnosti a k jejich znovuzavedení lze přistoupit pouze v případě opakovaného zhoršení situace.


Jaké informace mohou zpracovávat veřejné orgány?

Veřejné orgány by zejména měly dbát na to, aby nezveřejnily identitu dotčených osob, stejně jako informace, které by mohly vést k určení identity těchto osob.

ÚOOÚ ve svém vyjádření z 13. 3. 2020 upozornil, že zpracování prováděné orgány veřejného zdraví, tj. hygienickými stanicemi či ministerstvy, je založeno na právním základě plnění zákonných povinností, zejména stanovených v zákoně č. 258/2000 Sb., o ochraně veřejného zdraví. Na tomto základě je možné založit také zpracování osobních údajů nutné pro účely přijímání a provádění vhodných opatření pro omezení šíření nakažlivé nemoci, a to včetně případného rozesílání případných varovných SMS zpráv. Dle ÚOOÚ jsou dotčené osoby zároveň povinny sdělit příslušným orgánům veřejného zdraví na jejich výzvu informace důležité pro epidemiologická šetření.

Pro úplnost připomínáme, že pro zdravotnická zařízení se režim nemění a jedná se o standardní zdravotní záznamy.

ÚOOÚ se dne 2. 4. 2020 mimo jiné vyjádřil také ke zpracování osobních údajů veřejnými orgány v rámci projektu chytré karantény. Zpracovávání údajů veřejnými orgány obecně považuje za postup při výkonu veřejné moci ve veřejném zájmu dle čl. 6 odst. 1 písm. e) GDPR, při plnění konkrétních úkolů pak postupují státní úřady dle zvláštních zákonů např. zákona č. 258/2020 Sb., o ochraně veřejného zdraví. Na základě tohoto zákona mohou úřady, v mezích mimořádných opatření a při dodržení zásad ochrany údajů, ukládat v nezbytně nutném rozsahu a na nezbytně nutnou dobu postupy a povinnosti obsahující zpracování údajů.


Jak mohou operátoři či stát informovat občany o vývoji situace?

Obvykle by se tak mělo dít na anonymní bázi, kdy stát předá pokyn mobilním operátorům ke kontaktování jejich zákazníků. Operátoři pak mohou zákazníky kontaktovat v rámci běžné komunikace operátor – zákazník. Z hlediska ochrany osobních údajů se tak stále jedná o zpracování na základě plnění smluvních povinností, popř. oprávněného zájmu ze strany mobilních operátorů. Může se však také jednat o zpracování údajů nezbytné pro splnění úkolu ve veřejném zájmu dle čl. 6 odst. 1 písm. e) GDPR, jak uvádí ÚOOÚ ve svém vyjádření ze dne 2. 4. 2020. Soukromé subjekty (např. operátoři) pak postupují na základě výzvy státních orgánů v mezích konkrétního mimořádného opatření.

EDPB dne 21. 4. 2020 vydal pokyny k užívání lokalizačních údajů a nástrojů na trasování kontaktů. EDPB v souladu s ePrivacy směrnicí uvádí, že správce by měl takové údaje zpracovávat primárně v anonymizované podobě. Zpracovávat lokalizační údaje v neanonymizované podobě je možné pouze na základě specifických zákonných požadavků a za předpokladu dostatečných záruk pro subjekt údajů. V České republice je zpracování lokalizačních údajů upraveno v zákoně č. 127/2005 Sb., o elektronických komunikacích. Při používání nástrojů na trasování kontaktů zdůrazňuje EDPB zejména nutnost dodržování principu minimalizace dat a ochrany údajů.

Dle ÚOOÚ jsou orgány veřejného zdraví oprávněny výše uvedené lokalizační údaje po operátorech požadovat, zejména za účelem zjištění ohniska nákazy. Dotčené osoby však musí být o takovém zpracování řádně informovány. Trasování jednotlivých osob je (při splnění informační povinnosti) dočasně po dobu nouzového stavu umožněno usnesením vlády, což je dle vyjádření ÚOOÚ v souladu s platnou legislativou a pravidly GDPR.