25.08.2020
Ke zpracování osobních údajů v rámci opatření proti šíření koronaviru
V současné mimořádné situaci vyvstávají otázky týkající se zpracování osobních údajů o zdravotním stavu osob, které mohou být šiřiteli nákazy, včetně zpracování údajů umožňujících jejich předchozí lokalizaci, potřebných k dohledání dalších osob, které s nimi byly ve styku. Otázky v souvislosti s opatřeními pro zamezení nákazy a ochrany zaměstnanců kladou také zaměstnavatelé.
V jakém rozsahu mohou orgány ochrany veřejného zdraví za současného stavu nouze shromažďovat, analyzovat a uchovávat „citlivé" údaje o prokazatelně nebo pravděpodobně nakažených či nemocných osobách?
Pravidla stanovená obecným nařízením o ochraně osobních údajů (GDPR) na takovouto mimořádnou situaci pamatují v článku 9 odst. 2 písm. i), podle kterého lze zpracovávat údaje o zdravotním stavu osob, jestliže je to nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví a ochrany před vážnými přeshraničními zdravotními hrozbami. Konkrétní situace zahrnující zpracování osobních údajů, jejich rozsah a dobu ukládání upravuje zákon o ochraně veřejného zdraví.
Příslušné orgány ochrany veřejného zdraví jsou oprávněny provádět epidemiologická šetření zaměřená zejména na ověření diagnózy a zjištění ohniska nákazy. Osoby jsou povinny sdělit příslušnému orgánu na jeho výzvu okolnosti důležité v zájmu podobných šetření.
Co opravňuje orgány ochrany veřejného zdraví shromažďovat, analyzovat a uchovávat „citlivé" údaje o prokazatelně nebo pravděpodobně nakažených či nemocných osobách?
V současné době platí nouzový stav, který byl vyhlášen usnesením vlády. Jedná se o období, kdy je možné na nezbytně nutnou dobu a v nezbytně nutném rozsahu omezit některá práva a svobody. Tzv. trasování je umožněno usnesením vlády č. 250 ze dne 18. března 2020 k zajištění zvýšené ochrany obyvatel.
Pokud je to nezbytné ke zjištění ohniska nákazy, mohou orgány ochrany veřejného zdraví požadovat u telekomunikačních operátorů údaje o pohybu osob vyplývající z lokalizačních údajů zjištěných z mobilního telefonu. Dotčené osoby však musí být o takovém opatření informovány.
Zároveň musí být respektovány obecné zásady shromažďování osobních údajů včetně přiměřenosti těchto opatření a omezení doby trvání takového opatření na nezbytnou dobu.
Může zaměstnavatel uložit zaměstnancům povinnost používat aplikaci eRouška v pracovním (služebním) telefonu?
Aplikace eRouška je založena na dobrovolnosti. K jejímu používání nemůže být nikdo nucen, tedy ani zaměstnanec využívající služební mobilní telefon jako pracovní prostředek přidělený zaměstnavatelem. Zaměstnavatel nemůže bez zákonného zmocnění ukládat zaměstnanci povinnost stát se subjektem údajů ve zpracování, u kterého zaměstnavatel není správcem osobních údajů.
Povinné mobilní aplikace by ze zákona měly poskytnout záruky, že údaje umožňující identifikaci konkrétního uživatele aplikace jsou využity pouze k trasování možného šíření nákazy COVID-19, za důsledného dodržení zásady omezení uložení osobních údajů pouze po dobu nezbytně nutnou. K jinému účelu být využity nemohou.
Mohou provozovatelé restaurací a pořadatelé společenských a kulturních akcí z vlastního rozhodnutí nařídit evidenci návštěvníků jimi spravovaných zařízení?
Rozhodnutí o vedení evidence návštěvníků přísluší pouze orgánům ochrany veřejného zdraví, pokud by s ohledem na aktuální stav pandemické situace konstatovaly nezbytnost vedení evidence návštěvníků určitých podniků z důvodu veřejného zájmu v oblasti veřejného zdraví.
Evidence fyzických osob je zpracováním osobních údajů, ke kterému musí být právní důvod podle článku 6, v případě údajů o zdravotním stavu i článku 9 GDPR. Vedení takové evidence za účelem zjišťování osob pozitivních na COVID-19 nelze založit na souhlasu návštěvníků, neboť souhlas je svobodným a odvolatelným projevem vůle a jeho udělením nemůže být podmiňováno poskytnutí služby. Nelze tedy předpokládat, že by souhlas dali všichni návštěvníci.
Svévolnou evidenci návštěvníků nelze ospravedlnit ani ochranou práv majitele restaurace třetích osob ve spojení s povinností zaměstnavatele zajistit zaměstnancům bezpečnost na pracovišti podle zákoníku práce, neboť sběr a uchovávání údajů cizích osob nelze považovat za nezbytné a převažující nad právem na ochranu osobních údajů.
Může zaměstnavatel v současné situaci zjišťovat údaje o zdravotním stavu zaměstnanců např. při nástupu do práce?
Zákoník práce obecně ukládá zaměstnavateli povinnost vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímáním opatření k předcházení rizikům.
V konkrétních situacích je zaměstnavatel povinen postupovat tak, aby předcházel rizikům, odstraňoval je nebo minimalizoval, mluví se o tzv. prevenční povinnosti. Zaměstnavatel je tedy v situaci ohrožení povinen přijmout potřebná ochranná opatření odpovídající daným okolnostem. Je přirozeně vhodné postupovat v součinnosti s orgány ochrany veřejného zdraví, kterým je také zaměstnavatel v některých situacích povinen ohlásit skutečnosti stanovené právní úpravou.
Zaměstnavatelé musí také v rámci preventivní povinnosti informovat o rizicích vhodným způsobem ostatní zaměstnance. Takové riziko může spočívat v tom, že na pracovišti se vyskytuje nebo vyskytovala nakažená osoba. Tehdy zaměstnavatel postupuje tak, že učiní veškerá nezbytná opatření. Skutečnosti o konkrétní osobě sděluje zaměstnavatel pouze v rozsahu nezbytném k ochraně zdraví, vždy tak aby nebyla dotčena důstojnost a integrita této osoby.
!! nové !! Může zaměstnavatel v souvislosti se svým oprávněným zájmem a zajištěním bezpečnosti na pracovišti během aktuální koronavirové situace požadovat, aby mu zaměstnanci sdělovali údaje o své dovolené? Tedy například kterou zemi navštívili, kde byli ubytováni, jak se stravovali či jakých hromadných akcí se zúčastnili?
Takto široce kladený okruh otázek porušuje zásadu minimalizace údajů. Je nepřiměřený.
Odpovídající jsou například formulace typu, zdali země, ve které zaměstnanec strávil dovolenou, není aktuálně na seznamu zemí označených jako rizikové, zda byly plněny požadavky orgánů ochrany veřejného zdraví z toho případně vyplývající či jestli si není vědom toho, že by přišel do styku s nákazou.
Zároveň je třeba dodržet zásadu omezení uložení údajů na dobu nezbytně nutnou. Není důvod, aby údaje týkající se možné nákazy byly zaměstnavatelem evidovány dlouhodobě.
V úvahu je třeba brát i charakter pracoviště.
Může výbor společenství vlastníků požadovat po obyvatelích domu sdělení, že se u někoho z nich vyskytla nákaza, aby mohla být provedena okamžitá dezinfekce všech dotčených prostor domu a spoluvlastníci byli o výskytu nákazy v domě informováni? Jakým způsobem lze nakládat s údaji o nákaze mimo postupy nařízené příslušnými orgány ochrany veřejného zdraví?
K získávání a zpracování osobních údajů v souvislosti s šířením nákazy jsou podle zákona o ochraně veřejného zdraví oprávněny orgány ochrany veřejného zdraví a takové zpracování může probíhat pouze na základě jejich pokynů.
Situace popisovaná v dotazu však nenasvědčuje tomu, že by ze strany výboru společenství vlastníků mělo být zahajováno zpracování osobních údajů obyvatel domu v souvislosti s nakažlivou chorobou. Proto ani žádost výboru společenství o sdělení anonymní informace o výskytu nákazy není a priori porušením povinností při zpracování osobních údajů. Na tuto situaci se obecné nařízení o ochraně osobních údajů (GDPR) nepoužije.
Problém se týká jiného nakládání s osobními údaji obyvatel domu, a to dokonce údajů způsobilých vyvolat vážné důsledky pro toho, o kom vypovídají. Použitý postup je třeba posuzovat z hlediska aktuálních společenských norem.
Jinými slovy, anonymita sdělování informací o pozitivním výsledku testování na COVID-19 je považována za vysoce žádoucí a důsledně na ni dbají i státní orgány. Podmínky pro její zachování nejsou na základě výzvy orgánu společenství vlastníků zjevně vytvořeny. Tak by tomu bylo pouze tehdy, pokud by orgán společenství žádal o anonymní sdělení a současně by ujistil, že nebude vyvíjet snahu o identifikaci oznamovatele.
Mohou být údaje o osobách zařazených do krizového štábu uloženy v zahraničním cloudu?
Pokud není k dispozici národní infrastruktura, je, i s ohledem na minimální rozsah osobních údajů a potřebu umožnit jednoduché rychlé spojení bezpečnostní rady se členy štábu, využití zahraničního cloudového řešení akceptovatelné.
Údaje osob, zařazených do krizového štábu města nebo městské části by měly být omezeny pokud možno jen na kontaktní údaje (jméno, funkce + pracovní e-mail, pracovní telefon). V tomto minimálním rozsahu není jejich zpracování rizikové.
Současně je třeba upozornit oprávněné osoby, které k údajům budou mít přístup, že některé informace, např. telefonní čísla policistů, jsou neveřejné.