Späť na blog GDPR Nariadenie, Odporúčame
19. 3. 2020
Coronavírus a GDPR: zamestnávatelia a osobitné kategórie
GDPR Nariadenie, Odporúčame
19. 3. 2020
V posledných dňoch sa vo veľkom rieši situácia okolo vírusu COVID-19, teda „koronavírusu“. Z pohľadu ochrany osobných údajov a GDPR sa na situáciu možno pozrieť z viacerých uhlov pohľadov:
Aktualizované 23.10.
V tomto článku sa venujeme práve pracovnému právu – zamestnávateľom a zamestnancom z pohľadu ochrany osobných údajov vrátane odporúčaní, ako sa vysporiadať so spracúvaním údajov a s home-office, ale aj informácie o spracúvaní subjektami verejnej správy.
GDPR Nariadenie a ochrana osobných údajov dáva prevádzkovateľom a sprostredkovateľom v súkromnej, ako aj vo verejnej sfére spracúvať osobné údaje. Legislatíva obsahuje právne základy, ktoré spracúvanie (aj v súvislosti s epidémiou) umožňujú aj bez súhlasu.
Ochrana osobných údajov a GDPR Nariadenie reaguje aj na účely ochrany záujmov zásadných pre životy fyzických osôb. Takéto spracúvanie by sa malo uskutočniť len vtedy, ak sa nemôže zakladať na inom právnom základe. Niektoré typy spracúvania môžu slúžiť na dôležité účely verejných záujmov alebo životne dôležitých záujmov. Tými môžu byť humanitárne účely, vrátane monitorovania epidémií a ich šírenia alebo v núdzových situáciách (prírodné katastrofy).1
Pri určovaní právnych základov možno poukázať na čl. 6 ods. 1 písm. d) Nariadenia GDPR: „spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;…“ Pri opatreniach proti zabráneniu šíreniu alebo k monitorovaniu epidémií je vhodným právnym základom, avšak nemožno vylúčiť ani aplikáciu verejného záujmu (subjektami verejnej správy) alebo oprávneného záujmu. Každý účel spracúvania a určenie právneho základu treba posudzovať vzhľadom na situáciu.
V niektorých prípadoch prichádza aj k spracúvaniu osobných údajov ďalších osôb – osôb, s ktorými sa podozrivý z ochorenia mohol stretnúť, ako aj k ďalším kategóriám osobných údajov. Osobitne treba ako zamestnávateľ alebo iný prevádzkovateľ zobrať na zreteľ informačnú povinnosť2 a definovať, aké informácie sú nevyhnutné a potrebné.
Ak má zamestnávateľ záujem zbierať a získavať informácie o zdravotnom stave, bude potrebné dodržať aj podmienky určené v čl. 9 Nariadenia GDPR, ktorým sa zakazuje spracúvanie tzv. osobitných kategórií osobných údajov bez splnenia niektorých podmienok. Osobitné kategórie osobných údajov možno spracúvať, ak3:
Medzi údaje o zdravotnom stave možno zaradiť aj údaj o teplote dotknutej osoby, ktorým sa venujeme nižšie.
V krajinách, kde je vírus rozšírený najviac (Francúzsko a Taliansko) prijali opatrenia tamojšie DPA (Data protection authorities), ktoré konštatovali, že nie je vhodné, aby zamestnávatelia systematicky zbierali údaje o zdravotnom stave svojich zamestnancov. Tento záver je logický, keďže k tomu sú poverené nemocnice, lekári, úrady verejného zdravia a pod.
Na druhej strane, zamestnanci môžu byť v rámci pracovnoprávneho vzťahu zaviazaní k tomu, aby informovali zamestnávateľa o rizikách týkajúcich sa ich zdravotného stavu. V každom prípade je však potrebné dbať na základné zásady spracúvania osobných údajov a ustanovenia čl. 9 Nariadenia GDPR, ktoré upravuje spracúvanie osobitných kategórií osobných údajov, ku ktorým patria údaje o zdravotnom stave.
Írska DPA sa vyjadrila aj k získavaniu údajov o predchádzajúcich cestách zamestnancov a návštevníkov vstupujúcich do budovy. V rámci Írskeho právneho poriadku majú zamestnávatelia povinnosť chrániť svojich zamestnancov, preto sa v rámci ich jurisdikcie môže zamestnávateľ dopytovať na informácie o predchádzajúcich cestách, prípadne symptómoch.
Zamestnávateľ je oprávnený od zamestnanca získavať informácie. Zamestnávateľ je povinný zabezpečiť bezpečnosť a ochranu zdravia pri práci, má všeobecnú prevenčnú povinnosť tak, ako aj samotní zamestnanci. Z pohľadu ochrany osobných údajov máme za to, že zamestnávateľ môže a má právo od zamestnanca vyžadovať uvedenie podstatných informácií k plneniu týchto povinností.
Za oprávnené informácie (údaje / osobné údaje) získavané v súvislosti so zabránením šíreniu pandémie alebo za účelom bezpečnosti pracovníkov a ochrany ich zdravia by sa mohli považovať informácie o mieste a čase, kde sa zdržiaval, osobách, s ktorými sa zdržiaval, prípadne o tom, či má symptómy choroby. Účel spracúvania je však potrebné dobre pripraviť a implementovať, pred začatím spracúvania osobných údajov.
V zmysle uvedených právnych predpisov, ale aj v zmysle zákona č. 124/2006 Z. z. o bezpečnosti a ochrane zdravia pri práci má zamestnanec právo prerokúvať so zamestnávateľom otázky bezpečnosti, ako aj „odmietnuť vykonať prácu alebo opustiť pracovisko a odobrať sa do bezpečia, ak sa dôvodne domnieva, že je bezprostredne a vážne ohrozený jeho život alebo zdravie, alebo život alebo zdravie iných osôb„.4
Zamestnanec je oprávnený odmietnuť pracovnú cestu z objektívnych dôvodov a za objektívne dôvody možno považovať aj COVID-19.
Ak bola schválená zamestnávateľom dovolenka, zamestnávateľ nesmie nútiť zamestnanca, aby túto dovolenku zrušil. Môže však zisťovať, kde zamestnanec dovolenku trávil, aby mohol zamestnávateľ plniť svoju „prevenčnú“ a ochrannú povinnosť. Po návrate z dovolenky (ako sme uviedli vyššie) by mohol od zamestnanca získavať ďalšie informácie o pobyte a dovolenke. Zamestnávateľ však nesmie nariadiť karanténu (tú nariaďujú príslušné orgány štátnej správy).
Z prevenčných dôvodov sa môže so zamestnancom dohodnúť na home-office.
V rámci prác z domu môže prichádzať k viacerým rizikám. Ak firma nebola pripravená na prácu zamestnancov z domu pred vypuknutím epidémie, je pravdepodobné, že zanedbáva povinnosti vyplývajúce z GDPR – najmä z pohľadu bezpečnostných opatrení. Prihlasovanie do pracovného zariadenia, vstupy do nezabezpečených sietí, prenášanie fyzických dokumentov pre prácu z domu… Je teda dôležité, aby boli prijaté bezpečnostné opatrenia zo strany zamestnávateľa. A aby ich zamestnanci poznali a dodržiavali.
Všetky operácie so sebou nesú riziká porušenia ochrany osobných údajov. Ako informuje náš Úrad, v zahraničí boli za porušenia udelené pokuty obciam. Odporúčame „oprášiť“ bezpečnostné opatrenia a zamestnancom pripraviť priame pokyny, prípadne opatrenia, ktoré treba dodržiavať ako prevenciu pred porušením osobných údajov.
Článok pokračuje pod videom. Vo videu si môžete pozrieť odporúčania, ako nastaviť home-office tak, aby bolo spracúvanie osobných údajov bezpečné:
V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.
Podľa EPDS – Európskeho dozorného úradníka pre ochranu údajov je možné zamestnancom merať teplotu. „Základná kontrola telesnej teploty“ je určená iba na meranie telesnej teploty prostredníctvom neautomatizovaných prostriedkov, po ktorej nenasleduje registrácia, dokumentácia alebo iné spracúvanie osobných údajov jednotlivca. Takáto kontrola by v zásade nepodliehala rozsahu pôsobnosti nariadenia.“, vyplýva z usmernenia EPDS.
Overovanie veku pri vstupe do prevádzky
ÚVZ SR vydalo informácie k umožneniu vstupu len osobám nad 65 rokov v určitých časoch: „S účinnosťou od 15. októbra 2020 do odvolania sa prevádzkovateľom predajní potravín a predajní drogérií nariaďuje umožniť v dňoch pondelok až piatok v čase od 9:00 hod. do 11:00 hod. vstup iba osobám nad 65 rokov.“ Pre preukázanie veku možno žiadať občiansky preukaz alebo iný dokument potvrdzujúci vek vstupujúceho občana.
Aj Úrad na ochranu osobných údajov uvádza, že obchodné prevádzky vykonávajú kontrolu veku prostredníctvom fyzického preukázania dokladu s dátumom narodenia, čo nie je automatizovaným spracúvaním osobných údajov. Prevádzky by nemali občanov žiadnym spôsobom registrovať, ani ich vstup dokumentovať v súvislosti s ich osobnými údajmi. Podľa Úradu, takáto kontrola v zásade nepodliehala rozsahu pôsobnosti všeobecného nariadenia o ochrane údajov, keďže neprichádza k automatizovanému spracúvaniu osobných údajov.
Ako sme uviedli vyššie, aj orgány verejnej moci spracúvajú osobné údaje aj bez súhlasu. Pre tieto orgány môže byť spracúvanie jednoduchšie. Legislatíva obsahuje právne základy, ktoré umožňujú spracúvanie osobných údajov bez súhlasu.
Čo nás zaujalo, je údajné a pripravované „pokutovanie“ tých, ktorí nedodržia karanténu po dobu 14 dní. To má byť „overované“ štátnymi orgánmi u poskytovateľa telekomunikačných služieb tak, že poskytne polohu koncového mobilného zariadenia. Na uvedené sa vzťahuje ePrivacy smernica, ktorá okrem cookies rieši aj telekomunikácie. U nás bola transponovaná zákonom č. 351/2011 Z. z. o elektronických komunikáciách.
Dovoľujeme si doplniť, že aj podľa vyjadrení predsedníčky EDPB je takéto spracúvanie bez súhlasu zakázané. Ako uvádza: „Vo vnútroštátnych právnych predpisoch, ktorými sa transponuje ePrivacy smernica je stanovená zásada, že operátor môže použiť lokalizačné údaje iba vtedy, ak sú anonymné alebo s jednotlivec poskytol súhlas. Orgány verejnej moci by sa mali najprv zamerať na spracúvanie lokalizačných údajov anonymným spôsobom (t. j. spracúvanie údajov agregovaných spôsobom, ktorým nemôže dôjsť k spätnému zvráteniu informácii na osobné údaje).“
V prípade, ak by spracúvanie bez lokalizačných údajov neplnilo účel, členské štáty môžu zaviesť vnútroštátne podmienky pre spracúvanie týchto lokalizačných údajov bez požiadavky anonymizácie. To však na účely „pokutovania“ nepovažujeme za primerané. Účelom pri takomto spracúvaní má byť ochrana verejných záujmov (zdravie, bezpečnosť a pod.). Pri spracúvaní proporcionalitu medzi právami a slobodami dotknutých osôb a nevyhnutnosťou a potrebnosťou spracúvania osobných údajov.
O spracúvaní osobitných kategórií osobných údajov sme písali aj v samostatnom článku v súvislosti s odporúčaním EDPB.
Pri spracúvaní osobných údajov v súvislosti s ochoreniami a mimoriadnymi situáciami možno aplikovať aj právny základ, ktorí nie je bežne využívaný – ochrana životne dôležitých záujmov. Je však dôležité plniť všetky povinnosti vyplývajúce z GDPR Nariadenia – od zásad, cez informačnú povinnosť až po bezpečnosť na všetkých úrovniach. K tomu je potrebné mať prijaté interné postupy a dokumenty k ochrane osobných údajov.
V prípade získavania súhlasu so spracúvaním osobných údajov o zdravotnom stave zamestnanca je potrebné brať osobitný zreteľ na postavenie – zamestnávateľ je „silnejšou“ zmluvnou stranou. Súhlas nemôže byť „vynucovaný“ a musí byť udelený transparentne.
Pri home-office zamestnancov pomôžu k dodržiavaniu povinností, prípadne plneniu bezpečnostných opatrení napríklad návody pre zamestnancov – ako spracúvať osobné údaje a na čo si dať pozor – zabezpečiť listinné dokumenty a zariadenie, používať firemnú VPN, zálohovať na firemnom cloude a pod.
Tieto opatrenia zmierňujú riziká bezpečnostných incidentov alebo porušenia ochrany osobných údajov.
Vypracúvame aj GDPR pre zamestnávateľov. Napíšte nám.
Pozn.: pozri recitál 46 Nariadenia GDPR ↩
Pozn.: Čl. 14 a nasl. Nariadenia GDPR ↩
K tomu aj recitál 52 Nariadenia GDPR: „Výnimka zo zákazu spracúvania osobitných kategórií osobných údajov by sa taktiež mala povoliť, ak je to stanovené v práve Únie alebo v práve členského štátu, a za splnenia vhodných záruk, aby boli chránené osobné údaje a iné základné práva, ak to odôvodňuje verejný záujem, najmä spracúvanie osobných údajov oblasti pracovného práva, práva sociálnej ochrany vrátane dôchodkového zabezpečenia, a na účely zdravotnej bezpečnosti, monitorovania a varovania, prevencie alebo kontroly prenosných chorôb a iných závažných hrozieb pre zdravie. Takáto výnimka sa môže vykonať na zdravotné účely vrátane verejného zdravia a riadenia služieb zdravotnej starostlivosti, najmä s cieľom zabezpečiť kvalitu a nákladovú efektívnosť postupov používaných na uspokojovanie nárokov…“ ↩
Pozri § 12 a nasl. zákona č. 124/2006 Z. z. o bezpečnosti a ochrane zdravia pri práci. ↩
12. 8. 2022
GDPR Nariadenie, Videoškolenia11. 3. 2022
Cookies, VideoškoleniaLegislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.
Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.
Zistite viac
Pomáhame firmám plniť legislatívne povinnosti .
Na všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.
Vytvorené digitálnou agentúrou UPVISION
securion © 2021
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
