Právní průvodce COVID-19: Otázky ochrany soukromí

23 Mar 2020

Naposledy aktualizováno 23. března 2020, 23:15

Jaké informace mohou zaměstnavatelé zpracovávat údaje o zaměstnancích v souvislosti o COVID-19?

Informace týkající se např. jejich zdravotního stavu z hlediska symptomů viru COVID-19 nebo kontaktu zaměstnanců či členů jejich domácnosti s nakaženými osobami, jsou osobními údaji ve smyslu GDPR, a je proto třeba zajistit jejich odpovídající ochranu a zákonnost zpracování. Vzhledem k tomu, že se zpravidla bude jednat o údaje týkající se zdravotního stavu subjektů údajů, bude se zároveň jednat o tzv. zvláštní kategorie osobních údajů dle článku 9 odst. 1 GDPR.

Podle Ministerstva práce a sociálních věcí může zaměstnavatel především vyžadovat informace o tom, zda zaměstnanec nebo jeho nejbližší nenavštívil(i) exponované oblasti nebo zda neprojevují příznaky nemoci. Zaměstnavatel by měl tyto informace vyžadovat pouze pro nezbytné účely – zejména např. nařízení práce z domova a ochrany ostatních zaměstnanců. Ačkoli je zaměstnavatel oprávněn v některých případech tyto údaje od svých zaměstnanců požadovat a zpracovávat, neměl by je detailně zaznamenávat a vést detailní spisy o vývoji zdravotního stavu zaměstnanců. V případě pochybností by měl zaměstnavatel (správce) využít jiná vhodná opatření, např. dohodnout se se zaměstnancem na práci z domova.

Aktuální stanovisko EDPB rovněž potvrdilo, že pro takové zpracování není nutný souhlas subjektu údajů, jelikož se zpravidla bude jednat o zpracování osobních údajů nezbytné z důvodu veřejného zájmu v oblasti veřejného zdraví (čl. 9 odst. 2 písm. i) GDPR) nebo za účelem ochrany životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby (čl. 9 odst. 2 písm. c) GDPR).

Dle vyjádření ÚOOÚ z 20. 3. 2020 je zaměstnavatel zároveň oprávněn zpracovávat osobní údaje, jestliže je to nutné pro informování zaměstnanců o riziku nákazy, zejména pokud se na pracovišti vyskytovala nakažená osoba. V těchto případech je zaměstnavatel oprávněn konkrétní osobu identifikovat, nicméně pouze v rozsahu nezbytném pro splnění účelu, tedy ochrany zdraví. Vždy je nutné dbát na ochranu důstojnosti a integrity dané osoby.


Jaké informace mohou zpracovávat veřejné orgány?

Veřejné orgány by zejména měly dbát na to, aby nezveřejnily identitu dotřených osob, stejně jako informace, které by mohly vést k určení identity těchto osob.

ÚOOÚ ve svém vyjádření z 13. 3. 2020 upozornil, že zpracování prováděné orgány veřejného zdraví, tj. hygienickými stanicemi či ministerstvy, je založeno na právním základě plnění zákonných povinností, zejména stanovených v zákoně č. 258/2000 Sb., o ochraně veřejného zdraví. Na tomto základě je možné založit také zpracování osobních údajů nutné pro účely přijímání a provádění vhodných opatření pro omezení šíření nakažlivé nemoci, a to včetně případného rozesílání případných varovných SMS zpráv. Dle ÚOOÚ jsou dotčené osoby zároveň povinny sdělit příslušným orgánům veřejného zdraví na jejich výzvu informace důležité pro epidemiologická šetření.

Pro úplnost připomínáme, že pro zdravotnická zařízení se režim nemění a jedná se o standardní zdravotní záznamy.


Jak mohou operátoři či stát informovat občany o vývoji situace?

Obvykle by se tak mělo dít na anonymní bázi, kdy stát předá pokyn mobilním operátorům ke kontaktování jejich zákazníků. Operátoři pak mohou zákazníky kontaktovat v rámci běžné komunikace operátor – zákazník. Z hlediska ochrany osobních údajů se tak stále jedná o zpracování na základě plnění smluvních povinností, popř. oprávněného zájmu ze strany mobilních operátorů.

V případě, že jsou zpracovávány lokalizační údaje (např. ze strany operátorů), měl by správce dle EDPB v souladu s ePrivacy směrnicí takové údaje zpracovávat primárně v anonymizované podobě. Zpracovávat lokalizační údaje v neanonymizované podobě je možné pouze na základě specifických zákonných požadavků a za předpokladu dostatečných záruk pro subjekt údajů. V České republice je zpracování lokalizačních údajů upraveno v zákoně č. 127/2005 Sb., o elektronických komunikacích.

Dle ÚOOÚ jsou orgány veřejného zdraví oprávněny výše uvedené lokalizační údaje po operátorech požadovat, zejména za účelem zjištění ohniska nákazy. Dotčené osoby však musí být o takovém zpracování řádně informovány. Trasování jednotlivých osob je (při splnění informační povinnosti) dočasně po dobu nouzového stavu umožněno usnesením vlády, což je dle vyjádření ÚOOÚ v souladu s platnou legislativou a pravidly GDPR.


Ostatní články z našeho Právního průvodce:

Právní průvodce COVID-19


Informace zde obsažené nepředstavují právní poradenství a nelze na ně spoléhat bez konzultace s právním zástupcem.