ÚOOÚ - K povinnému testování zaměstnanců ve firmách

Úřad pro ochranu osobních údajů poskytl své rámcové vyjádření k aktuální povinnosti testovat zaměstnance na přítomnost nákazy COVID-19. Ta je zaměstnavatelům nařízena novým mimořádným opatřením Ministerstva zdravotnictví (MZDR 47828/2020-16/MIN/KAN). V závislosti na dalším vývoji situace při uplatňování opatření a získaných praktických poznatcích bude Úřad své vyjádření dále upřesňovat a doplňovat.

 
Zaměstnavatelé při plnění uložené povinnosti zajišťovat testování zaměstnanců na přítomnost nákazy COVID-19 zpracovávají osobní údaje ke splnění právní povinnosti, která se na ně vztahuje dle obecného nařízení. Pokud dochází ke shromažďování osobních údajů přímo ze strany zaměstnavatele, dostává se ve smyslu obecného nařízení do role správce osobních údajů. Z důvodu veřejného zájmu v oblasti veřejného zdraví dle obecného nařízení je při testování zaměstnanců zpracovávána také zvláštní kategorie osobních údajů vypovídajících o zdravotním stavu. Samotné záznamy o provedení testů u jednotlivých zaměstnanců je možno využívat pouze v přímé souvislosti s plněním povinností uložených mimořádným opatřením. 

Vlastní záznamy o provedení testů u zaměstnanců mohou obsahovat pouze základní identifikační údaje zaměstnance (jméno, příjmení, číslo pojištěnce), údaje o zdravotní pojišťovně zaměstnance, údaje o přesném čase provedení testu a výsledek testu na nákazu COVID-19. Stejné omezení rozsahu pouze na nezbytné osobní údaje platí i pro případné dokumenty prokazující výjimku z povinného testování daného zaměstnance (identifikační údaje zaměstnance, důvod výjimky z testování).

Doba uchování evidence provedených testů zaměstnanců nebyla v tomto opatření stanovena. Lze dovodit, že zaměstnavatelé mají povinnost vést evidenci provedených testů zaměstnanců nejméně do zrušení mimořádného opatření k provádění povinného testování zaměstnanců a k nezbytné kontrole zpracování plateb a nároků, které mohou v důsledku testování vzniknout. 

Zaměstnavatelé musejí zároveň zajistit, aby osobní údaje byly zpracovávány s co nejvyšší ochranou soukromí, tedy aby standardně nebyly zpřístupněny neomezenému počtu osob. Samotná evidence provedených testů zaměstnanců musí být náležitě zabezpečena a přístup k ní by měly mít pouze osoby pověřené plněním úkolů k dodržování mimořádného opatření. Každý ze zaměstnavatelů musí přihlédnout ke svým organizačním a technickým dispozicím, aby evidenci provedených testů řádně zabezpečil před možnou ztrátou nebo zpřístupněním neoprávněným osobám (například řízení přístupu do vyčleněných prostor, řízení přístupu k datům, určení osob zpracovávajících osobní údaje, poučení osob zpracovávající osobní údaje o práci s daty).

Upozornit je třeba i na povinnost poskytnout zaměstnancům, v rámci informace o druhu a povaze testů a o zvoleném způsobu testování, také konkrétní informace o zpracování osobních údajů za účelem testování, mimo jiné o právním základu tohoto zpracování, případném předání údajů orgánům ochrany veřejného zdraví jako příjemcům a době uložení údajů. Záznamy o zpracování osobních údajů zaměstnanců za účelem testování jsou vedeny jako součásti záznamů o činnostech zpracování podle článku 30 obecného nařízení.