Coronavírus a GDPR: zamestnávatelia a osobitné kategórie

V posledných dňoch sa vo veľkom rieši situácia okolo vírusu COVID-19, teda „koronavírusu“. Z pohľadu ochrany osobných údajov a GDPR sa na situáciu možno pozrieť z viacerých uhlov pohľadov:

  • spracúvanie osobných údajov v rámci súkromnoprávnych vzťahov – z pohľadu pracovného práva, obchodného práva, občianskeho práva…
  • spracúvanie osobných údajov v rámci verejnej sféry – opatrenia proti rozšíreniu, získavanie osobných údajov…

Aktualizované 23.10.

V tomto článku sa venujeme práve pracovnému právu – zamestnávateľom a zamestnancom z pohľadu ochrany osobných údajov vrátane odporúčaní, ako sa vysporiadať so spracúvaním údajov a s home-office, ale aj informácie o spracúvaní subjektami verejnej správy.

Všeobecný právny rámec

GDPR Nariadenie a ochrana osobných údajov dáva prevádzkovateľom a sprostredkovateľom v súkromnej, ako aj vo verejnej sfére spracúvať osobné údaje. Legislatíva obsahuje právne základy, ktoré spracúvanie (aj v súvislosti s epidémiou) umožňujú aj bez súhlasu.

Ochrana osobných údajov a GDPR Nariadenie reaguje aj na účely ochrany záujmov zásadných pre životy fyzických osôb. Takéto spracúvanie by sa malo uskutočniť len vtedy, ak sa nemôže zakladať na inom právnom základe. Niektoré typy spracúvania môžu slúžiť na dôležité účely verejných záujmov alebo životne dôležitých záujmov. Tými môžu byť humanitárne účely, vrátane monitorovania epidémií a ich šírenia alebo v núdzových situáciách (prírodné katastrofy).1

Pri určovaní právnych základov možno poukázať na čl. 6 ods. 1 písm. d) Nariadenia GDPR: „spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;…“ Pri opatreniach proti zabráneniu šíreniu alebo k monitorovaniu epidémií je vhodným právnym základom, avšak nemožno vylúčiť ani aplikáciu verejného záujmu (subjektami verejnej správy) alebo oprávneného záujmu. Každý účel spracúvania a určenie právneho základu treba posudzovať vzhľadom na situáciu.

Získanie osobných údajov o tretej osobe

V niektorých prípadoch prichádza aj k spracúvaniu osobných údajov ďalších osôb – osôb, s ktorými sa podozrivý z ochorenia mohol stretnúť, ako aj k ďalším kategóriám osobných údajov. Osobitne treba ako zamestnávateľ alebo iný prevádzkovateľ zobrať na zreteľ informačnú povinnosť2 a definovať, aké informácie sú nevyhnutné a potrebné.

Získavanie údajov o zdravotnom stave

Ak má zamestnávateľ záujem zbierať a získavať informácie  o zdravotnom stave, bude potrebné dodržať aj podmienky určené v čl. 9 Nariadenia GDPR, ktorým sa zakazuje spracúvanie tzv. osobitných kategórií osobných údajov bez splnenia niektorých podmienok. Osobitné kategórie osobných údajov možno spracúvať, ak3:

  • dotknutá osoba vyjadrí výslovný súhlas
  • spracúvanie je nevyhnutné na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby, alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti
  • spracúvanie je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok
  • spracúvanie je nevyhnutné v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany
  • spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas

Medzi údaje o zdravotnom stave možno zaradiť aj údaj o teplote dotknutej osoby, ktorým sa venujeme nižšie.

Zamestnávatelia a spracúvanie osobných údajov v súvislosti s pandémiou

V krajinách, kde je vírus rozšírený najviac (Francúzsko a Taliansko) prijali opatrenia tamojšie DPA (Data protection authorities), ktoré konštatovali, že nie je vhodné, aby zamestnávatelia systematicky zbierali údaje o zdravotnom stave svojich zamestnancov. Tento záver je logický, keďže k tomu sú poverené nemocnice, lekári, úrady verejného zdravia a pod.

Na druhej strane, zamestnanci môžu byť v rámci pracovnoprávneho vzťahu zaviazaní k tomu, aby informovali zamestnávateľa o rizikách týkajúcich sa ich zdravotného stavu. V každom prípade je však potrebné dbať na základné zásady spracúvania osobných údajov a ustanovenia čl. 9 Nariadenia GDPR, ktoré upravuje spracúvanie osobitných kategórií osobných údajov, ku ktorým patria údaje o zdravotnom stave.

Írska DPA sa vyjadrila aj k získavaniu údajov o predchádzajúcich cestách zamestnancov a návštevníkov vstupujúcich do budovy. V rámci Írskeho právneho poriadku majú zamestnávatelia povinnosť chrániť svojich zamestnancov, preto sa v rámci ich jurisdikcie môže zamestnávateľ dopytovať na informácie o predchádzajúcich cestách, prípadne symptómoch.

Získavanie informácií od zamestnanca

Zamestnávateľ je oprávnený od zamestnanca získavať informácie. Zamestnávateľ je povinný zabezpečiť bezpečnosť a ochranu zdravia pri práci, má všeobecnú prevenčnú povinnosť tak, ako aj samotní zamestnanci. Z pohľadu ochrany osobných údajov máme za to, že zamestnávateľ môže a má právo od zamestnanca vyžadovať uvedenie podstatných informácií k plneniu týchto povinností.

Za oprávnené informácie (údaje / osobné údaje) získavané v súvislosti so zabránením šíreniu pandémie alebo za účelom bezpečnosti pracovníkov a ochrany ich zdravia by sa mohli považovať informácie o mieste a čase, kde sa zdržiaval, osobách, s ktorými sa zdržiaval, prípadne o tom, či má symptómy choroby. Účel spracúvania je však potrebné dobre pripraviť a implementovať, pred začatím spracúvania osobných údajov.

Pracovné právo – pracovná cesta a dovolenka (koronavírus GDPR)

Odmietnutie pracovnej cesty

V zmysle uvedených právnych predpisov, ale aj v zmysle zákona č. 124/2006 Z. z. o bezpečnosti a ochrane zdravia pri práci má zamestnanec právo prerokúvať so zamestnávateľom otázky bezpečnosti, ako aj „odmietnuť vykonať prácu alebo opustiť pracovisko a odobrať sa do bezpečia, ak sa dôvodne domnieva, že je bezprostredne a vážne ohrozený jeho život alebo zdravie, alebo život alebo zdravie iných osôb„.4

Zamestnanec je oprávnený odmietnuť pracovnú cestu z objektívnych dôvodov a za objektívne dôvody možno považovať aj COVID-19.

Dovolenka a karanténa vs. home-office

Ak bola schválená zamestnávateľom dovolenka, zamestnávateľ nesmie nútiť zamestnanca, aby túto dovolenku zrušil. Môže však zisťovať, kde zamestnanec dovolenku trávil, aby mohol zamestnávateľ plniť svoju „prevenčnú“ a ochrannú povinnosť. Po návrate z dovolenky (ako sme uviedli vyššie) by mohol od zamestnanca získavať ďalšie informácie o pobyte a dovolenke. Zamestnávateľ však nesmie nariadiť karanténu (tú nariaďujú príslušné orgány štátnej správy).

Z prevenčných dôvodov sa môže so zamestnancom dohodnúť na home-office.

Home-office a primeraná ochrana

V rámci prác z domu môže prichádzať k viacerým rizikám. Ak firma nebola pripravená na prácu zamestnancov z domu pred vypuknutím epidémie, je pravdepodobné, že zanedbáva povinnosti vyplývajúce z GDPR – najmä z pohľadu bezpečnostných opatrení. Prihlasovanie do pracovného zariadenia, vstupy do nezabezpečených sietí, prenášanie fyzických dokumentov pre prácu z domu… Je teda dôležité, aby boli prijaté bezpečnostné opatrenia zo strany zamestnávateľa. A aby ich zamestnanci poznali a dodržiavali.

Všetky operácie so sebou nesú riziká porušenia ochrany osobných údajov. Ako informuje náš Úrad, v zahranicí boli za porušenia udelené pokuty obciam. Odporúčame „oprášiť“ bezpečnostné opatrenia a zamestnancom pripraviť priame pokyny, prípadne opatrenia, ktoré treba dodržiavať ako prevenciu pred porušením osobných údajov.

Článok pokračuje pod videom. Vo videu si môžete pozrieť odporúčania, ako nastaviť home-office tak, aby bolo spracúvanie osobných údajov bezpečné:

Meranie teploty zamestnancom

Podľa EPDS – Európskeho dozorného úradníka pre ochranu údajov je možné zamestnancom merať teplotu. „Základná kontrola telesnej teploty“  je určená iba na meranie telesnej teploty prostredníctvom neautomatizovaných prostriedkov, po ktorej nenasleduje registrácia, dokumentácia alebo iné spracúvanie osobných údajov jednotlivca. Takáto kontrola by v zásade nepodliehala rozsahu pôsobnosti nariadenia.“, vyplýva z usmernenia EPDS.

Ak po kontrolách nasleduje registrácia merania alebo sa komubinuje s identitou dotknutej osoby – zamestnanca alebo vstupujúceho, tieto kontroly sa považujú za súčasť informačného systém. Takéto spracúvanie by však malo byť zákonné – v súlade s Nariadením GDPR – konkrétne s článkami 5 a 10 ods. 2 GDPR. Ďalej, systémy kontroly teploty nemajú byť prepojené s CCTV (kamerovým systémom alebo s iným bezpečnostným systémom).

Overovanie veku pri vstupe do prevádzky 

ÚVZ SR vydalo informácie k umožneniu vstupu len osobám nad 65 rokov v určitých časoch: „S účinnosťou od 15. októbra 2020 do odvolania sa prevádzkovateľom predajní potravín a predajní drogérií nariaďuje umožniť v dňoch pondelok až piatok v čase od 9:00 hod. do 11:00 hod. vstup iba osobám nad 65 rokov.Pre preukázanie veku možno žiadať občiansky preukaz alebo iný dokument potvrdzujúci vek vstupujúceho občana.

Aj Úrad na ochranu osobných údajov uvádza, že obchodné prevádzky vykonávajú kontrolu veku  prostredníctvom fyzického preukázania dokladu s dátumom narodenia, čo nie je automatizovaným spracúvaním osobných údajov. Prevádzky by nemali občanov žiadnym spôsobom registrovať, ani ich vstup dokumentovať v súvislosti s ich osobnými údajmi. Podľa Úradu, takáto kontrola v zásade nepodliehala rozsahu pôsobnosti všeobecného nariadenia o ochrane údajov, keďže neprichádza k automatizovanému spracúvaniu osobných údajov.

Spracúvanie osobných údajov orgánmi verejnej moci

Ako sme uviedli vyššie, aj orgány verejnej moci spracúvajú osobné údaje aj bez súhlasu. Pre tieto orgány môže byť spracúvanie jednoduchšie. Legislatíva obsahuje právne základy, ktoré  umožňujú spracúvanie osobných údajov bez súhlasu.

Čo nás zaujalo, je údajné a pripravované „pokutovanie“ tých, ktorí nedodržia karanténu po dobu 14 dní. To má byť „overované“ štátnymi orgánmi u poskytovateľa telekomunikačných služieb tak, že poskytne polohu koncového mobilného zariadenia. Na uvedené sa vzťahuje ePrivacy smernica, ktorá okrem cookies rieši aj telekomunikácie. U nás bola transponovaná zákonom č. 351/2011 Z. z. o elektronických komunikáciách.

Dovoľujeme si doplniť, že aj podľa vyjadrení predsedníčky EDPB je takéto spracúvanie bez súhlasu zakázané. Ako uvádza: „Vo vnútroštátnych právnych predpisoch, ktorými sa transponuje ePrivacy smernica je stanovená zásada, že operátor môže použiť lokalizačné údaje iba vtedy, ak sú anonymné alebo s jednotlivec poskytol súhlas. Orgány verejnej moci by sa mali najprv zamerať na spracúvanie lokalizačných údajov anonymným spôsobom (t. j. spracúvanie údajov agregovaných spôsobom, ktorým nemôže dôjsť k spätnému zvráteniu informácii na osobné údaje).

V prípade, ak by spracúvanie bez lokalizačných údajov neplnilo účel, členské štáty môžu zaviesť vnútroštátne podmienky pre spracúvanie týchto lokalizačných údajov bez požiadavky anonymizácie. To však na účely „pokutovania“ nepovažujeme za primerané. Účelom pri takomto spracúvaní má byť ochrana verejných záujmov (zdravie, bezpečnosť a pod.). Pri spracúvaní proporcionalitu medzi právami a slobodami dotknutých osôb a nevyhnutnosťou a potrebnosťou spracúvania osobných údajov.

O spracúvaní osobitných kategórií osobných údajov sme písali aj v samostatnom článku v súvislosti s odporúčaním EDPB.

Odporúčania na záver pre spracúvanie

Pri spracúvaní osobných údajov v súvislosti s ochoreniami a mimoriadnymi situáciami možno aplikovať aj právny základ, ktorí nie je bežne využívaný – ochrana životne dôležitých záujmov. Je však dôležité plniť všetky povinnosti vyplývajúce z GDPR Nariadenia – od zásad, cez informačnú povinnosť až po bezpečnosť na všetkých úrovniach. K tomu je potrebné mať prijaté interné postupy a dokumenty k ochrane osobných údajov.

V prípade získavania súhlasu so spracúvaním osobných údajov o zdravotnom stave zamestnanca je potrebné brať osobitný zreteľ na postavenie – zamestnávateľ je „silnejšou“ zmluvnou stranou. Súhlas nemôže byť „vynucovaný“ a musí byť udelený transparentne.

Pri home-office zamestnancov pomôžu k dodržiavaniu povinností, prípadne plneniu bezpečnostných opatrení napríklad návody pre zamestnancov – ako spracúvať osobné údaje a na čo si dať pozor – zabezpečiť listinné dokumenty a zariadenie, používať firemnú VPN, zálohovať na firemnom cloude a pod.

Tieto opatrenia zmierňujú riziká bezpečnostných incidentov alebo porušenia ochrany osobných údajov.

Vypracúvame aj GDPR pre zamestnávateľov. Napíšte nám.

gdpr-na-mieru-securion


  1. Pozn.: pozri recitál 46 Nariadenia GDPR 

  2. Pozn.: Čl. 14 a nasl. Nariadenia GDPR 

  3. K tomu aj recitál 52 Nariadenia GDPR:  „<em>Výnimka zo zákazu spracúvania osobitných kategórií osobných údajov by sa taktiež mala povoliť, ak je to stanovené v práve Únie alebo v práve členského štátu, a za splnenia vhodných záruk, aby boli chránené osobné údaje a iné základné práva, ak to odôvodňuje verejný záujem, najmäspracúvanie osobných údajovv oblasti pracovného práva, práva sociálnej ochrany vrátane dôchodkového zabezpečenia, a na účely zdravotnej bezpečnosti, monitorovania a varovania, prevencie alebo kontroly prenosných chorôb a iných závažných hrozieb pre zdravie. Takáto výnimka sa môže vykonať na zdravotné účely vrátane verejného zdravia a riadenia služieb zdravotnej starostlivosti, najmä s cieľom zabezpečiť kvalitu a nákladovú efektívnosť postupov používaných na uspokojovanie nárokov…</em>“  

  4. Pozri § 12 a nasl. zákona č. 124/2006 Z. z. o bezpečnosti a ochrane zdravia pri práci. 

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.