8 otázok a odpovedí: celoplošné testovanie a ochrana osobných údajov

Na Slovensku sa pristupuje k celoplošnému testovaniu v súvislosti s COVID-19. Z hľadiska organizácie ide o náročnú celoštátnu operáciu, ktorá je prirovnávaná k voľbám (o osobných údajoch a voľbách si môžete prečítať náš článok GDPR a voľby). Z hľadiska GDPR testovanie je operáciou, kedy spracúvanie osobných údajov vyžaduje prípravu – technickú aj organizačnú.

Aktualizované 02.11.2020 – Doplnené informácie v článku sa týkajú otázok zamestnancov, ktorý vstupujú na pracoviská a do iných priestorov zamestnávateľov.

1. Kto je prevádzkovateľom?

Kto je prevádzkovateľom ešte nie je ani podľa Úradu na ochranu osobných údajov známe (k 23.10.2020). Testovanie zabezpečuje organizačne Ministerstvo vnútra SR, avšak kto bude prevádzkovateľom nie je známe. Do úvahy prichádza aj Úrad verejného zdravotníctva SR.

2. Aké informácie treba poskytnúť občanom?

Štandardne, ako pri každom inom spracúvaní osobných údajov – občania by mali vedieť informácie v zmysle čl. 13 GDPR Nariadenia / § 18 Zákona o ochrane osobných údajov:

  • kto je prevádzkovateľom a ako ho možno kontaktovať,
  • účel / účely spracúvania osobných údajov,
  • príjemcovia osobných údajov,
  • doba uchovávania osobných údajov,
  • práva dotknutých osôb.

Plnenie informačnej povinnosti – teda informovať dotknuté osoby o tom, ako sú ich osobné údaje spracúvané, má zabezpečiť prevádzkovateľ.

3. Aké osobné údaje sa spracúvajú?

Prevádzkovateľ bude spracúvať osobné údaje potrebné na identifikáciu dotknutých osôb, ako aj údaj o výsledku testu – to bude údaj o zdravotnom stave. Preto sa spracúvajú aj osobitné kategórie osobných údajov, medzi ktoré údaj o zdravotnom stave patrí.

Podľa informácií potvrdených v aj v televíznej relácii sa budú občania preukazovať občianskym preukazom a kartičkou poistenca – základné identifikačné údaje. Testovanému bude tiež pridelené číslo, ktoré je osobným údajom.1 Na konci dostane občan informáciu o výsledku testovania – údaj o zdravotnom stave.

Tu by sme ešte nadviazali na bezpečnostný incident v štátnej aplikácii, keď boli osobné údaje občanov zneužité. Veríme, že prevádzkovateľ bude v ďalšom období osobné údaje dostatočne chrániť.

4. Môžu byť takéto osobné údaje spracúvané a je testovanie zákonné?

V súčasnosti sa nachádzame v núdzovom stave a GDPR aj Zákon o ochrane osobných údajov počítajú s tým, že v osobitných prípadoch možno spracúvať osobné údaje:

  • ak je nevyhnutné, aby sa ochránili životne dôležité záujmy,
  • ak je nevyhnutné splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejne moci zverenej prevádzkovateľovi.

Spracúvanie môže byť zákonné – je potrebné vybrať správny právny základ a odôvodniť toto rozhodnutie. Je potrebné splniť podmienky čl. 6 GDPR Nariadenia, ako aj čl. 9 GDPR Nariadenia.

5. Komu môžu byť osobné údaje poskytnuté?

Osobné údaje môžu byť spracúvané a poskytnuté výlučne vopred určenými orgánmi. Keďže nie je jasné, kto bude prevádzkovateľom, okruh príjemcov tiež nie je možné určiť. Osobné údaje o účasti na testovaní má k dispozícii obec a mesto, ktoré vedú zoznam osôb, ktoré majú trvalý pobyt v danom mieste. Obec ani mesto však nepotrebujú informáciu o výsledku testovania. Tie potrebuje Úrad verejného zdravotníctva SR – tak ako aj teraz, disponujú informáciami o výsledkoch a kontrolujú napríklad výkon karantény.

Ďalší okruh príjemcov nie je jasný, avšak je nevyhnutné, aby boli osobné údaje poskytnuté len tým orgánom, ktoré ho nevyhnutne potrebujú.

Osobnými údajmi disponujú aj pracovníci, ktorí vykonávajú testovanie. Ako poukázal Úrad na ochranu osobných údajov: „Tiež je nevyhnutné, aby všetky osoby zainteresované do plošného testovania mali presné a konkrétne pokyny o tom, ako majú osobné údaje zbierať, ako s nimi nakladať, ich uchovávať a spracúvať po celú dobu tak, aby zaistili ich bezpečnosť a predišli ich strate alebo prípadnému zneužitiu a tomu, aby sa dostali do dispozície neoprávnenej osoby alebo osôb.“ Za týmto účelom majú osoby, ktoré vykonávajú spracúvanie, dostať pokyny k spracúvaniu osobných údajov.

Bonusové otázky a odpovede pre zamestnávateľov

Aktualizovali sme otázky, či môže zamestnávateľ vyžadovať výsledky testu a potvrdenie o negatívnom teste.

Môže zamestnávateľ vyžadovať výsledky testu?

V zmysle Vyhlášky č. 16, Úradu verejného zdravotníctva SR (ďalej ako „Vyhláška„)2

sa zamestnávateľom nariaďuje zákaz vstup zamestnancov na pracoviská, ktorý má výnimky. Na pracoviská a do iných priestorov zamestnávateľa môže vstúpiť:

  • osoba, ktorá sa preukáže potvrdením o negatívnom výsledku RT-PCR testu (vykonaný od 29.10. do 01.11.) alebo certifikátom vydaným Ministerstvom zudravotníctva SR s negatívnym výsledkom antigénového testu v rámci celoplošného testovania,
  • osoba, ktorá sa preukáže potvrdením o negatívnom výsledku RT-PCR testu (vykonaný od 02.11. do 09.11.),
  • osoba, ktorá prekonala ochorenie COVID-19 a má o jeho prekonaní doklad nie starší ako 3 mesiace,
  • pričom platia v zmysle vyhlášky aj ďalšie výnimky, ktoré sú vo Vyhláške, kde je uvedené aj vzorové potvrdenie o výnimke.

Môže zamestnávateľ vyžadovať potvrdenie o negatívnom teste?

Áno, v zmysle Vyhlášky je zamestnávateľ oprávnený požadovať od zamestnanca predloženie dokladu o preukázaní potvrdenia o negatívnom teste (či už negatívny RT-PCR test z určeného obdobia alebo certifikát o negatívnom výsledku v rámci celoplošného testovania) alebo potvrdenie, že sa na zamestnanca vzťahuje niektorá z výnimiek.

Ak sa zamestnanec nepreukáže negatívnym testom alebo sa nevie preukázať niektorou z výnimiek definovaných Vyhláškou, zamestnávateľ zakáže vstup zamestnancovi na pracovisko.

Takýto postup prikazuje zamestnávateľom priamo Vyhláška Úradu verejného zdravotníctva. Dôvodom je zabezpečenie prevencie pri vykonávaní nevyhnutných opatrení na zaistenie bezpečnosti a ochrany zdravia pri práci, v zmysle § 5 a nasl. zákona č. 124/2006 Z. z. o bezpečnosti a ochrane zdravia pri práci.

Úrad verejného zdravotníctva SR teda „prikazuje“ zamestnávateľom chrániť ich zamestnancom. Tí zamestnanci, ktorí majú pozitívne testy majú byť PN a prináleží im nárok na nemocenské v zmysle platných právnych predpisov.

Zamestnanci, ktorí sa neboli testovať sa môžu so zamestnávateľom dohodnúť na práci z domu, zobrať si dovolenku, dohodnúť sa na neplatenom voľne. A tento postup by mal byť v súlade s pracovnoprávnymi predpismi.

Prevádzkovatelia sú zároveň povinný viditeľne umiestniť oznam o zákaze vstupu a výnimkách zo zákazu vstupu podľa tejto vyhlášky.

Môže zamestnávateľ motivovať zamestnanca benefitmi, aby sa nechal otestovať?

Áno. Ak má zamestnávateľ záujem, aby sa zamestnanci otestovali, môže ich odmeniť. Za týmto účelom však možno spracúvať výlučne osobné údaje na túto spracovateľskú operáciu potrebné a nevyhnutné. Ak je účelom udelenie odmeny za to, že sa zamestnanec otestuje, postačuje, aby zamestnanec preukázal, že bol na testovaní – nie je potrebné ukázať výsledky testu. Zamestnávateľ je povinný zaznamenať spracovateľskú operáciu, definovať účel spracúvania a právny základ, ako aj plniť ostatné povinnosti vyplývajúce z Nariadenia GDPR.

Ak je zamestnanec pozitívny, je zamestnávateľ povinný oznámiť Sociálnej poisťovni jeho PN. Zároveň, zamestnanec nahlasuje osoby, s ktorými bol v styku, čo môže mať ďalšie dopady na zamestnávateľa. Zamestnávateľom však neodporúčame viesť osobitnú evidenciu zamestnancov s výsledkami – pozitívny / negatívny. Tu by mohlo prichádzať k automatizovanému spracúvaniu osobitných kategórií osobných údajov.

Pripravujeme videoškolenia z oblasti GDPR. Pozrite si náš YouTube kanál.

Môže zamestnávateľ merať teplotu na pracovisku?

Zamestnancom je možné, aj podľa vyjadrenia Európskeho dozorného úradníka pre ochranu údajov (ďalej ako „EDPS„), merať teplotu. Ako vyplýva z uspernenia EDPS, základná kontrola telesnej teploty je určená na meranie neautomatizovanými prostriedkami a bez identifikácie dotknutej osoby – také Nariadeniu GDPR nepodlieha. Takto je zametnávateľ oprávnený merať telesnú teplotu.

Ak po kontrolách nasleduje registrácia alebo zdokumentovanie tohto úkonu, prípadne ak je zaznamenaná iným spôsobom, jedná sa o spracúvanie, ktoré GDPR podlieha. V tom prípade musí byť spracúvanie zákonné a v súlade (najmä) s článkami 5 a 10 ods. 2 GDPR Nariadenia. Automatizované kontroly (termálny sken / termokamera) považujeme za automatizovaný rozhodovací proces s významnými účinkami. Možno ich vykonávať, avšak takéto spracúvanie sprevádzajú ďalšie povinnosti v súvislosti s GDPR.

V súvislosti s COVID-19 informujeme zamestnávateľov o GDPR v čase pandémie. Ak potrebujete poradiť s ochranou osobných údajov, poskytujeme komplexné GDPR služby.

GDPR-dokumentacia-securion


  1. Pozn.: V relácii na TA3 sa k téme vyjadrovala JUDr. Lucia Semančínová. 

  2. Celý názov Vyhlášky: Vyhláška verejného zdravotníctva Slovenskej republiky, ktorou sa nariaďujú opatrenia pri ohrození verejného zdravia k režimu vstupu osôb do priestorov prevádzok a priestorov zamestnávateľa, čiastka 12/2020. 

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.