Covid-19 and data protection
Opatrenia proti šíreniu ochorenia COVID-19 prinášajú podnikom a organizáciám nové povinnosti, pri ktorých spracúvajú nové informácie osobnej povahy o svojich zamestnancoch alebo aj iných osobách. Okrem toho mnohí zamestnanci pracujú z domu, kde je vyššie riziko úniku spracúvaných dát.
Aj napriek tejto mimoriadnej situácií musia organizácie zabezpečiť ochranu osobných údajov dotknutých osôb, ktoré v súčasnosti spracúvajú nielen v listinnej ale najmä elektronickej podobe. Platnosť ani účinnosť GDPR a slovenského Zákona o ochrane osobných údajov sa rozhodne nepozastavuje, a naďalej treba konať v súlade s nimi. Tieto právne predpisy nezakazujú organizáciám spracúvať osobné údaje týkajúce sa ochorenia COVID-19, ale musia ich spracúvať zákonným spôsobom a zaistiť ich bezpečnosť.
Informácie spojené s COVID-19 sú takmer vždy priamymi alebo odvodenými informáciami o zdravotnom stave, ktoré si vyžadujú osobitnú ochranu
Na ochranu svojich zamestnancov, zákazníkov alebo aj iných osôb, mnohí zamestnávatelia získavajú od svojich zamestnancov (či už povinne alebo dobrovoľne) informácie o zdravotnom stave. Zväčša nahlasujú informácie o svojom zdravotnom stave, či majú alebo môžu mať nejaké príznaky ochorenia, či sa mohli stretnúť s „nakazenou“ alebo potenciálne nakazenou fyzickou osobou, ak absolvovali test na COVID-19, tak aké sú jeho výsledky a pod.
Nahlasovanie citlivých a iných informácii spojených so šírením ochorenia COVID-19 je tiež prejavom vzájomnej spoločenskej zodpovednosti.
Jedným z preventívnych opatrení na zachovanie bezpečnosti a ochrany zdravia v priestoroch spoločností je, že mnohé z nich zaviedli meranie telesnej teploty zamestnancov, prípadne iných osôb vstupujúcim do ich priestorov, aby minimalizovali riziko prípadného zavlečenie, alebo rozširovania nákazy.
V súčasnosti je známe len uznesenie vlády, ktorým uložila hlavnému hygienikovi Slovenskej republiky vydať opatrenie ktorým sa odporučí merať telesnú teplotu pri vstupe do nemocníc a priemyselných podnikov. Na základe tohto uznesenia Úrad verejného zdravotníctva Slovenskej republiky vydal usmernenie ako postupovať pri meraní telesnej teploty a pri odhalení zvýšenej telesnej teploty pri vstupe do nemocníc a do priemyselných podnikov. Nemocnice a priemyselné podniky, ktoré na základe odporúčania merajú telesnú teplotu pri vstupe sa riadia týmto usmernením.
Pre obchody, kancelárie, administratívne budovy alebo iné prevádzky nebolo vydané žiadne konkrétne opatrenie, ani príslušné usmernenie, čo však nevylučuje, aby tieto subjekty nemohli preventívne merať telesnú teplotu pri vstupe do ich priestorov. Na podporu slúži aj opatrenie uvedené na oficiálnej stránke prevádzkovanej Úradom podpredsedu vlády SR pre investície a informatizáciu:
Potrebu a odôvodnenosť merania teploty pred vstupom do priestorov aj mimo nemocníc a priemyselných podnikov je potrebné posudzovať v každom prípade individuálne a vždy v súlade so zásadami GDPR. Je potrebné dodržiavať a rešpektovať zásady nevyhnutnosti, proporcionality a zodpovednosti a subjekty by sa mali tiež riadiť zásadami tak, aby minimalizovali akékoľvek riziká, ktoré by takéto spracúvanie mohlo predstavovať pre práva zamestnancov (príp. iných osôb) a základné slobody, najmä ich práva na súkromie.
Na základe prijatých opatrení teda môžu organizácie merať telesnú teplotu osôb pri vstupe do prevádzky. Aj tento údaj je údajom o zdravotnom stave. Organizácie teda budú spracúvať nielen zdravotné údaje svojich zamestnancov ale aj iných osôb. K meraniu telesnej teploty vydal svoje usmernenie aj Úrad na ochranu osobných údajov SR.
Údaje týkajúce sa zdravia zamestnanca a akékoľvek informácie, z ktorých možno odvodiť informácie o zdravotnom stave fyzickej osoby, spadajú do osobitnej kategórie osobných údajov, tzv. citlivých údajov. Práve tieto citlivé údaje sú alebo budú novými informáciami, ktoré zamestnávatelia alebo všeobecne organizácie spracúvajú alebo budú spracúvať. Ich spracúvanie si vyžaduje osobitnú ochranu, keďže by mohlo predstavovať významné riziká pre základné práva a slobody dotknutých fyzických osôb.
Spracúvajte citlivé dáta zákonným spôsobom
Pre zákonnosť spracúvania zdravotných údajov platí, že okrem naplnenia niektorého z právnych základov, ktoré GDPR predpokladá, je potrebné tiež splniť niektorú z výnimiek zo zákazu spracúvania týchto dát. Každá dotknutá osoba, ktorej osobné údaje spojené s COVID-19 má organizácia spracúvať, musí dostať transparentné, ľahko prístupné a zrozumiteľné informácie o podmienkach spracúvania týchto údajov, so všetkými náležitosťami, ktoré GDPR vymedzuje.
Čo sa týka určenia vhodného právneho základu, najčastejšie budú spoločnosti siahať po
- výkone oprávneného záujmu, pričom musia najprv vyhodnotiť či jeho záujmy prevažujú nad záujmami alebo základnými právami a slobodami dotknutej osoby a splniť ďalšie podmienky pre vyhodnotenie použiteľnosti tohto právneho základu;
- plnení úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci, ak je to určené v právnom poriadku SR;
- plnení zákonnej povinnosti, ak príslušné právne predpisy prikazujú povinné spracúvanie citlivých dát zamestnancov alebo iných osôb;
- plnení zmluvnej povinnosti, ak napríklad je zamestnávateľ povinný aj v zmysle zmluvy zabezpečiť bezpečnosť a ochranu zdravia zamestnancov a na to aby ju zabezpečil, je zamestnanec povinný mu citlivé údaje poskytnúť;
- ochrane životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby.
K právnemu základu pri spracúvaní citlivých údajov je potrebné vždy pridať výnimku zo zákazu spracúvania týchto údajov. Vo všeobecnosti najčastejšími aplikovateľnými výnimkami zo zákazu sú výnimky, keď je spracúvanie citlivých dát nevyhnutné pre organizácie z dôvodov:
- verejného záujmu v oblasti verejného zdravia ako je ochrana proti závažným cezhraničným ohrozeniam zdravia;
- plnenia povinností podľa pracovného práva;
- ochrany životne dôležitých záujmov dotknutej alebo inej fyzickej osoby;
Výnimky sa môžu aplikovať buď samostatne alebo môžu byť naplnené súbežne viaceré. Aplikovanie každého právneho základu a každej výnimky je potrebné posúdiť vždy samostatne podľa špecifík a okolností spracúvania citlivých dát konkrétnymi spoločnosťami.
O aké opatrenia alebo zákony sa môžu zamestnávatelia oprieť?
Slovenskí zamestnávatelia ako aj ostatné organizácie sa môžu pri stanovovaní vhodného právneho základu a príslušnej výnimky zo zákazu spracúvania citlivých dát oprieť najmä o tieto zákony.
- Zákon o civilnej ochrane obyvateľstva, na základe ktorého musí byť vydané konkrétne opatrenie a Zákon o ochrane, podpore a rozvoji verejného zdravia (napr. opatrenie Úradu verejného zdravotníctva o meraní telenej teploty, opatrenie o povinnej 14-dňovej karanténe u osôb, ktoré prišli zo zahraničia, prípadne ďalšie opatrenia[1]).
- Zákon o bezpečnosti a ochrany zdravia pri práci, na základe ktorého je zamestnávateľ povinný napríklad posudzovať riziko nákazy na pracovisku, a v prípade potreby vykonať vhodné opatrenia na zabezpečenie ochrany zdravia zamestnancov.
- Zákonník práce, na základe ktorého je zamestnávateľ povinný napríklad robiť opatrenia v záujme ochrany života a zdravia zamestnancov pri práci; alebo je povinný svojim zamestnancom zabezpečovať také pracovné podmienky, aby mohli riadne plniť svoje pracovné úlohy bez ohrozenia života, zdravia a majetku.
Každý, koho osobné údaje sú spracúvané, musí dostať informáciu o podmienkach ich spracúvania
Zamestnávatelia môžu spracúvať nie len údaje o svojich zamestnancoch, ale môžu prísť do kontaktu aj s osobnými údajmi rodinných príslušníkov svojich zamestnancov alebo iných osôb. Tieto informácie zamestnávateľom nahlasujú zväčša priamo ich zamestnanci, a teda zamestnávateľ musí zabezpečiť, aby aj osoby, ktorých osobné údaje získava od svojich zamestnancov, dostali informáciu, za akých podmienok bude ich osobné údaje spracúvať, najmä na aké účely, čo ho k tomu oprávňuje, ako dlho ich bude spracúvať a ďalšie povinné informácie.
Každá dotknutá osoba, ktorej osobné údaje spojené s COVID-19 má organizácia spracúvať, musí dostať transparentné, ľahko prístupné a zrozumiteľné informácie o podmienkach spracúvania týchto údajov so všetkými náležitosťami, ktoré GDPR vymedzuje. Zamestnávateľ je povinný poskytnúť dotknutej osobe informácie o podmienkach takéhoto spracúvania v súlade s článkom 13 alebo 14 GDPR.
Dáta treba minimalizovať a zhromažďovať iba toľko, koľko je nevyhnutné na naplnenie sledovaného účelu zamestnávateľom
Zamestnávatelia sú povinní vyžadovať zdravotné informácie iba v rozsahu, v akom to vnútroštátne právne predpisy umožňujú a prísne dodržiavať zásadu minimalizácie spracúvaných dát.
Príklad: Ak na účel prevencie a ochrany zdravia a bezpečnosti zamestnancov z dôvodu pandémie COVID-19 informuje zamestnávateľ ostatných zamestnancov, že ich kolega je nakazený koronavírusom, alebo že tu existuje dôvodné podozrenie z možného nakazenia, nie je oprávnený zverejňovať ďalšie podrobnosti o jeho zdravotnom stave, ktoré nie sú nevyhnutné na naplnenie uvedeného účelu.
Zamestnávatelia v súčasnosti často žiadajú svojich zamestnancov, aby vyplňovali pravidelne podrobné dotazníky týkajúce sa ich zdravotného stavu a/alebo stavu ich rodinných príslušníkov. Takéto rozsiahle spracúvanie dát však nemusí byť v poriadku a vo väčšine prípadov môže byť konštatované, že zamestnávateľ porušil zásadu minimalizácie rozsahu spracúvaných dát o svojich zamestnancoch, prípadne iných osobách. Zväčša totiž platí pravidlo, že „ak sa niektoré opatrenie zdá prehnané, pravdepodobne to tak aj je, a ak viem použiť miernejšie opatrenie na dosiahnutie rovnakého výsledku, použijem ho.“
Home office a bezpečnosť spracúvaných dát
So zabezpečením ochrany zdravia zamestnancov a iných osôb v rámci spoločenskej zodpovednosti súvisí aj umožnenie zamestnancom vykonávať prácu „z domu“, tzv. home office.
Zamestnávateľ je aj v tomto prípade povinný zabezpečiť také technické a organizačné opatrenia, aby bola zabezpečená bezpečnosť spracúvaných dát v súlade s GDPR.
Pri práci na home office sa môžu ľahko dostať k citlivým údajom aj iné osoby, prípadne môže dôjsť k bezpečnostnému incidentu, nakoľko bezpečnosť domácej siete už zamestnávateľ nevie ovplyvniť.
Je dôležité prijať také opatrenia, plne rešpektujúc zásadu dôvernosti, ktoré zabezpečia, aby osobné údaje neboli sprístupnené neoprávneným subjektom. Tieto opatrenia je potrebné náležite zdokumentovať a informovať o nich všetky zainteresované strany.
Týka sa to najmä aktualizovania bezpečnostných politík, nakoľko umožnenie zamestnancom pracovať z domu je často novým opatrením, a zamestnávatelia bezpečnosť spojenú s takýmto spôsobom vykonávania pracovnej činnosti doteraz nemuseli riešiť.
Predaj a poskytovanie služieb online prináša aj nový rozsah spracúvaných osobných údajov
Prijaté karanténne opatrenia a uzatvorenie mnohých prevádzok prináša so sebou aj nový rozsah spracúvaných osobných údajov, ktoré doteraz organizácie nespracúvali.
Mnoho podnikov prešlo na online predaj (e-shop), predaj na základe telefonickej objednávky, donášku svojich tovarov či zverejňovanie rôznych videí ako poskytovanie služby. Tieto nové procesy pre podniky nevyhnutne znamenajú aj získavanie a spracúvanie ďalších dát ako meno a priezvisko zákazníka, jeho adresu, históriu objednávok, registráciu v online obchode alebo aj fotografie a videá svojich zamestnancov, ktoré sú zverejňované.
Aj tieto osobné údaje musia byť spracúvané zákonne, preto je potrebné, aby sa podniky zamerali aj na zosúladenie týchto procesov s GDPR.
Ak sa predpokladá, že rozsah citlivých dát bude veľký
Najmä spoločnosti zamestnávajúce veľa osôb, alebo prevádzky, ktoré budú musieť merať teplotu veľkému množstvu osôb, by mali zvážiť vykonanie posúdenia vplyvu na ochranu týchto citlivých údajov, ktoré budú musieť v dôsledku opatrení spojených s COVID-19 pravdepodobne zhromažďovať vo veľkom rozsahu, tzv. DPIA analýzu. Spracúvanie citlivých dát vo veľkom rozsahu pravdepodobne vždy povedie k vysokému riziku pre práva a slobody dotknutých osôb. Zoznam spracovateľských operácii, ktoré vždy podliehajú posúdeniu vplyvu, možno nájsť aj na webovej stránke Úradu na ochranu osobných údajov SR[2].
Cieľom DPIA analýzy je najmä zistiť, aké môžu byť riziká takéhoto spracúvania, a čo musí spoločnosť spraviť, aby tieto riziká zmiernila, a tiež aké zmeny musia spoločnosti zaviesť, aby všetky ich vnútorné procesy a politiky vzťahujúce sa k spracúvaniu osobných údajov v spoločnosti boli právne konformné a dostatočne reagovali na zmeny, ktoré súvisia so spracúvaním nových dát, aby bolo ich spracúvanie v súlade s GDPR a zabezpečenie súladu vedeli spoločnosti aj preukázať.
Okrem toho je možné, že vzhľadom na spracúvanie citlivých dát vo veľkom rozsahu alebo pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, budú musieť organizácie vymenovať povinne aj zodpovednú osobu (data protection officer).
Aké zmeny môže nové spracúvanie spôsobiť a nad čím sa treba zamyslieť?
- Informovanie dotknutých osôb o tom, aké nové osobné údaje bude organizácia spracúvať a akým spôsobom a ako ich bude chrániť;
- Bezpečnostné opatrenia na ochranu dát, najmä v dôsledku spracúvania osobných údajov „z domu“;
- Poučenia oprávnených osôb, ktoré tieto nové dáta spracúvajú o postupoch pri ich spracúvaní;
- Záznamy o spracovateľských činnostiach – zaznamenať všetky nové účely a určiť podmienky spracúvania;
- Sprostredkovateľské zmluvy, t.j. zmluvy o spracúvaní osobných údajov sprostredkovateľmi.
[1] http://www.uvzsr.sk/index.php?option=com_content&view=category&layout=blog&id=250&Itemid=153