Jak už mnozí z vás ví z jednotlivých mimořádných opatření, řadě zaměstnavatelů (s ohledem na počet svých zaměstnanců) postupně vzniká povinnost zajistit testování svých zaměstnanců na covid-19. S touto povinností jsou však spojeny i povinnosti na poli ochrany osobních údajů, jak minulý týden upozornil Úřad pro ochranu osobních údajů.
Ačkoli se nejprve zdálo, že ochrana osobních údajů zůstane stranou v překotném vývoji jednotlivých mimořádných opatření (kdy nejnovější ze dne 5. 3. 2021 rozšířila povinnost testování na výskyt covid-19 ze zaměstnanců i na (1) dočasně přidělené zaměstnance a (2) další osoby vykonávající práci nebo obdobnou činnost na pracovišti zaměstnavatele společně s jeho zaměstnanci na základě jiného právního vztahu, než je pracovněprávní vztah), tak Úřad pro ochranu osobních údajů upozornil, že v rámci testování dochází rovněž ke zpracování osobních údajů, se kterým jsou spojeny další povinnosti zaměstnavatele (správce).
V tomto smyslu je totiž třeba vnímat, že údaje zaměstnance spočívající v jeho jménu, pracovním zařazení, čísle pojištěnce a dnu provedení testu mají povahu osobních údajů – kdy pak samotný výsledek testu lze bez dalšího považovat dokonce za osobní údaj zvláštní kategorie (dříve označovaný jako citlivý osobní údaj).
Tyto údaje pak navíc musí být zaměstnavatelem (správcem) povinně shromažďovány a dále zpracovávány (v evidenci o provedených testech sloužící ke kontrole, že na pracoviště zaměstnavatele nebyl vpuštěn žádný zaměstnanec či jiná třetí osoba bez negativního výsledku antigenního testu na covid-19).
Kromě toho pak bude docházet i ke zpřístupnění / předání těchto údajů třetím osobám, a to
- jak zdravotním pojišťovnám, které by měly (alespoň částečně) kompenzovat náklady zaměstnavatele (byť o této refundaci zatím nebylo legislativně rozhodnuto, a proto ji nelze dle našeho názoru považovat za zcela jistou),
- tak i vůči kontrolním orgánům, a to zejména ve vztahu ke krajské hygienické stanici a k oblastnímu inspektorátu práce, které v mezích své působnosti mohou kontrolovat plnění povinností zaměstnavatele zajistit testování a nevpustit osobu, která by neměla za uplynulých 7 dnů test na covid-19 s negativním výsledkem.
S ohledem na výše uvedené tak z pohledu ochrany osobních údajů (dle GDPR) vzniká zaměstnavatelům povinnost předem a prokazatelným způsobem informovat o zpracování jejich osobních údajů, a to jak zaměstnance, tak i ostatní třetí osoby, jejichž výsledky testů budou zpracovávány v evidenci zaměstnavatele (správce).
Tato informace o zpracování osobních údajů by měla obsahovat minimálně následující náležitosti:
- označení správce (zaměstnavatele) a jeho kontaktní údaje;
- identifikace pověřence (pokud byl u daného správce – zaměstnavatele jmenován);
- rozsah zpracovávaných informací (které budou předmětem evidence zaměstnavatele vedené o provedených testech / samotestování organizovaného zaměstnavatelem);
- právní základ (důvod) zpracování osobních údajů (spočívající v tomto případě v plnění zákonných povinností – v tomto případě tzv. pandemického zákona a dále zákona o ochraně veřejného zdraví – a dále povinností uložených na základě tohoto zákona v jednotlivých mimořádných opatřeních Ministerstva zdravotnictví ČR);
- účel zpracování osobních údajů (spočívající v tomto případě zejména v ochraně života a zdraví a dále pak rovněž ve vykazování přehledu o provedených / zaznamenaných testech pro účely jejich kompenzace ze strany zdravotních pojišťoven a případných kontrol ze strany příslušných orgánů veřejné správy);
- uvedení doby, po kterou budou osobní údaje zpracovávány (kdy lze doporučit tuto dobu stanovit tak, aby pokrývala plně dobu, po kterou může být provedena kontrola ze strany zdravotních pojišťoven a případně též příslušných orgánů veřejné správy);
- možnost předání osobních údajů třetím osobám (kde by měly být uvedeny jak zdravotní pojišťovny, tak i právě případně orgány veřejné správy, které si mohou záznamy vyžádat v rámci své kontrolní činnosti + v případě dočasně přidělených zaměstnanců by se nemělo opomenout informovat i o předání těchto údajů na agenturu práce, pokud by se následně kompenzace na testy čerpala přes agenturu);
- poučení o právu podat námitky ohledně zpracování osobních údajů a případně též (bez dalšího) i podnět k Úřadu pro ochranu osobních údajů.
POZOR: zaměstnavatelé by neměli opomenout ani na povinnost vést tzv. záznamy o činnostech zpracování (ve smyslu čl. 30 GDPR), kterými se nahradila dřívější registrační povinnost u Úřadu pro ochranu osobních údajů.
Pokud máte jakékoli další konkrétní dotazy a/nebo byste potřebovali poradit s nastavením vhodných postupů a dokumentů v oblasti ochrany osobních údajů, neváhejte se na nás obrátit.
