Zdielať článok


Facebook Linkedin
Osobné údaje a GDPR – súčasná situácia

Aktuálna situácia okolo šíriaceho koronavírusu má dopad na každú oblasť nášho života, a to vrátane dopadu na spracúvanie osobných údajov fyzických osôb (najmä údajov o zdravotnom stave) a pracovnoprávne vzťahy.  Vybrané otázky v rámci témy – koronavírus a GDPR sme zhrnuli v článku.

Na základe opatrení prijatých vládou Slovenskej republiky či krízovým štábom SR prišlo k obmedzeniu niektorých bežných aspektov nášho života, medzi nimi aj k zatvoreniu väčšiny prevádzok poskytujúcich služby či predávajúcich tovar. V niektorých prípadoch, z dôvodu plnenia prevenčných povinností na úseku bezpečnosti a ochrany zdravia pri práci sa mohol zamestnávateľ rozhodnúť zatvoriť svoju prevádzku aj dobrovoľne.

Na druhej strane, zamestnávatelia, ktorí svoje prevádzky neboli donútení zatvoriť, prijímajú viaceré preventívne opatrenia, pri ktorých môže prichádzať k spracúvaniu osobných údajov zamestnancov a iných dotknutých osôb.

Odporúčania, ako sa môžu zamestnávatelia s niektorými vyššie uvedenými situáciami vysporiadať, Vám prinášame v našom článku.

Spracúvanie osobných údajov orgánmi verejnej moci v súvislosti s koronavírusom

Nariadenie GDPR, ako základný predpis z oblasti ochrany osobných údajov, dáva zamestnávateľom viacero možností, ako zákonne spracúvať osobné údaje týkajúce sa zdravotného stavu svojich zamestnancov (či iných dotknutých osôb, napr. návštevníkov spoločnosti). Údaje o zdravotnom stave sú podľa článku 9 GDPR považované za osobitnú kategóriu osobných údajov, pri ktorej síce platí všeobecný zákaz ich spracúvania, ale GDPR ustanovuje pomerne rozsiahly rad výnimiek, umožňujúcich spracúvanie údajov o zdravotnom stave, a to aj bez súhlasu dotknutých osôb.

K týmto výnimkám patrí napríklad:

  • spracúvanie OÚ nevyhnutné na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti,
  • spracúvanie OÚ je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je napr. ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok,  
  • spracúvanie OÚ je nevyhnutné v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany,
  • spracúvanie OÚ je nevyhnutné za účelom ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas.

K spracúvaniu osobných údajov v súvislosti s pandémiou koronavírusu vydal minulý týždeň stanovisko aj Európsky výbor pre ochranu osobných údajov (ďalej ako „EDPB“). EDPB uvádza, že predpisy na ochranu osobných údajov nemajú v žiadnom prípade za cieľ brániť v prijímaní potrebných opatrení na zabránenie šíreniu pandémie spôsobenej koronavírusom.

Aj v tejto výnimočnej situácií je však nevyhnutné, aby prevádzkovatelia a sprostredkovatelia zabezpečili adekvátnu ochranu osobných údajov dotknutých osôb a rešpektovali zásady spracúvania osobných údajov, ktoré sú stanovené v GDPR.  

Pri určovaní vhodného právneho základu pri spracúvaní osobných údajov zamestnávateľom možno poukázať aj na čl. 6 ods. 1 písm. d) Nariadenia GDPR, podľa ktorého je spracúvanie osobných údajov možné vykonávať aj vtedy, ak je spracúvanie nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby.  

Vyššie uvedené potvrdzuje aj samotný recitál 46 GDPR (úvodné výkladové ustanovenia), ktorý ako príklad takéhoto spracúvania uvádza práve spracúvanie na humanitárne účely vrátane kontroly šírenia epidémií. Pri opatreniach vykonávaných v súvislosti s koronavírusom nemožno vylúčiť ani aplikáciu verejného záujmu (zamestnávateľmi v postavení orgánov verejnej moci) alebo oprávneného záujmu, ako vhodných právnych základov spracúvania.

EDPB sa vo svojom stanovisku vyjadrila aj ku konkrétnym otázkam, ktoré sa týkajú spracúvania osobných údajov zamestnávateľmi v súvislosti s koronavírusom. EDPB poukazuje napr. na to, že spracúvanie osobných údajov v kontexte pandémie koronavírusu môže byť nevyhnutné na plnenie zákonných povinností zamestnávateľov, týkajúcich sa zabezpečenia zdravia a bezpečnosti na pracovisku, v prípade ak zamestnávatelia takúto povinnosť vyplývajúcu z národnej legislatívy majú.

V podmienkach Slovenskej republiky by mohlo ísť najmä o plnenie povinností vyplývajúcich zo zákona č. 124/2006 Z.z. o bezpečnosti a ochrane zdravia pri práci a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, najmä v oblasti povinností zamestnávateľov zabezpečiť pre svojich zamestnancov vhodné a zdravotne nezávadné pracovné prostredie.

EDPB sa vo svojom stanovisku venuje aj otázke, či je zamestnávateľ oprávnený uskutočňovať zdravotné vyšetrenia svojich zamestnancov v súvislosti s pandémiou, napr. v podobe pravidelného merania teploty zamestnancov. Podľa názoru EDBP, ku ktorému s sa prikláňame, je možné tento druh spracovateľskej operácie vykonávať len vtedy, keď to zamestnávateľovi ako povinnosť ukladá príslušná národná legislatíva (napr. nariadenie vlády SR prijaté na základe príslušného právneho predpisu počas núdzového stavu).  

Okrem toho, EDPB sa venuje aj otázke prípadného zverejňovania informácií o infikovaných zamestnancoch v spoločnosti.  EDPB tvrdí, že zamestnávatelia môžu svojich ostatných zamestnancov o tejto skutočnosti upovedomiť, vždy však iba v nevyhnutnom rozsahu a v prípade, ak to umožňuje príslušná národná legislatíva. Dotknutý zamestnanec by mal byť vopred informovaný a zamestnávateľ by mal dbať na jeho dôstojnosť a integritu v spoločnosti a pracovnom prostredí.

Aktuálne vydal Úrad na ochranu osobných údajov stanovisko. V stanovisku konštatuje, že spracúvanie informácií o obyvateľoch nachádzajúcich sa v karanténe alebo priamo nakazených vírusom SARS-CoV-2 môže byť vykonávané len vybranými úradmi. Tým je Úrad verejného zdravotníctva. K tomu, aby poskytoval informácie (osobné údaje) ďalším orgánom (napr. obciam alebo mestám) je potrebné, aby právny poriadok SR takéto informovanie povoľoval. Alebo aby dotknutá osoba udelila súhlas.

Taktiež bola schválená novelizácia zákona č. 351/2011 Z. z. o elektronických komunikáciách, do ktorého sa dopĺňajú ustanovenia v súvislosti s COVID-19. Tou sa povoľuje spracúvanie údajov, ktoré sú štandardne telekomunikačným tajomstvom. Sú to údaje o lokalizácii.

Vybrané pracovnoprávne aspekty dopadu COVID-19

Ako sme už spomínali vyššie, v dôsledku mimoriadnej situácie spôsobenej šíriacim sa koronavírusom prišlo k povinnému zatvoreniu väčšiny bežných prevádzok, poskytujúcich služby alebo predávajúcich tovar na území SR (s výnimkou napr. potravín, lekárni či pohrebných služieb). Pri riešení uvedenej situácie vo vzťahu k zamestnancom, má prevádzkovateľ nasledujúce možnosti:

Home office

V prípade, ak to povaha práce zamestnanca umožňuje (najmä pri profesiách, kde ide o prácu s počítačom), môže sa zamestnávateľ so zamestnancom dohodnúť na home office, teda na výkone práce z domu.  Zamestnávateľ nemôže výkon práce z domu jednostranne nariadiť, a to preto, lebo podľa § 52 ods. 5 zákona č. 311/2001 Z.z. Zákonník práce v znení neskorších predpisov (ďalej ako „Zákonník práce“) sa home office nepovažuje za domácku prácu alebo za  teleprácu, ak ju: „…zamestnanec vykonáva príležitostne alebo za mimoriadnych okolností so súhlasom zamestnávateľa alebo po dohode s ním doma alebo na inom ako zvyčajnom mieste výkonu práce za predpokladu, že druh práce, ktorý zamestnanec vykonáva podľa pracovnej zmluvy, to umožňuje“.

Z pohľadu bezpečnosti spracúvaných osobných údajov nesie výkon práce z domu so sebou viaceré riziká. Ak spoločnosť neriešila zabezpečenie bezpečnosti spracúvaných osobných údajov pri výkone práce z domu, je pravdepodobné, že zanedbáva povinnosti vyplývajúce z Nariadenia GDPR.

Vzhľadom na uvedené odporúčame v prvom rade dôkladne preveriť, či spoločnosť vo svojej dokumentácií prijala bezpečnostné opatrenia týkajúce sa najmä prihlasovania do pracovného zariadenia (počítača, interného softvéru, služobné telefónu), vstupov do nezabezpečených sietí či prenášania fyzických dokumentov mimo bežných pracovných priestorov a ich uskladňovania v domácom prostredí. V prípade, ak vyššie uvedené opatrenia v oblasti bezpečnosti spracúvaných osobných údajov v spoločnosti pre takýto prípad absentujú, odporúčame prijaté bezpečnostné opatrenia aktualizovať a primerane upraviť.

Zároveň, pred odchodom zamestnancov na home office odporúčame zamestnancov, napríklad prostredníctvom jednoduchého návodu vo forme obežného letáku alebo emailu, poučiť o tom, ako majú pri výkone práce z domu spracúvať osobné údaje a ako ich chrániť (napr. zabezpečiť listinné dokumenty a zariadenie, používať firemnú VPN, zálohovať dokumenty na firemnom cloude a pod.).

Slovo na záver

Ako je zrejmé z vyššie uvedeného, súčasná krízová situácia súvisiaca s COVID-19 má vážne dopady aj na oblasť spracúvania a ochrany osobných údajov v Slovenskej republike. V našom článku sme sa zamerali na niektoré dopady koronavírusu na spracúvanie osobných údajov. Je však jasné, že dotknutých oblastí v praxi bude viacej a bude potrebné sa im podrobne venovať.

 

Súvisiace články