V současné mimořádné situaci vyvstávají otázky týkající se zpracování osobních údajů o zdravotním stavu osob, které mohou být šiřiteli nákazy, včetně zpracování údajů umožňujících jejich předchozí lokalizaci, potřebných k dohledání dalších osob, které s nimi byly ve styku. Otázky v souvislosti s opatřeními pro zamezení nákazy a ochrany zaměstnanců kladou také zaměstnavatelé.
Mohou být kontaktní údaje osob (telefon, e-mail) zařazených do krizového štábu města nebo městské části za současného stavu nouze uloženy v zahraničním cloudu, když
- existuje odkaz (token) umožňující zobrazení údajů členům bezpečnostní rady štábu,
- k účtu, který umožňuje operativní aktualizaci údajů, má přístup pouze tajemník bezpečnostní rady štábu a tajemník úřadu?
Nemusí tak docházet k opakovanému rozesílání informací po každé aktualizaci, které by nemuselo zaručit jejich doručení.
Pokud není k dispozici národní infrastruktura,
je, i s ohledem na minimální rozsah osobních údajů a potřebu umožnit jednoduché rychlé spojení bezpečnostní rady se členy štábu,
využití zahraničního cloudového řešení akceptovatelné.
Údaje osob, zařazených do krizového štábu města nebo městské části by měly být omezeny pokud možno jen na kontaktní údaje (jméno, funkce + pracovní e-mail, pracovní telefon).
V tomto minimálním rozsahu není jejich zpracování rizikové.
Současně je třeba upozornit oprávněné osoby, které k údajům budou mít přístup, že některé informace, např. telefonní čísla policistů, jsou neveřejné.
Jakým způsobem je přípustné nakládat s údaji o nákaze mimo nařízené postupy? Může výbor společenství vlastníků požadovat po obyvatelích domu sdělení, že se u někoho z nich vyskytla nákaza, aby mohla být provedena okamžitá dezinfekce všech dotčených prostor domu a spoluvlastníci byli o výskytu nákazy v domě informováni? Je tento postup správný z hlediska zásad uvedených v obecném nařízení o ochraně osobních údajů (GDPR)?
K získávání a zpracování osobních údajů v souvislosti s šířením nákazy jsou podle zákona o ochraně veřejného zdraví oprávněny
orgány ochrany veřejného zdraví a takové zpracování může probíhat pouze
na základě jejich pokynů.
Situace popisovaná v dotazu však nenasvědčuje tomu, že by ze strany výboru společenství vlastníků mělo být zahajováno zpracování osobních údajů obyvatel domu v souvislosti s nakažlivou chorobou. Proto ani žádost výboru společenství o sdělení anonymní informace o výskytu nákazy není a priori porušením povinností při zpracování osobních údajů.
Na tuto situaci se obecné nařízení o ochraně osobních údajů (GDPR) nepoužije.
Problém se týká jiného nakládání s osobními údaji obyvatel domu, a to dokonce údajů způsobilých vyvolat
vážné důsledky pro toho, o kom vypovídají. Použitý postup je třeba posuzovat z hlediska aktuálních společenských norem.
Jinými slovy,
anonymita sdělování informací o pozitivním výsledku testování na COVID-19
je považována za vysoce žádoucí a důsledně na ni dbají i státní orgány. Podmínky pro její zachování nejsou na základě výzvy orgánu společenství vlastníků zjevně vytvořeny. Tak by tomu bylo pouze tehdy, pokud by orgán společenství žádal o anonymní sdělení a současně by ujistil, že
nebude vyvíjet snahu o identifikaci oznamovatele.
V jakém rozsahu mohou orgány ochrany veřejného zdraví za současného stavu nouze shromažďovat, analyzovat a uchovávat „citlivé" údaje o prokazatelně nebo pravděpodobně nakažených či nemocných osobách?
Pravidla stanovená obecným nařízením o ochraně osobních údajů (GDPR) na takovouto mimořádnou situaci pamatují v článku 9 odst. 2 písm. i), podle kterého lze zpracovávat údaje o zdravotním stavu osob, jestliže je to
nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví a ochrany před vážnými přeshraničními zdravotními hrozbami. Konkrétní situace zahrnující zpracování osobních údajů, jejich rozsah a dobu ukládání upravuje zákon o ochraně veřejného zdraví.
Příslušné orgány ochrany veřejného zdraví jsou oprávněny provádět epidemiologická šetření zaměřená zejména na ověření diagnózy a zjištění ohniska nákazy. Osoby jsou povinny sdělit příslušnému orgánu na jeho výzvu okolnosti důležité v zájmu podobných šetření.
Mohou orgány ochrany veřejného zdraví vyžadovat a pracovat s údaji o pohybu těchto osob, např. vyplývajících z lokalizačních údajů mobilního telefonu či dotazem u telekomunikačních operátorů? Na základě čeho mohou operátoři trasovat pohyb nakažených osob?
V současné době platí nouzový stav, který byl vyhlášen usnesením vlády. Jedná se o období, kdy je možné na nezbytně nutnou dobu a v nezbytně nutném rozsahu omezit některá práva a svobody. Tzv. trasování je umožněno
usnesením vlády č. 250 ze dne 18. března 2020 k zajištění zvýšené ochrany obyvatel.
Pokud je to nezbytné ke zjištění ohniska nákazy, mohou orgány ochrany veřejného zdraví požadovat u telekomunikačních operátorů údaje o pohybu osob vyplývající z lokalizačních údajů zjištěných z mobilního telefonu. Dotčené osoby však musí být o takovém opatření informovány.
Zároveň musí být respektovány obecné zásady shromažďování osobních údajů včetně přiměřenosti těchto opatření a omezení doby trvání takového opatření na nezbytnou dobu.
Může zaměstnavatel v současné situaci zjišťovat údaje o zdravotním stavu zaměstnanců např. při nástupu do práce?
Zákoník práce obecně ukládá zaměstnavateli povinnost vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímáním opatření k předcházení rizikům.
V konkrétních situacích je zaměstnavatel povinen postupovat tak, aby
předcházel rizikům, odstraňoval je nebo minimalizoval, mluví se o tzv. prevenční povinnosti. Zaměstnavatel je tedy v situaci ohrožení
povinen přijmout potřebná ochranná opatření odpovídající daným okolnostem. Je přirozeně vhodné postupovat v součinnosti s orgány ochrany veřejného zdraví, kterým je také zaměstnavatel v některých situacích povinen ohlásit skutečnosti stanovené právní úpravou.
Zaměstnavatelé musí také v rámci preventivní povinnosti
informovat o rizicích vhodným způsobem ostatní zaměstnance. Takové riziko může spočívat v tom, že na pracovišti se vyskytuje nebo vyskytovala nakažená osoba. Tehdy zaměstnavatel postupuje tak, že učiní veškerá nezbytná opatření. Skutečnosti o konkrétní osobě sděluje zaměstnavatel
pouze v rozsahu nezbytném k ochraně zdraví, vždy tak aby nebyla dotčena důstojnost a integrita této osoby.