Koronavírus. Môže firma zbierať zdravotné údaje zamestnancov?

UPDATE: COVID 19: Vláda predstavila nové opatrenia. Čo pre Vás znamenajú?
marec 26, 2020
Ako vláda pomáha zamestnávateľom?
apríl 9, 2020

Koronavírus. Môže firma zbierať zdravotné údaje zamestnancov?

Koronavírus. Zrejme najčastejšie skloňované slovo posledných týždňov. Mimoriadna situácia si vyžiadala zásahy do nášho bežného života. Každý deň počúvame od vlády nové opatrenia, ktoré majú za cieľ minimalizovať šírenie vírusu. Čo však znamenajú pre zamestnávateľov? Ako má organizácia zabezpečiť ochranu zdravia personálu a zároveň dodržať všetky obmedzenia spracúvania osobných údajov?

Ako advokátska kancelária sa dlhodobo venujeme problematike ochrany osobných údajov a jej implementácii vo firmách. Preto sme sa rozhodli zodpovedať najčastejšie otázky z oblasti GDPR, ktoré sa nás naši klienti pýtajú.

 

Koronavírus a GDPR

Aj zamestnávatelia musia v tomto období pristúpiť k najrôznejším opatreniam, aby zabezpečili ochranu zdravia svojich zamestnancov a zamestnankýň.

Meranie telesnej teploty, zisťovanie cestovateľskej anamnézy či overenie kontaktu s osobami s pozitívnym výsledkom na COVID-19. Opatrenia na ochranu zdravia personálu si vyžadujú v tejto situácii výraznejšie zásahy do práva na ochranu osobných údajov. Netýka sa to pritom iba zamestnancov. Dotknutými osobami môžu byť aj obchodní partneri, klienti alebo iné osoby, ktoré vstupujú do priestorov a prevádzok firiem (napr. kuriéri).

 

Ako zbierať a spracovávať údaje o zdraví v súlade s GDPR?

Údaje o zdraví považujeme za tzv. citlivé osobné údaje. Možno ich získavať a spracovávať len za predpokladu, že organizácia disponuje právnym základom spracúvania[1] a súčasne – existuje výnimka zo všeobecného zákazu spracúvať citlivé osobné údaje.[2]

Z právneho hľadiska možno citlivé údaje o zdraví získavať len, ak:

  • spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa[3] alebo
  • spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana.[4]

 

BOZP a koronavírus

Je dôležité zdôrazniť, že slovenský zákon o ochrane osobných údajov[5] tiež umožňuje spracovávať údaje týkajúce sa zdravia aj na právnom základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.[6]

Podľa zákona o bezpečnosti a ochrane zdravia pri práci má zamestnávateľ povinnosť uplatňovať všeobecné zásady prevencie pri vykonávaní opatrení nevyhnutných na zaistenie bezpečnosti a ochrany zdravia pri práci. Medzi to patrí aj vylúčenie nebezpečenstva a z neho vyplývajúceho rizika, ako aj posudzovanie rizika, ktoré nemožno vylúčiť. Na základe uvedeného je zamestnávateľ povinný posudzovať riziko a taktiež prijať a vykonať potrebné opatrenia na zabezpečenie ochrany zdravia zamestnancov.

Rovnako podľa Zákonníka práce je zamestnávateľ povinný sústavne zaisťovať bezpečnosť a ochranu zdravia zamestnancov pri práci. A za týmto účelom musí vykonávať potrebné opatrenia vrátane zabezpečovania prevencie, potrebných prostriedkov a vhodného systému na riadenie ochrany práce.

S ohľadom na rozsah spracúvaných osobných údajov teda bude organizácia postupovať buď na právnom základe výkonu zákonných povinností alebo na základe oprávneného záujmu.

Citlivé osobné údaje môže zamestnávateľ spracúvať na základe nariadenia GDPR  o zaistení verejného zdravia.

V takomto prípade je potrebné, aby podmienky spracúvania citlivých osobných údajov boli stanovené vo všeobecne záväznom právnom predpise – napríklad v uznesení vlády. Tiež je potrebné, aby boli stanovené vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby. V súvislosti s vyhlásením mimoriadnej situácie, by takýmto všeobecne záväzným právnym predpisom mohol byť zákon č. 42/1994 Z. z. o civilnej ochrane obyvateľstva, na základe ktorého musí byť vydané konkrétne opatrenie.[7]

 

Osobné údaje a koronavírus

Organizácia je okrem stanovenia právneho základu povinná splniť aj ďalšie podmienky spracúvania osobných údajov. Jednou zo základných zásad spracúvania je minimalizácia. Vyžaduje sa, aby sa spracúvali len tie osobné údaje, ktoré sú nevyhnutné na dosiahnutie stanoveného účelu a dodržanie opatrení na zamedzenie šírenia koronavírusu.

Primerané sa javí zisťovanie príznakov koronavírusu (meranie telesnej teploty alebo iných príznakov), zisťovanie cestovateľskej anamnézy či overenie kontaktu s osobami s pozitívnym výsledkom na COVID-19. Neprimeraným však už bude zisťovanie, v akej konkrétnej krajine sa zamestnanec zdržiaval a po akú dlhú dobu, aké aktivity a s akými osobami zamestnanec v rozhodnom období vykonával, prípadne presné identifikovanie osôb pozitívne testovaných na koronavírus.

Zásada minimalizácie rovnako vyžaduje, aby sa osobné údaje spracúvali len po nevyhnutne dlhú dobu. Osobné údaje môžu byť spracúvané po dobu vyšetrovania a prijatia konkrétneho rozhodnutia. Následne by osobné údaje mali byť anonymizované a uchovávané najdlhšie 1 rok.

Pozor, osobné údaje, ktoré firma zhromaždí za účelom zrealizovania opatrení súvisiacich s vírusom COVID-19, nie je možné spracúvať bez splnenia ďalších povinností na iný účel. Rovnako platí, že osobné údaje získané zamestnávateľom pred zavedením mimoriadnych opatrení  (napríklad údaje, kde trávila zamestnaná osoba dovolenku v predchádzajúcom mesiaci alebo údaje z OČR) nemožno začať spracúvať na účely zamedzenia šíreniu vírusu.

Firma musí o nových spôsoboch a účeloch spracúvania osobných údajov v potrebnom rozsahu informovať  všetky dotknuté osoby. Teda najmä zamestnancov, ale prípadne aj obchodných partnerov a iné osoby, na ktoré sa prijaté opatrenia vzťahujú (meranie teploty, zisťovanie prítomnosti v zahraničí a podobne). Informácia sa musí poskytnúť vo formáte, ktorý je stručný, ľahko dostupný i zrozumiteľný a v jasnom jazyku.

V neposlednom rade platí, že organizácia je povinná prijať primerané opatrenia na zaistenie bezpečnosti citlivých osobných údajov. To v praxi znamená obmedzenie prístupu k údajom len pre nevyhnutne určené osoby, prísne lehoty na výmaz údajov alebo napríklad primerané školenie personálu na ochranu práv jednotlivcov.

Súčasná situácia je mimoriadna a Slovensko s ňou nemá skúsenosti. Je potrebné zachovať rozvahu a nasledovať pokyny a odporúčania odborníkov. Naša advokátska kancelária má dlhoročné skúsenosti v oblasti ochrany osobných údajov. Sme pripravení vás a vašu firmu previesť týmto zložitým obdobím tak, aby ste sa vyhli chybám a potenciálnym sankciám. Sledujeme za vás aj najnovšie legislatívne zmeny a informujeme o nich prostredníctvom nášho spravodaja.

 

[1] podľa čl. 6 ods. 1 nariadenia GDPR

[2] podľa čl. 9 ods. 2 nariadenia GDPR

[3] čl. 6 ods. 1 písm. c) nariadenia GDPR

[4] čl. 6 ods. 1 písm. f) nariadenia GDPR, pričom však oprávnené záujmy musia prevažovať záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov

[5] zákon č. 18/2018 Z. z. o ochrane osobných údajov

[6] § 78 ods. 5 slovenského zákona o ochrane osobných údajov

[7]https://dataprotection.gov.sk/uoou/sk/content/koronavirus-spracuvanie-osobnych-udajov-aktualizovane-1332020