Hlavní navigace

Otázky a odpovědi ohledně testování ve firmách z pohledu ochrany údajů

7. 4. 2021
Doba čtení: 7 minut

Sdílet

 Autor: Depositphotos.com, podle licence: Rights Managed
Od března je ve firmách povinné testování zaměstnanců na koronavirus. Jak je to s ochranou osobních údajů?

Zaměstnavatelé, kteří zaměstnávají alespoň 250 osob, mají od středy 3. března povinnost zajistit pro ně antigenní testy prováděné buď zdravotníky, nebo přímo testovanou osobou. Vláda postupně tuto povinnost rozšířila na společnosti s 10 až 49 zaměstnanci a na OSVČ přicházející do styku s lidmi. Úřad pro ochranu osobních údajů v této souvislosti připravil doporučení.

Zaměstnavatelé totiž při plnění povinnosti testování zpracovávají údaje a musí přitom dodržet právní povinnosti vycházející jak z obecného nařízení pro ochranu osobních údajů (GDPR), tak být v souladu s příslušnými právními předpisy, jako je zákon č. 258/2000 Sb., o ochraně veřejného zdraví nebo zákon č. 94/2021 Sb., o mimořádných opatřeních při epidemii onemocnění COVID-19) a opatřeními z nich vyplývajícími. Tomáš Paták, tiskový mluvčí Úřadu pro ochranu osobních údajů, doplňuje, že neopomenutelným principem zůstává, že zaměstnanec je i v průběhu testování slabší stranou pracovněprávního vztahu, nemá jinou možnost než dané opatření strpět, přičemž s ním při praktických opatřeních musí být v tomto ohledu zacházeno nanejvýš ohleduplným a šetrným způsobem, s respektem nejen k ochraně osobních údajů, ale celkově k jeho soukromí a lidské důstojnosti. 

Jak je to s evidencí?

Povinnosti v souvislosti s ochranou osobních údajů nejsou zaměstnavatelům ukládány Úřadem pro ochranu osobních údajů, ale objektivně plynou z právních předpisů. Povinnost vést takovou evidenci se zvláštní kategorií osobních údajů (s výsledky testování) je pro řadu zaměstnavatelů zcela novou oblastí zpracování osobních údajů, se kterou nemají předchozí zkušenosti, uvádí dále Paták. Pokud je po zaměstnavateli ze strany příslušných orgánů vyžadována evidence takového údaje, jeví se jako praktické v této souvislosti vycházet z následujících nezávazných doporučení některých konkrétních opatření a postupů, které mohou zaměstnavatelům pomoci splnit povinnosti vyplývající z obecného nařízení. Stanovení konkrétního rozsahu evidovaných osobních údajů či doby jejich uchování přitom není v působnosti Úřadu pro ochranu osobních údajů. Každý ze zaměstnavatelů musí zpracování osobních údajů v evidenci testování přizpůsobit konkrétním podmínkám a rozsahu jeho činnosti.

Jak uchovávat údaje?

Ani doba pro uchování evidence testování nebyla v rámci mimořádného opatření stanovena. Podle úřadu se s ohledem na povinnosti, které jsou upraveny právními předpisy, jeví se jako maximální doba uchování osobních údajů v evidenci testování tři roky od doby jejich pořízení. Tato doba se váže na nutnost prokázání plnění uložených povinností vůči orgánům ochrany veřejného zdraví, které jsou nadány kontrolou plnění uloženého opatření správcem, pokud nebude zjištěno, že pro uvedené účely postačuje doba kratší. Podle daného ustanovení zaměstnavatelům za neplnění příkazu testovat zaměstnance a jiné pracovníky hrozí sankce až do výše 500 000 korun s tím, že promlčecí doba daného přestupku je tři roky.

Totéž podle Tomáše Patáka platí pro uchovávání osobních údajů o testování zaměstnanců hrazené zaměstnavatelem, využitých v budoucnu pro programy zdravotních pojišťoven, avizované vládou. Opět platí, že dobu pro uchování osobních údajů v zákonných mezích musí konkrétně stanovit příslušné orgány (pro účely kontroly apod.), a to již diferencovaně ve vztahu k různým účelům (např. s ohledem na různé zaměření vykazování či kontrol). K záznamům v evidenci testování vedené za účelem plnění dalších právních předpisů, např. z důvodů eventuální daňové uznatelnosti, není nutno uchovávat osobní údaje zaměstnanců.

Co když testují zdravotníci?

Jak jsme psali, ministerstvo průmyslu a obchodu a ministerstvo zdravotnictví doporučují primárně využívat samotestování. V praxi to znamená využívat zejména antigenní testy, které lze pořídit prostřednictvím subjektů z průběžně aktualizovaného seznamu na webu ministerstva zdravotnictví. Druhou možností je testovat prostřednictvím „závodního“ či smluvního lékaře daného podniku nebo externího poskytovatele zdravotních služeb.

Při testování poskytovateli zdravotních služeb jsou testy prováděny a účtovány jako zdravotnické výkony. Zpracování osobních údajů je tak prováděno v rámci standardních postupů upravených zvláštními právními předpisy. V těchto případech je z hlediska zaměstnavatele nezbytné obdržet potvrzení o provedeném testu vystavené poskytovatelem zdravotních služeb. Zaměstnavatel a poskytovatel zdravotních služeb, který provádí testování na přítomnost viru SARS-CoV-2 zaměstnanců pro zaměstnavatele, jsou v postavení dvou samostatných správců. Poskytovatel zdravotních služeb, který provádí testování, zpracovává osobní údaje mimo možnou kontrolu zaměstnavatele; dochází při tom například k předávání údajů do Informačního systému infekčních nemocí a vytváření zdravotnické dokumentace, která má určený rozsah přístupu a dobu uchování.

Musí tedy dojít ke smluvnímu ujednání mezi zaměstnavatelem a poskytovatelem zdravotních služeb, aby byly předávány údaje nezbytné k plnění povinnosti stanovené zaměstnavatelům vyplývající z mimořádných opatření. Nejedná se však o smlouvu o zpracování osobních údajů mezi správcem a zpracovatelem podle GDPR. Pokud bude zaměstnavatelem sjednán smluvní vztah s poskytovatelem zdravotních služeb, aby pro zaměstnavatele prováděl testování zaměstnanců, nebo budou čerpány prostředky zdravotních pojišťoven přímo zaměstnavatelem k úhradě povinného testování zaměstnanců, mohou být zpracovávány další nezbytné údaje sloužící k identifikaci zaměstnance. A to v nezbytném rozsahu oprávněně vyžadovaném zdravotní pojišťovnou. 

skoleni_27_5

Takto předávanými údaji mezi zaměstnavatelem a poskytovatelem zdravotních služeb či zdravotními pojišťovnami mohou být údaje o číslu pojištěnce a o zdravotní pojišťovně daného zaměstnance. „S ohledem na rozsah mimořádných opatření je nutno omezit administrativní zátěž, která může být způsobena zaměstnavatelům i poskytovatelům zdravotních služeb, kteří zdravotnickou dokumentaci jednotlivých osob obvykle evidují spojením údajů o jménu, příjmení a čísle pojištěnce,“ podotýká Tomáš Paták.

Podle Úřadu pro ochranu osobních údajů je odpovědností zdravotní pojišťovny, aby metodicky či jinak zaměstnavatelům stanovila rozsah údajů, které jsou pro uvedený postup nezbytné. Totéž platí pro stanovení rozsahu osobních údajů uchovávaných pro účely jiných následných kontrol (ze strany orgánu veřejného zdraví apod.). Tomáš Paták v této souvislosti zdůrazňuje, že je nezbytné pamatovat na to, že poskytovatelé zdravotních služeb či zdravotní pojišťovny mohou evidovat více osob se stejným jménem i datem narození a je nutno předcházet případné záměně osob a případně i výsledků jejich vyšetření na přítomnost viru SARS-CoV-2. Při procesu předávání uvedených údajů mezi subjekty je nutno klást důraz na jejich zabezpečení, aby nedošlo k jejich neoprávněnému zpřístupnění či ztrátě, dodává.

Co když testuje zaměstnavatel?

Když je testování prováděno přímo zaměstnavatelem, a to například formou samoodběru zaměstnanci nebo pomocí testů poskytnutých zaměstnavatelem a podobně, stává se zaměstnavatel správcem osobních údajů se všemi povinnostmi vyplývajícími z obecného nařízení. Z důvodu veřejného zájmu v oblasti veřejného zdraví dle obecného nařízení je při testování zaměstnanců zpracovávána také zvláštní kategorie osobních údajů vypovídajících o zdravotním stavu. Samotné záznamy o provedení testů u jednotlivých zaměstnanců je možno využívat pouze v přímé souvislosti s plněním povinností uložených mimořádným opatřením.

Vlastní záznamy o provedení testů u zaměstnanců mohou obsahovat:
pouze základní identifikační údaje zaměstnance sloužící k identifikaci daného zaměstnance (jméno, příjmení, datum narození, které je možno nahradit identifikátorem, který zaměstnanci přidělil zaměstnavatel),
údaje o přesném čase provedení testu (u většiny zaměstnavatelů postačí datum provedení testu, ve specifických provozech může být evidován i přesný čas),
výsledek testu na přítomnost viru SARS-CoV-2, a to v mezích oprávněných požadavků příslušných orgánů.

Stejné omezení rozsahu pouze na nezbytné osobní údaje platí i pro případné dokumenty prokazující výjimku z povinného testování daného zaměstnance (identifikační údaje zaměstnance, důvod výjimky z testování, jako je prodělání infekce COVID-19 ve lhůtě do 90 dní před provedením testu, provedení očkování, home office bez přítomnosti na pracovišti, pracovní neschopnost).

Jaké jsou další povinnosti?

Úřad pro ochranu osobních údajů v souvislosti se zpracováním osobních údajů upozorňuje na povinnosti správce vyplývající přímo z obecného nařízení.
Jedná se zejména o povinnost:

  1. Poskytnout subjektům údajů konkrétní informace o zpracování osobních údajů související s testováním (účel/y a právní důvod/y zpracování, rozsah zpracovávaných údajů, doba uchování atd.). 
  2. Vést záznamy o činnostech zpracování podle článku 30 obecného nařízení. 
  3. Zajistit, aby osobní údaje byly zpracovávány s odpovídající ochranou soukromí; každý ze zaměstnavatelů musí s přihlédnutím ke svým možnostem přijmout technická a organizační opatření, aby osobní údaje řádně zabezpečil před možnou ztrátou, neoprávněnému zpřístupnění nebo nepovoleným úpravám. 

Komplexní posouzení rizika a výběr opatření závisí na správci, jejich výběr a aplikaci musí zvážit správce s ohledem na konkrétní parametry zpracování, jako jsou lokality, použité ICT apod. Součástí obecné povinnosti správce řídit rizika je i provedení posouzení vlivu (DPIA), pokud správce, na základě analýzy, zda zpracování podléhá povinnosti provést posouzení vlivu, dojde k závěru, že je to nutné.

Úřad dále informuje, že v závislosti na dalším vývoji situace při uplatňování opatření a získaných praktických poznatcích bude svá vyjádření dále upravovat. Parametry zpracování osobních údajů jsou závislé na konkrétním rozsahu povinností ukládaných zaměstnavatelům v mezích právního řádu, které mohou být ze strany ústředních orgánů státní správy a zdravotních pojišťoven měněny či metodicky upřesňovány. Úřad v tomto smyslu neukládá (nemá kompetenci uložit) zaměstnavatelům povinnost zpracovávat osobní údaje v konkrétním rozsahu či po určitou dobu, reaguje toliko na situaci, kdy je (bude) zaměstnavatelům určitá typová povinnost uložena, uzavírá Tomáš Paták.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).