Koronavírus

Koronavírus (COVID-19) a spracúvanie osobných údajov podľa GDPR

coronavirus-covid19-gdpr-ochrana-osobnych-udajov-lanikova
14 mar

Koronavírus (COVID-19) a spracúvanie osobných údajov podľa GDPR

V posledných dňoch je najdiskutovanejšou témou nákaza COVID-19. Na zamedzenie rozširovania  koronavírusu a ochranu zdravia našich obyvateľov bolo prijatých množstvo radikálnych opatrení, ktoré platia od 12.3.2020 pre všetkých z nás. Aj v takýchto ťažkých chvíľach by sme však nemali zabúdať na dodržiavanie právnych predpisov, vrátane tých o ochrane osobných údajov a uplatňovať primerané bezpečnostné opatrenia na zabezpečenie ochrany osobných údajov.

V súvislosti s koronavírusom vyvstali viaceré závažné otázky týkajúce sa spracúvania osobných údajov. V tomto článku sa snažíme zodpovedať najčastejšie otázky našich klientov v nadväznosti s GDPR a koronavíruse. 

Zdravie zamestnancov je prvoradé

Právo na súkromie zamestnanca je určite dôležité a zamestnávateľ ho musí rešpektovať. Na druhej strane zamestnávateľ nesie zodpovednosť za svojich zamestnancov a ich zdravie. Podľa Zákonníka práce sú zamestnávatelia povinní robiť opatrenia v záujme ochrany života a zdravia zamestnancov pri práci. Rovnako aj podľa zákona o bezpečnosti a ochrane zdravia pri práci sú zamestnávatelia povinní uplatňovať všeobecné zásady prevencie pri vykonávaní opatrení nevyhnutných na zaistenie bezpečnosti a ochrany zdravia pri práci vrátane zabezpečovania informácií, vzdelávania a organizácie práce a prostriedkov.

K tomu, aby zamestnávateľ mohol zabezpečiť splnenie týchto povinností, môže spracúvať osobné údaje zamestnancov v potrebnom rozsahu. Je preto v poriadku, ak zamestnávateľ žiada od zamestnanca napríklad informácie o tom, či bol v postihnutej krajine, či bol v styku s nakazenými osobami, kam plánuje vycestovať a pod. Tieto údaje je možné spracúvať aj systematicky, napr. prostredníctvom dotazníka. Taktiež zamestnávateľ môže napríklad viesť údaje o nakazených zamestnancoch za účelom zabezpečenia náhrady a plynulosti prevádzky. 

Môže zamestnávateľ spracúvať údaje o zdravotnom stave zamestnancov?

Spracúvanie osobných údajov zamestnancov by však nemalo byť neobmedzené. Osobitný dôraz by sa mal klásť na spracúvanie informácií o zdravotnom stave. Tieto údaje patria medzi osobitnú kategóriu osobných údajov, tzv. citlivé údaje. Na ich spracúvanie sa preto vzťahujú prísnejšie podmienky a vyžadujú si vyšší stupeň ochrany. GDPR presne určuje prípady, kedy je možné spracúvať tzv. citlivé osobné údaje. Zamestnávateľ môže spracúvať údaje o zdravotnom stave zamestnancov napr. ak je spracúvanie nevyhnutné

  1. z dôvodov verejného záujmu v oblasti verejného zdravia,
  2. na ochranu životne dôležitých záujmov dotknutej osoby,
  3. za účelom splnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany;
  4. preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca.

Ak nemôže zamestnávateľ spracúvať údaje o zdravotnom stave zamestnancov na niektorom z týchto právnych základov, príp. iných uvedených v čl. 9 GDPR, potrebuje súhlas zamestnanca.

Môže vám zamestnávateľ merať teplotu?

Údaj o nameranej teplote sa taktiež považuje za tzv. citlivý osobný údaj, a preto tieto informácie o zamestnancoch môže zamestnávateľ spracúvať len ak má na to niektorý z vyššie uvedených dôvodov, stanovených v čl. 9 GDPR. Podľa stanoviska Úradu na ochranu osobných údajov sa ako vhodný právny základ pre spracúvanie údajov o nameranej teplote zamestnancov javí čl. 9 ods. 2 písm. i) GDPR, podľa ktorého je takéto spracúvanie prípustné ak je to nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia. Pre jeho použitie je však potrebné, aby takéto podmienky boli stanovené vo všeobecne záväznom právnom predpise, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby /napr. uznesenie vlády/. V nadväznosti na vyhlásenú mimoriadnu situáciu, by takýmto všeobecne záväzným právnym predpisom mohol byť zákon č. 42/1994 Z. z. o civilnej ochrane obyvateľstva, na základe ktorého musí byť vydané konkrétne opatrenie.

Je spracúvanie citlivých údajov zamestnancov neobmedzené?

Niektoré orgány na ochranu osobných údajov členských štátov však zaujali vo veci také stanovisko, že právna úprava ochrany osobných údajov nie je prekážkou pre verejné zdravie, avšak radia zamestnávateľom, aby predchádzali systematickému a všeobecnému monitorovaniu a zbieraniu údajov o zdravotnom stave zamestnancov bez oficiálnej požiadavky alebo opatrení orgánov verejného zdravotníctva. Toto je úloha orgánov verejného zdravotníctva, nemocníc, či lekárov a nie zamestnávateľov.

Napríklad taliansky úrad napriek tomu, že Taliansko je momentálne najpostihnutejšou európskou krajinou, dal odporúčanie, aby sa zdržali vopred systematického a všeobecného zbierania údajov o prejavoch zamestnanca alebo jeho najbližších kontaktoch mimo pracovného prostredia. Podľa ich stanoviska zamestnávatelia nemôžu nútiť zamestnancov a návštevníkov, aby im poskytli údaje o prítomnosti príznakov koronavírusu.

Taktiež podľa príslušného francúzskeho úradu zamestnávatelia nie sú oprávnení zaviesť povinné meranie teploty zamestnancov a návštevníkov ani ich od nich vyžadovať vyplnenie dotazníka s otázkami týkajúcimi sa ich zdravotného stavu a prítomnosti príznakov nákazy.

Znamená to, že zamestnávateľ nemôže vôbec spracúvať údaje o výskyte koronavírusu na pracovisku?

Nie, zamestnávateľ môže spracúvať osobné údaje o zdravotnom stave zamestnancov, ak má na to niektorý z právnych dôvodov uvedených v čl. 9 GDPR, napr. ak je to nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia alebo plnenie povinnosti z oblasti pracovného práva. Vyhýbať sa však má systematickému a plošnému spracúvaniu informácií o prítomnosti symptómov všetkých zamestnancov. 

Komu môže zamestnanec dať informácie o nakazených zamestnancoch?

Zamestnávateľ je povinný ochrániť osobné údaje svojich zamestnancov a o to viac to platí pri údajoch o zdravotnom stave. Preto v prípade potreby má v tomto období prijať aj ďalšie bezpečnostné opatrenia na ochranu osobných údajov. Môže však nastať situácia, kedy napríklad zamestnávateľa niekto požiada o informácie o nakazenom zamestnancovi. Zamestnávateľ môže poskytnúť osobné údaje tretej osobe, len ak je to nevyhnutné a má na to zákonný dôvod. Zamestnávateľ môže poskytnúť osobné údaje napr. nemocnici alebo orgánom činným v trestnom konaní, ak je to nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia. Poskytovať osobné údaje médiám či verejnosti o tom, kto je konkrétne nakazený, sa nemôže.

Ako dlho môže zamestnávateľ uchovávať údaje o zdravotnom stave zamestnancov?

Vo všeobecnosti pri spracúvaní osobných údajov je potrebné dodržiavať zásadu minimalizácie uchovávanie. Podľa nej môže zamestnávateľ spracúvať osobné údaje len kým je to potrebné na účely, pre ktoré boli získané. To znamená, že údaje o zdravotnom stave spracúvané za účelom prevencie a boja proti koronavírusu je potrebné po skončení tohto účelu zlikvidovať.

Platia pre štátne orgány iné podmienky?

Rovnako ako zamestnávatelia, aj štát je povinný dodržiavať GDPR. Orgány verejnej správy môžu spracúvať osobné údaje, vrátane citlivých osobných údajov len na niektorom zo stanovených právnych základov.

Je trackovanie SIM kariet občanov porušením GDPR?

Za tak závažných okolností, akým je aj širenie koronavírusu, môžu štátne orgány spracúvať aj osobné údaje, ktoré by inak spracúvať nemohli. Samozrejme stále musia byť splnené zákonné podmienky. Ak je to nevyhnutné na plnenie úlohy vo verejnom záujme alebo pri výkone verejnej moci, či z iných zákonných dôvodov, môžu štátne orgány získavať  aj lokalizačné údaje občanov. Je však potrebné posudzovať každú spracovateľskú činnosť individuálne a spracúvať osobné údaje len v nevyhnutnej miere a určený účel. Taktiež je potrebné zvážiť, aké prostriedky na získavanie týchto údajov sú vhodné. Niektorý odborníci varujú pred používaním rôznych aplikácií na získavanie informácií o pohybe či zdravotnom stave ľudí.

Napríklad v Číne sú ľudia povinní si stiahnuť aplikáciu, ktorá ich skóruje na základe ich rizikovosti a zdieľa tieto informácie s políciou. Na základe takto získaných údajov sa reguluje život obyvateľov, či majú byť v karanténe alebo môžu používať metro, chodiť do nákupných centier či na verejné miesta.  Takéto spracúvanie osobných údajov štátom by v rámci EÚ zrejme nebolo možné.

Predstavuje home office nebezpečenstvo pre ochranu osobných údajov?

Množstvo zamestnávateľov v snahe obmedziť šírenie koronavírusu nariadilo svojim zamestnancom prácu z domu. V súvislosti s tým je však potrebné si uvedomiť, že pri práci z domu sa riziko straty alebo úniku osobných údajov zvyšuje. Zamestnávatelia ako aj zamestnanci by nemali preto zabúdať na ochranu osobných údajov a prijať potrebné bezpečnostné opatrenia.

Tzv. home office odporúča ako jedno z opatrení aj Národné centrum kybernetickej bezpečnosti SK-CERT.  Podľa odporúčaní zverejnených na webovej stránke sk-cert-sk by mal zamestnávateľ

  • zvážiť využitie tzv. „home office“ v najvyššej možnej miere najmä pri zamestnancoch, ktorých práca nie je závislá na fyzickej prítomnosti na pracovisku (nezabúdať na zabezpečenie práce z domu pomocou VPN spojenia a podobne),
  • poveriť zamestnancov s pridelenými notebookmi a mobilnými telefónmi nosiť ich domov,
  • poučiť svojich zamestnancov o riziku kybernetických útokov, ktoré okrem iného súvisia s využívaním home office,
  • všetky detegované incidenty je potrebné hlásiť Národnému centru kybernetickej bezpečnosti SK-CERT (podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti).[1]

Úrad na ochranu osobných údajov Slovenskej republiky odporúča vo svojom poslednom stanovisku, aby zamestnanci, ktorým bola povolená práca z domu, zabezpečili svoje počítače heslom a inými primeranými bezpečnostnými opatreniami.

Prvé pokuty za porušenie GDPR počas pandémie koronavírusu

Nedostatočné zabezpečenie počítačov a iných prostriedkov na spracúvanie osobných údajov môže viesť až k uloženiu pokuty. Príkladom je Dánsko, kde dánska agentúra na ochranu osobných údajov už navrhla v posledných dňoch uloženie pokuty obciam, ktorých zamestnanci nedostatočne chránili počítače s osobnými údajmi. Pre obce Gladsaxe a Hørsholm boli navrhnuté pokuty vo výške 100 000 DKK (13 381,15 EUR) a 50 000 DKK (6 690,57 EUR) za to, že odcudzené počítače neboli chránené šifrovaním a strata osobných údajov predstavovala neprimerané riziko pre občanov. V jednom prípade bol ukradnutý počítač z radnice Gladsaxe, ktorá obsahoval osobné údaje 20 620 občanov, vrátane informácií citlivej povahy. Druhé porušenie bezpečnosti nastalo vtedy, keď bol zamestnancovi obce Hørsholm ukradnutý z jeho auta počítač, ktorý obsahoval informácie o približne 1600 zamestnancov, vrátane informácií citlivej povahy.[2]

Napriek tomu, že nákaza COVID-19 predstavuje pre nás veľké nebezpečenstvo, netreba pri prijímaní opatrení na obmedzenie jej šírenia zabúdať ani na zákon o ochrane osobných údajov a dodržiavanie primeraných bezpečnostných opatrení. Pokiaľ si nie ste istý, ako môžete osobné údaje spracúvať, poraďte sa s našimi adovkátmi alebo si prečítajte o ochrane osobných údajov viac v knihe GDPR v praxi.

________

[1] https://www.sk-cert.sk/sk/bezpecnostne-odporucania-narodneho-centra-kybernetickej-bezpecnosti-sk-cert-pre-prevadzkovatelov-zakladnych-sluzieb-v-suvislosti-s-virusom-covid-19/index.html

[2] https://edpb.europa.eu/news/national-news/2020/fines-proposed-two-municipalities_en

Novší Situácia okolo koronavírusu si vyžiadala prijať opatrenia v prospech podnikateľov a daňovníkov
Naspäť na zoznam
Starší Krízový štáb SR prijal radikálne opatrenia v boji proti ochoreniu Covid-19