Môže zamestnávateľ požadovať od zamestnanca test na COVID-19? Je to v súlade s GDPR?
Aktualizované k 31.10.2020
Na to, aby sme si zodpovedali túto otázku, je potrebné poukázať na niekoľko dôležitých skutočností. Od 1.10.2020 platí na celom území Slovenskej republiky núdzový stav v zmysle zákona č. 227/2002 o bezpečnosti štátu v čase vojny, vojnového stavu a núdzového stavu. Tento zákon umožňuje, aby boli osobám žijúcim na Slovensku počas vyhláseného núdzového stavu v nevyhnutnom rozsahu a na nevyhnutný čas obmedzené ich základné práva a slobody, pričom je možné uložiť im aj určité povinnosti. Zhoršujúca sa situácia okolo pandémie koronavírusu vyvrcholila dňa 24.10.2020 vyhlásením lockdownu a zároveň vyhlásením celoplošného testovania, ktoré sa uskutoční už od 30.10.2020 do 1.11.2020 a pravdepodobne sa zopakuje aj v nasledovný víkend od 7.11.2020 do 8.11.2020. Podmienky lockdownu ako aj priebehu celoplošného testovania upravujú uznesenia vlády č. 678 z 22/10/2020, a č. 693 z 28/10/2020.
Celoplošné testovanie je dobrovoľné, avšak na to, aby sa na osobu nevzťahovali pravidlá zákazu vychádzania, je potrebné aby sa vedela preukázať negatívnym výsledkom antigénového alebo PCR testovania. Osoby, ktoré sa testovania zúčastnia, avšak výsledok čo i len jedného člena domácnosti bude COVID-19 pozitívny, majú povinnosť ostať v 10 dňovej domácej karanténe. Ako bude prebiehať kontrola dodržiavania povinnej karantény? Považuje sa výsledok testovania za osobný údaj? Môže od vás zamestnávateľ požadovať preukázanie výsledku testovania a môže od vás vôbec požadovať odpoveď, či ste sa celoplošného testovania zúčastnili? Odpovede na tieto otázky nám objasnilo predbežné stanovisko Úradu na ochranu osobných údajov SR (ďalej len ako ,,Úrad“).
Je výsledok testu na COVID-19 osobný údaj?
Áno je. Problematika celoplošného testovania bezprostredne súvisí aj s oblasťou ochrany osobných údajov, pretože podľa GDPR a zákona o ochrane osobných údajov sú osobným údajom všetky informácie, ktoré sa týkajú identifikovanej alebo identifikovateľnej osoby. Zjednodušene povedané, osobné údaje sú všetky informácie vzťahujúce sa na osobu, ktorú možno na ich základe priamo alebo nepriamo identifikovať. Pokiaľ sa výsledok testu na COVID-19 týka osoby, ktorú možno priamo alebo nepriamo identifikovať, je to bez pochybností osobný údaj. Dokonca nie je to len hocijaký osobný údaj, ale tzv. citlivý osobný údaj, pretože ide o údaj o zdravotnom stave a z toho dôvodu sa riadi ešte prísnejšími pravidlami.
Kedy dochádza k spracúvaniu osobných údajov?
Spracúvaním osobných údajov je akákoľvek spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami. Spracúvaním osobných údajov je teda akákoľvek činnosť s osobnými údajmi, bez. ohľadu na to, či je vykonávaná v listinnej alebo elektronickej forme.
GDPR a zákon o ochrane osobných sa však nevzťahuje na všetky spracovateľské činnosti za akýchkoľvek okolností. GDPR sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie osobných údajov inými než automatizovanými prostriedkami, ak ide o osobné údaje, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému. Z toho vyplýva, že GDPR je potrebné sa riadiť len v prípade, ak spracúvané osobné údaje tvoria súčasť informačného. systému alebo sú na to určené.
Za akých okolností možno spracúvať výsledok testu na COVID-19?
Spracúvať tzv. citlivé osobné údaje, ktorým je aj výsledok testu na COVID-19, možno len v prípadoch, ktoré GDPR a zákon o ochrane osobných údajov výslovne určuje. Podľa čl. 9 ods. 2 GDPR možno údaje o zdravotnom stave spracúvať len v nasledovných prípadoch:
- dotknutá osoba naň dala výslovný súhlas;
- spracúvanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie alebo právom členského štátu alebo kolektívnou zmluvou podľa práva členského štátu poskytujúcimi primerané záruky ochrany základných práv a záujmov dotknutej osoby;
- spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas;
- spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté príjemcovi bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby;
- spracúvajú sa osobné údaje, ktoré dotknutá osoba zverejnila;
- spracúvanie je nevyhnutné na uplatnenie právneho nároku alebo pri výkone súdnej právomoci;
- spracúvanie je nevyhnutné z dôvodu verejného záujmu na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby;
- spracúvanie je nevyhnutné na účel preventívneho pracovného lekárstva, poskytovania zdravotnej starostlivosti a služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo na účel vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohľad nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená osoba, ktorá je viazaná povinnosťou mlčanlivosti o skutočnostiach, o ktorých sa dozvedela pri výkone svojej činnosti, a povinnosťou dodržiavať zásady profesijnej etiky;
- spracúvanie je nevyhnutné na účel sociálneho poistenia, sociálneho zabezpečenia policajtov a vojakov, poskytovania štátnych sociálnych dávok, podpory sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti, poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo na účel poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účel plnenia povinností alebo uplatnenia práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v oblasti služieb zamestnanosti, ak to prevádzkovateľovi vyplýva z osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná;
- spracúvanie je nevyhnutné z dôvodu verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti, liekov, dietetických potravín alebo zdravotníckych pomôcok, na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktorými sa ustanovujú vhodné a konkrétne opatrenia na ochranu práv dotknutej osoby, najmä povinnosť mlčanlivosti,;
- spracúvanie je nevyhnutné na účel archivácie, vedeckého a historického výskumu alebo na štatistický účel.
Výsledok testu na COVID-19 je teda možné spracúvať len v niektorom z vyššie uvedených prípadov.
Môže od Vás zamestnávateľ žiadať výsledok testu na COVID-19?
Táto otázka vyvolala medzi obyvateľmi Slovenska natoľko búrlivú diskusiu, že bolo nevyhnutné požiadať o stanovisko Úradu na ochranu osobných údajov. Úrad preto dňa 29.10.2020 vydal predbežné stanovisko, v ktorom problematiku rieši nasledovne:
Osobné údaje zamestnanca môže zamestnávateľ spracúvať výlučne na niektorom z právnych základov vymedzených GDPR. Väčšina osobných údajov sa v rámci pracovnoprávnych vzťahov spracúva na základe osobitných právnych predpisov, ktorými sú najmä Zákonník práce, zákon o štátnej službe, zákon o výkone práce vo verejnom záujme a podobne. Spracúvané sú teda bez potreby vyjadrenia súhlasu zamestnanca.
Momentálne v rámci relevantných právnych predpisov týkajúcich sa pracovnoprávnych vzťahov, pre spracúvanie negatívneho výsledku testovania (a prípadne aj certifikátu MZ SR) úradu nie je známy primeraný právny základ, nakoľko Zákonník práce ustanovuje ako povinnosť v súvislosti so zdravotným stavom zamestnanca len nahlásenie jeho práceneschopnosti, alebo inej prekážky v práci, ktorá u neho nastala.
Úrad však vníma súčasnú závažnú situáciu a poukazuje aj na existenciu núdzového stavu, ktorý je vyhlásený už od začiatku októbra. Svoje predbežné stanovisko preto ukončuje tým, že odporúča, aby vzhľadom k bodu C.1 uznesenia vlády č. 693/2020 bola vydaná vyhláška, ktorá by presne určovala, ktoré osoby sú povinné preukázať sa negatívnym výsledkom, kto je oprávnený požadovať preukázanie výsledku testovania a dokedy a na aký účel bude toto preukazovanie vykonávané. Zjednodušene povedané, zatiaľ neexistuje žiadny právny základ na to, aby od vás mohol váš zamestnávateľ, ako podmienku vstupu na pracovisko alebo výkon pracovnej činnosti, požadovať akýkoľvek výsledok testu na COVID-19. Ak by teda hlavný hygienik SR vydal vyhlášku, ktorou upraví všetky požadované náležitosti, ktoré Úrad uviedol vo svojom predbežnom stanovisku, malo by byť vyžadovanie preukázania sa výsledkom testu na COVID-19 v súlade s GDPR.
Vyhláška Úradu verejného zdravotníctva
Následne dňa 30.10 vydal Úrad verejného zdravotníctva vyhlášku, ktorou sa nariaďujú opatrenia pri ohrození verejného zdravia k režimu vstupu osôb do priestorov prevádzok a priestorov zamestnávateľa. Podľa vyhlášky sa v období od 2. novembra 2020 05:00 hod. do 9. novembra 2020 01:00 hod. z dôvodu ochrany života a zdravia všetkým prevádzkovateľom zariadení nariaďuje zakázať vstup do vnútorných a vonkajších priestorov osobám, okrem vo vyhláške uvedených výnimiek. Na základe tejto výnimky môže vstúpiť do priestorov prevádzkovateľa osoba, ktorá sa preukáže potvrdením o negatívnom výsledku RT – PCR testu vykonaným od 29.októbra 2020 do 1. novembra 2020 alebo certifikátom vydaným Ministerstvom zdravotníctva Slovenskej republiky s negatívnym výsledkom antigénového testu na ochorenie COVID-19 vykonaným od 29. októbra 2020 do 1. novembra 2020 subjektom podieľajúcim sa na celoplošnom testovaní́ „Spoločná́ zodpovednosť̌“.
Za účelom overenia, že sa na osobu nevzťahuje zákaz vstupu je prevádzkovateľ̌ zariadenia oprávnený požadovať̌od osoby vstupujúcej do vnútorných alebo vonkajších priestorov prevádzky predloženie príslušného dokladu, ktorý́ preukazuje splnenie tejto povinnosti, Do dokladu môže prevádzkovateľ však len nahliadnuť.
Vo vyhláške sa ďalej nariaďuje všetkým zamestnávateľom zakázať v tomto období vstup zamestnancom na pracovisko, okrem tých, ktorí spĺňajú podmienky stanovené vyhláškou. Tí zamestnanci, ktorí majú výsledok testu na COVID-19 teda na pracovisko vstúpiť môžu. K tomu, aby zamestnávateľ overil, či zamestnanec spĺňa niektorú z podmienok pre vstup na pracovisko, je zamestnávateľ oprávnený požadovať od zamestnanca vstupujúceho na pracovisko alebo do iných priestorov zamestnávateľa predloženie príslušného dokladu preukazujúceho splnenie tejto podmienky. Zamestnávateľ je oprávnený do výsledku testu na COVID-19 len nahliadnuť. Pokiaľ zamestnávateľ zakáže zamestnancovi vstup na pracovisko z dôvodu, že sa nevie preukázať negatívnym výsledkom testu na COVID-19, alebo iným dokladom preukazujúcim plnenie niektorej z podmienok podľa vyhlášky, považuje sa to za nesplnenie požiadavky bezpečnosti a ochrany zdravia pri práci.
Ani vyhláška nie je dostatočná!
Ani po tom, ako Úrad verejného zdravotníctva vydal očakávanú vyhlášku, ktorá určuje podmienky, kedy je prevádzkovateľ povinný žiadať od zákazníka či zamestnanca nahliadnutie do výsledku testu, Úrad na ochranu osobných údajov to nepovažuje za dostatočné. Vo svojom stanovisku zo dňa 31.10 uviedol, že „vykonal právnu analýzu s ohľadom na ochranu osobných údajov, ktorú zaslal UVZ SR. Na základe tejto analýzy dospel k tomu, že ustanovenia zákona č. 355/2007 Z. z., ktoré má vyhláška vykonávať, táto v navrhovanom znení nereflektuje. S ohľadom na uvedené úrad nateraz zotrváva na svojom stanovisku z 29/10/2020 „Uznesenia vlády č. 678, aj 693, z pohľadu ochrany osobných údajov, nepovažujeme k dnešnému dňu za dostatočný právny základ na spracúvanie údajov týkajúcich sa zdravia.“. Z uvedeného stanoviska vyplýva, že uznesenie vlády ani vyhlášku Úradu verejného zdravotníctva v znení, v akom aktuálne sú, nie je možné považovať za dostatočný právny základ na spracúvanie osobných údajov o zdravotnom stave.
Úrad vlády nesúhlasí!
K uvedenému stanovisku sa vyjadril Úrad vlády SR. V ňom uviedol, že aj keď sa Úrad na ochranu osobných údajov odvoláva na GDPR, toto sa nevzťahuje na spracúvanie osobných údajov v rámci činností, ktoré nepatria do pôsobnosti práva Európskej únie. Ďalej konštatuje, že „Úrad na ochranu osobných údajov sa neorientuje ani v základnej legislatíve, ktorá upravuje jeho činnosť„. Navyše pripomína „Úradu na ochranu osobných údajov, že zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov sa vzťahuje len na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie osobných údajov inými než automatizovanými prostriedkami, ak ide o osobné údaje, ktoré tvoria súčasť informačného systému, alebo sú určené na to, aby tvorili súčasť informačného systému; preto sa pri dotknutej vyhláške Úradu verejného zdravotníctva nejedná o spracúvanie osobných údajov podľa zákona č. 18/2018 Z. z.“ Na záver Úrad vlády SR konštatuje, že „Úrad na ochranu osobných údajov je dozorným orgánom podľa zákona č. 18/2018 Z. z. a vyššie uvedeného všeobecného nariadenia o ochrane údajov, preto navyše takýmto vyjadrením nielen ukazuje svoju neodbornosť, ale aj prekračuje právomoci. Úrad na ochranu osobných údajov si zrejme neuvedomuje, že takouto činnosťou bude musieť znášať všetky negatívne konzekvencie spôsobené svojím prekročením právomoci.“
Záver
V súvislosti s nahliadaním prevádzkovateľa alebo zamestnávateľa do výsledku testu na COVID-19, je potrebné si v prvom rade vyriešiť otázku, kedy je tento údaj osobným údajom a kedy dochádza k jeho spracúvaniu. Výsledok testu je osobný údaj len v prípade, ak sa týka osoby, ktorú je možno priamo alebo nepriamo identifikovať. K jeho spracúvaniu dochádza len vtedy, ak je spracúvanie vykonávané úplne alebo čiastočne automatizovanými prostriedkami alebo inými než automatizovanými prostriedkami, ak tvorí výsledok testu súčasť informačného systému alebo je určený na to, aby tvoril súčasť informačného systému. Z toho vyplýva, že za istých okolností, ak by napr. strážnik pri vstupe do obchodu nahliadol do výsledku testu a žiadnym iným spôsobom by tento údaj nezaznamenal ani nespracúval, nemusí ísť vôbec o spracúvanie osobných údajov, na ktoré by sa vzťahovalo GDPR a zákon o ochrane osobných údajov. Ak by si však napríklad zamestnávateľ poznačil do spisu zamestnanca, že predložil k nahliadnutiu negatívny výsledok testu, už by pravdepodobne o spracúvanie osobných údajov išlo.
Pre prípady, keď by skutočne išlo o. spracúvanie osobných údajov, je potrebné dodržiavať GDPR a splniť si všekty povinnosti, ktoré. sa na to vzťahujú. Jednou z nich je aj dodržiavanie zákonnosti spracúvania osobných údajov. V rámci toho je potrebné mať správny právny základ na spracúvanie osobných údajov. Úrad na ochranu osobných údajov vo svojom stanovisku konštatuje, že spracúvať osobné údaje možno na právnom základe plnenia zákonnej povinnosti, t.j. ak táto povinnosť vyplýva prevádzkovateľovi zo zákona. Pritom Zákonník práce, Uznesenie vlády č. 678, Uznesenie vlády č. 693 a dokonca ani Vyhláška Úradu verjeného zdravotníctva v súčasnom znení nepovažuje sa dostatočný právny základ pre spracúvanie osobných údajov o zdravotnom stave, t.j. pre spracúvanie výsledku testu na COVID-19. Úrad vlády SR to však odmieta.
Prikáňame sa k tomu, že zo samotného Zákonníka práce ani uvedených Uznesení vlády nevyplýva prevádzkovateľovi priamo povinnosť spracúvať osobné údaje v podobe výsledku testu na COVID-19. Čo sa týka vyhlášky Úradu verejného zdravotníctva, Ůrad na ochranu osobných údajov nezverejnil právnu argumentáciu, pre ktorú považuje vyhlášku za nedostatočnú.
Podľa nášho názoru pri spracúvaní osobných údajov v súvislosti s pandémiou COVID-19 prichádzajú do úvahy nasledovné právne základ:
- – spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa
- – spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
- – príp. aj ak spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.
Pri spracúvaní osobitnej kategórie osobných údajov, vrátane údaju o negatívnom výsledku testu na COVID-19, prichádza podľa nášho názoru do úvahy niektorý z nasledovných právnych základov:
- – spracúvanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie alebo právom členského štátu alebo kolektívnou zmluvou podľa práva členského štátu poskytujúcimi primerané záruky ochrany základných práv a záujmov dotknutej osoby;
- – spracúvanie je nevyhnutné z dôvodov významného verejného záujmu na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a stanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby;
- – spracúvanie je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie alebo práva členského štátu, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, najmä profesijné tajomstvo;
Na záver upozorňujeme, že prevádzkovateľ musí pri spracúvaní týchto osobných údajov splniť všetky povinnosti vyplývajúce mu z GDPR. Medzi patrí napríklad informačná povinnosť, v rámci ktorej musí dotknuté osoby informovať o podmienkach spracúvaniaich osobných údajov a ich právach. Ak vás zaujíma, aké povinnosti vám v súvislosti s GDPR vznikajú, prečítajte si knihu GDPR v praxi.