Zpracování osobních údajů v rámci opatření proti šíření koronaviru

V současné mimořádné situaci vyvstávají otázky týkající se zpracování osobních údajů o zdravotním stavu osob, které mohou být šiřiteli nákazy, včetně zpracování údajů umožňujících jejich předchozí lokalizaci, potřebných k dohledání dalších osob, které s nimi byly ve styku. Otázky v souvislosti s opatřeními pro zamezení nákazy a ochrany zaměstnanců kladou také zaměstnavatelé.

V jakém rozsahu mohou orgány ochrany veřejného zdraví za současného stavu nouze shromažďovat, analyzovat a uchovávat „citlivé" údaje o prokazatelně nebo pravděpodobně nakažených či nemocných osobách?

Pravidla stanovená obecným nařízením o ochraně osobních údajů (GDPR) na takovouto mimořádnou situaci pamatují v článku 9 odst. 2 písm. i), podle kterého lze zpracovávat údaje o zdravotním stavu osob, jestliže je to nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví a ochrany před vážnými přeshraničními zdravotními hrozbami. Konkrétní situace zahrnující zpracování osobních údajů, jejich rozsah a dobu ukládání upravuje zákon o ochraně veřejného zdraví.

Příslušné orgány ochrany veřejného zdraví jsou oprávněny provádět epidemiologická šetření zaměřená zejména na ověření diagnózy a zjištění ohniska nákazy. Osoby jsou povinny sdělit příslušnému orgánu na jeho výzvu okolnosti důležité v zájmu podobných šetření.

Co opravňuje orgány ochrany veřejného zdraví shromažďovat, analyzovat a uchovávat „citlivé" údaje o prokazatelně nebo pravděpodobně nakažených či nemocných osobách?

V současné době platí nouzový stav, který byl vyhlášen usnesením vlády. Jedná se o období, kdy je možné na nezbytně nutnou dobu a v nezbytně nutném rozsahu omezit některá práva a svobody. Tzv. trasování je umožněno usnesením vlády č. 250 ze dne 18. března 2020 k zajištění zvýšené ochrany obyvatel.

Pokud je to nezbytné ke zjištění ohniska nákazy, mohou orgány ochrany veřejného zdraví požadovat u telekomunikačních operátorů údaje o pohybu osob vyplývající z lokalizačních údajů zjištěných z mobilního telefonu
. Dotčené osoby však musí být o takovém opatření informovány.

Zároveň musí být respektovány obecné zásady shromažďování osobních údajů včetně přiměřenosti těchto opatření a omezení doby trvání takového opatření na nezbytnou dobu.

Může zaměstnavatel uložit zaměstnancům povinnost používat aplikaci eRouška v pracovním (služebním) telefonu?

Aplikace eRouška je založena na dobrovolnosti. K jejímu používání nemůže být nikdo nucen, tedy ani zaměstnanec využívající služební mobilní telefon jako pracovní prostředek přidělený zaměstnavatelem. Zaměstnavatel nemůže bez zákonného zmocnění ukládat zaměstnanci povinnost stát se subjektem údajů ve zpracování, u kterého zaměstnavatel není správcem osobních údajů. 

Povinné mobilní aplikace by ze zákona měly poskytnout záruky, že údaje umožňující identifikaci konkrétního uživatele aplikace jsou využity pouze k trasování možného šíření nákazy COVID-19, za důsledného dodržení zásady omezení uložení osobních údajů pouze po dobu nezbytně nutnou. K jinému účelu být využity nemohou.

Mohou provozovatelé restaurací a pořadatelé společenských a kulturních akcí z vlastního rozhodnutí nařídit evidenci návštěvníků jimi spravovaných zařízení?

Rozhodnutí o vedení evidence návštěvníků přísluší pouze orgánům ochrany veřejného zdraví, pokud by s ohledem na aktuální stav pandemické situace konstatovaly nezbytnost vedení evidence návštěvníků určitých podniků z důvodu veřejného zájmu v oblasti veřejného zdraví.

Evidence fyzických osob je zpracováním osobních údajů, ke kterému musí být právní důvod podle článku 6, v případě údajů o zdravotním stavu i článku 9 GDPR. Vedení takové evidence za účelem zjišťování osob pozitivních na COVID-19 nelze založit na souhlasu návštěvníků, neboť souhlas je svobodným a odvolatelným projevem vůle a jeho udělením nemůže být podmiňováno poskytnutí služby. Nelze tedy předpokládat, že by souhlas dali všichni návštěvníci. 

Svévolnou evidenci návštěvníků nelze ospravedlnit ani ochranou práv majitele restaurace třetích osob ve spojení s povinností zaměstnavatele zajistit zaměstnancům bezpečnost na pracovišti podle zákoníku práce, neboť sběr a uchovávání údajů cizích osob nelze považovat za nezbytné a převažující nad právem na ochranu osobních údajů.

Je možné vést v souvislosti se vzrůstajícím počtem nakažených dobrovolný seznam účastníků akce v rozsahu jméno a kontakt (e-mail nebo telefonní číslo), který by v případě potvrzení nákazy některého účastníka mohl být předán Krajské hygienické stanici?

Jestliže by šlo o dobrovolný seznam účastníků jednorázově pořádané akce, který by nesloužil k vytváření stálé evidence fyzických osob, a byl by skartován po 14 dnech, což je odpovídající doba pro to, aby se nákaza projevila, nebyl by takový postup v rozporu se zásadami ochrany osobních údajů.

Obdobně mohou být přípustná jednotlivá písemná prohlášení např. návštěvníků určité instituce, že nepřišli do styku s nákazou, pokud jsou uchovávána pouze po odpovídající dobu 14 dnů a není z nich vytvářena žádná evidence, ani nejsou podrobovány automatizovanému zpracování poskytnutých osobních údajů.

Může zaměstnavatel v současné situaci zjišťovat údaje o zdravotním stavu zaměstnanců např. při nástupu do práce?

Zákoník práce obecně ukládá zaměstnavateli povinnost vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímáním opatření k předcházení rizikům. 

V konkrétních situacích je zaměstnavatel povinen postupovat tak, aby předcházel rizikům, odstraňoval je nebo minimalizoval, mluví se o tzv. prevenční povinnosti. Zaměstnavatel je tedy v situaci ohrožení povinen přijmout potřebná ochranná opatření odpovídající daným okolnostem. Je přirozeně vhodné postupovat v součinnosti s orgány ochrany veřejného zdraví, kterým je také zaměstnavatel v některých situacích povinen ohlásit skutečnosti stanovené právní úpravou.   

Zaměstnavatelé musí také v rámci preventivní povinnosti informovat o rizicích vhodným způsobem ostatní zaměstnance. Takové riziko může spočívat v tom, že na pracovišti se vyskytuje nebo vyskytovala nakažená osoba. Tehdy zaměstnavatel postupuje tak, že učiní veškerá nezbytná opatření. Skutečnosti o konkrétní osobě sděluje zaměstnavatel pouze v rozsahu nezbytném k ochraně zdraví, vždy tak aby nebyla dotčena důstojnost a integrita této osoby.    

Může zaměstnavatel v souvislosti se svým oprávněným zájmem a zajištěním bezpečnosti na pracovišti během aktuální koronavirové situace požadovat, aby mu zaměstnanci sdělovali údaje o své dovolené? Tedy například kterou zemi navštívili, kde byli ubytováni, jak se stravovali či jakých hromadných akcí se zúčastnili?

Takto široce kladený okruh otázek porušuje zásadu minimalizace údajů. Je nepřiměřený

Odpovídající jsou například formulace typu, zdali země, ve které zaměstnanec strávil dovolenou, není aktuálně na seznamu zemí označených jako rizikové, zda byly plněny požadavky orgánů ochrany veřejného zdraví z toho případně vyplývající či jestli si není vědom toho, že by přišel do styku s nákazou. 

Zároveň je třeba dodržet zásadu omezení uložení údajů na dobu nezbytně nutnou. Není důvod, aby údaje týkající se možné nákazy byly zaměstnavatelem evidovány dlouhodobě. 

V úvahu je třeba brát i charakter pracoviště.

Může výbor společenství vlastníků požadovat po obyvatelích domu sdělení, že se u někoho z nich vyskytla nákaza, aby mohla být provedena okamžitá dezinfekce všech dotčených prostor domu a spoluvlastníci byli o výskytu nákazy v domě informováni? Jakým způsobem lze nakládat s údaji o nákaze mimo postupy nařízené příslušnými orgány ochrany veřejného zdraví?

K získávání a zpracování osobních údajů v souvislosti s šířením nákazy jsou podle zákona o ochraně veřejného zdraví oprávněny orgány ochrany veřejného zdraví a takové zpracování může probíhat pouze na základě jejich pokynů

Situace popisovaná v dotazu však nenasvědčuje tomu, že by ze strany výboru společenství vlastníků mělo být zahajováno zpracování osobních údajů obyvatel domu v souvislosti s nakažlivou chorobou. Proto ani žádost výboru společenství o sdělení anonymní informace o výskytu nákazy není a priori porušením povinností při zpracování osobních údajů. Na tuto situaci se obecné nařízení o ochraně osobních údajů (GDPR) nepoužije. 

Problém se týká jiného nakládání s osobními údaji obyvatel domu, a to dokonce údajů způsobilých vyvolat vážné důsledky pro toho, o kom vypovídají. Použitý postup je třeba posuzovat z hlediska aktuálních společenských norem. 

Jinými slovy, anonymita sdělování informací o pozitivním výsledku testování na COVID-19 je považována za vysoce žádoucí a důsledně na ni dbají i státní orgány. Podmínky pro její zachování nejsou na základě výzvy orgánu společenství vlastníků zjevně vytvořeny. Tak by tomu bylo pouze tehdy, pokud by orgán společenství žádal o anonymní sdělení a současně by ujistil, že nebude vyvíjet snahu o identifikaci oznamovatele. 

Mohou být údaje o osobách zařazených do krizového štábu uloženy v zahraničním cloudu?

Pokud není k dispozici národní infrastruktura, je, i s ohledem na minimální rozsah osobních údajů a potřebu umožnit jednoduché rychlé spojení bezpečnostní rady se členy štábu, využití zahraničního cloudového řešení akceptovatelné

Údaje osob, zařazených do krizového štábu města nebo městské části by měly být omezeny pokud možno jen na kontaktní údaje (jméno, funkce + pracovní e-mail, pracovní telefon). V tomto minimálním rozsahu není jejich zpracování rizikové

Současně je třeba upozornit oprávněné osoby, které k údajům budou mít přístup, že některé informace, např. telefonní čísla policistů, jsou neveřejné.
 


Téma: Evidence zpracování, Zdroj: Úřad pro ochranu osobních údajů
Štítky: Povinnosti správce, Právní základ, Účel zpracování, Vodítka k GDPR
25.08.2020 (autor Redakce)





Související

ÚOOÚ - Potvrzena miliónová pokuta pro Ministerstvo vnitra

Pokuta uložená Ministerstvu vnitra ČR ve výši 975 000 Kč za plošné zpracovávání údajů o osobách, kterým byla...

 vydáno 25.04.2023 
Téma: Zákony a GDPR

Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2022

Výroční zpráva ÚOOÚ za rok 2022 přináší přehled toho nejvýznamnějšího, čím se úřad zabýval, jaká témata...

 vydáno 04.04.2023 
Téma: Zákony a GDPR

ÚOOÚ - Nová úprava DPIA

Od 1. dubna letošního roku nabude účinnosti novela legislativních pravidel vlády. Ta mění pravidla pro...

 vydáno 14.02.2023 
Téma: Zákony a GDPR



Související dotazy
Odpovídá Ing. Vladimír Paclík
Dobrý den, ano, chápete to správně. Jednak není třeba souhlas - existuje zákonný rámec - Zákoník práce, pak také smluvní rámec (samozřejmě ten by...

Odpovídá Ing. Vladimír Paclík
Dobrý den, dle Vašeho dotazu předpokládám, že pronajímáte byt jako soukromá (fyzická) osoba. Přestože jste fyzickou osobou, Obecné nařízení se v...

Odpovídá Ing. Vladimír Paclík
Dobrý den, vzhledem k tomu, že jak Vy, tak Vaši klienti zpracováváte osobní údaje v rámci podnikání, stáváte se dle Obecného nařízení správci osobní...



www.helpgdpr.cz
© Copyright 2000 - 2024, všechna práva vyhrazena - European Business Enterprise, a.s., Spojovací 428, 251 63 Strančice
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz