Zpracování osobních údajů v rámci opatření proti šíření koronaviru

V současné mimořádné situaci vyvstávají otázky týkající se zpracování osobních údajů o zdravotním stavu osob, které mohou být šiřiteli nákazy, včetně zpracování údajů umožňujících jejich předchozí lokalizaci, potřebných k dohledání dalších osob, které s nimi byly ve styku. Otázky v souvislosti s opatřeními pro zamezení nákazy a ochrany zaměstnanců kladou také zaměstnavatelé.

Mohou být kontaktní údaje osob (telefon, e-mail) zařazených do krizového štábu města nebo městské části za současného stavu nouze uloženy v zahraničním cloudu, když

  • existuje odkaz (token) umožňující zobrazení údajů členům bezpečnostní rady štábu,
  • k účtu, který umožňuje operativní aktualizaci údajů, má přístup pouze tajemník bezpečnostní rady štábu a tajemník úřadu?
Nemusí tak docházet k opakovanému rozesílání informací po každé aktualizaci, které by nemuselo zaručit jejich doručení.

Pokud není k dispozici národní infrastruktura, je, i s ohledem na minimální rozsah osobních údajů a potřebu umožnit jednoduché rychlé spojení bezpečnostní rady se členy štábu, využití zahraničního cloudového řešení akceptovatelné.

Údaje osob, zařazených do krizového štábu města nebo městské části by měly být omezeny pokud možno jen na kontaktní údaje (jméno, funkce + pracovní e-mail, pracovní telefon). V tomto minimálním rozsahu není jejich zpracování rizikové.

Současně je třeba upozornit oprávněné osoby, které k údajům budou mít přístup, že některé informace, např. telefonní čísla policistů, jsou neveřejné.

Jakým způsobem je přípustné nakládat s údaji o nákaze mimo nařízené postupy? Může výbor společenství vlastníků požadovat po obyvatelích domu sdělení, že se u někoho z nich vyskytla nákaza, aby mohla být provedena okamžitá dezinfekce všech dotčených prostor domu a spoluvlastníci byli o výskytu nákazy v domě informováni? Je tento postup správný z hlediska zásad uvedených v obecném nařízení o ochraně osobních údajů (GDPR)?

K získávání a zpracování osobních údajů v souvislosti s šířením nákazy jsou podle zákona o ochraně veřejného zdraví oprávněny orgány ochrany veřejného zdraví a takové zpracování může probíhat pouze na základě jejich pokynů.

Situace popisovaná v dotazu však nenasvědčuje tomu, že by ze strany výboru společenství vlastníků mělo být zahajováno zpracování osobních údajů obyvatel domu v souvislosti s nakažlivou chorobou. Proto ani žádost výboru společenství o sdělení anonymní informace o výskytu nákazy není a priori porušením povinností při zpracování osobních údajů. Na tuto situaci se obecné nařízení o ochraně osobních údajů (GDPR) nepoužije.

Problém se týká jiného nakládání s osobními údaji obyvatel domu, a to dokonce údajů způsobilých vyvolat vážné důsledky pro toho, o kom vypovídají. Použitý postup je třeba posuzovat z hlediska aktuálních společenských norem.

Jinými slovy, anonymita sdělování informací o pozitivním výsledku testování na COVID-19 je považována za vysoce žádoucí a důsledně na ni dbají i státní orgány. Podmínky pro její zachování nejsou na základě výzvy orgánu společenství vlastníků zjevně vytvořeny. Tak by tomu bylo pouze tehdy, pokud by orgán společenství žádal o anonymní sdělení a současně by ujistil, že nebude vyvíjet snahu o identifikaci oznamovatele.

V jakém rozsahu mohou orgány ochrany veřejného zdraví za současného stavu nouze shromažďovat, analyzovat a uchovávat „citlivé" údaje o prokazatelně nebo pravděpodobně nakažených či nemocných osobách?

Pravidla stanovená obecným nařízením o ochraně osobních údajů (GDPR) na takovouto mimořádnou situaci pamatují v článku 9 odst. 2 písm. i), podle kterého lze zpracovávat údaje o zdravotním stavu osob, jestliže je to nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví a ochrany před vážnými přeshraničními zdravotními hrozbami. Konkrétní situace zahrnující zpracování osobních údajů, jejich rozsah a dobu ukládání upravuje zákon o ochraně veřejného zdraví.

Příslušné orgány ochrany veřejného zdraví jsou oprávněny provádět epidemiologická šetření zaměřená zejména na ověření diagnózy a zjištění ohniska nákazy. Osoby jsou povinny sdělit příslušnému orgánu na jeho výzvu okolnosti důležité v zájmu podobných šetření.

Mohou orgány ochrany veřejného zdraví vyžadovat a pracovat s údaji o pohybu těchto osob, např. vyplývajících z lokalizačních údajů mobilního telefonu či dotazem u telekomunikačních operátorů? Na základě čeho mohou operátoři trasovat pohyb nakažených osob?

V současné době platí nouzový stav, který byl vyhlášen usnesením vlády. Jedná se o období, kdy je možné na nezbytně nutnou dobu a v nezbytně nutném rozsahu omezit některá práva a svobody. Tzv. trasování je umožněno usnesením vlády č. 250 ze dne 18. března 2020 k zajištění zvýšené ochrany obyvatel.

Pokud je to nezbytné ke zjištění ohniska nákazy, mohou orgány ochrany veřejného zdraví požadovat u telekomunikačních operátorů údaje o pohybu osob vyplývající z lokalizačních údajů zjištěných z mobilního telefonu
. Dotčené osoby však musí být o takovém opatření informovány.

Zároveň musí být respektovány obecné zásady shromažďování osobních údajů včetně přiměřenosti těchto opatření a omezení doby trvání takového opatření na nezbytnou dobu.

Může zaměstnavatel v současné situaci zjišťovat údaje o zdravotním stavu zaměstnanců např. při nástupu do práce?


Zákoník práce obecně ukládá zaměstnavateli povinnost vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímáním opatření k předcházení rizikům.

V konkrétních situacích je zaměstnavatel povinen postupovat tak, aby předcházel rizikům, odstraňoval je nebo minimalizoval, mluví se o tzv. prevenční povinnosti. Zaměstnavatel je tedy v situaci ohrožení povinen přijmout potřebná ochranná opatření odpovídající daným okolnostem. Je přirozeně vhodné postupovat v součinnosti s orgány ochrany veřejného zdraví, kterým je také zaměstnavatel v některých situacích povinen ohlásit skutečnosti stanovené právní úpravou.  

Zaměstnavatelé musí také v rámci preventivní povinnosti informovat o rizicích vhodným způsobem ostatní zaměstnance. Takové riziko může spočívat v tom, že na pracovišti se vyskytuje nebo vyskytovala nakažená osoba. Tehdy zaměstnavatel postupuje tak, že učiní veškerá nezbytná opatření. Skutečnosti o konkrétní osobě sděluje zaměstnavatel pouze v rozsahu nezbytném k ochraně zdraví, vždy tak aby nebyla dotčena důstojnost a integrita této osoby.


27.03.2020 (autor Redakce)





Související

Nové pokyny Sboru v souvislosti s COVID-19

Evropský sbor pro ochranu osobních údajů schválil ve zrychleném řízení dva dokumenty ke zpracování osobních...

 vydáno 25.05.2020 
Téma: Dokumentace GDPR

Měření teploty při vstupu na pracoviště v době koronavirové pandemie

Může zaměstnavatel měřit tělesnou teplotu svých zaměstnanců a dalších osob při vstupu na pracoviště? Odpověď...

 vydáno 13.05.2020 
Téma: Evidence zpracování

Za šíření obchodních sdělení je kromě rozesílatele odpovědný i objednavatel

Odpovědnost za šíření obchodních sdělení není pouze na jeho rozesílateli, ale především na tom, v jehož...

 vydáno 05.05.2020 
Téma: Zákony a GDPR



Související dotazy
Odpovídá Ing. Vladimír Paclík
Dobrý den, rozhodně nepoužívejte rodné číslo. Podle § 13c odst. 1 písm. b) zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně...

Odpovídá Ing. Vladimír Paclík
Dobrý den, ano, můžete, je to Váš oprávněný zájem - v rámci vyřízení reklamace se bez nich neobejdete a reklamaci vyřídit nemůžete. "Nezbytně dlouhá...

Odpovídá Ing. Vladimír Paclík
Dobrý den, ano, chápete to správně. Jednak není třeba souhlas - existuje zákonný rámec - Zákoník práce, pak také smluvní rámec (samozřejmě ten by...



www.helpgdpr.cz
© Copyright 2000 - 2020, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz