Spracúvanie citlivých osobných údajov v čase vyhlásenej mimoriadnej situácie a núdzového stavu pre koronavírus

Pandémia spojená so šírením ochorenia COVID-19 spôsobila množstvo zmien, ktorým musia zamestnávatelia čeliť. Európsky výbor pre ochranu osobných údajov však zdôraznil, že aj napriek tejto mimoriadnej situácii musia prevádzkovatelia aj sprostredkovatelia zabezpečiť ochranu osobných údajov dotknutých osôb. Akékoľvek opatrenia, ktoré v tejto súvislosti spoločnosti prijmú, musia plne rešpektovať všeobecné právne zásady aj zásady priznané nariadením Európskeho parlamentu a Rady 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES („GDPR“).

Na Slovensku je v súčasnosti vyhlásená mimoriadna situácia a pre niektoré oblasti je vyhlásený aj núdzový stav. Slovensko po vyhlásení mimoriadnej situácie prijalo mnoho opatrení, ktorých cieľom je zamedziť rozširovaniu nákazy spojenej s ochorením COVID-19 a ochrana zdravia obyvateľov Slovenskej republiky. Núdzový stav platí v súčasnosti pre štátne nemocnice na Slovensku aj zariadenia sociálnych služieb, ktoré poskytujú zdravotnú starostlivosť, kde platia prísnejšie opatrenia, aby sa pandémiu spojenú so šírením ochorenia COVID-19 podarilo zastaviť čo najskôr - napríklad, zdravotníci nebudú môcť odmietnuť službu alebo vstúpiť do štrajku a pod.

Aké informácie osobnej povahy možno považovať za citlivé údaje?

Súčasná situácia priviedla alebo môže priviesť mnohých zamestnávateľov k spracúvaniu osobných údajov, týkajúcich sa zdravia svojich zamestnancov v súvislosti s koronavírusom a nariadenými opatreniami príslušných štátnych orgánov. Údaje, týkajúce sa zdravia zamestnanca a akékoľvek informácie, z ktorých možno odvodiť informácie o zdravotnom stave zamestnanca, spadajú do osobitnej kategórie osobných údajov, tzv. citlivých údajov. Spracúvanie týchto údajov si vyžaduje osobitnú ochranu, keďže ich spracúvanie by mohlo predstavovať významné riziká pre základné práva a slobody dotknutých osôb.

V zmysle prijatých opatrení sú zamestnanci povinní informovať svojho zamestnávateľa, že sa vrátili zo zahraničia alebo boli v kontakte s osobou, ktorá je alebo môže byť potenciálne „nakazená“. Zamestnávateľ je povinný posudzovať riziko nákazy na pracovisku, a v prípade potreby vykonať vhodné opatrenia na zabezpečenie ochrany zdravia zamestnancov.

Zamestnávatelia môžu prísť do kontaktu aj so zdravotnými údajmi rodinných príslušníkov svojich zamestnancov alebo iných osôb. Tieto informácie sú získavané od inej ako dotknutej osoby, a keďže ich zamestnávatelia pravdepodobne budú aj ďalej spracúvať, je dôležité, aby zabezpečili informovanosť aj týchto osôb o podmienkach spracúvania ich osobných údajov.

Úrad verejného zdravotníctva SR na základe rozhodnutia vlády SR a Ústredného krízového štábu SR vydal nové opatrenie, na základe ktorého sa bude musieť merať teplota pred nemocnicami, obchodmi, inými prevádzkami a úradmi, pri ktorých dochádza k stretu viacerých ľudí. Termín začatia uplatňovania sa má ešte upresniť, predbežne stanovený dátum je na 30. marca 2020. Je to ďalší dôležitý nástroj v boji proti šíreniu ochorenia COVID-19 na Slovensku. Aj údaj o nameranej teplote, ktorý je informáciou o zdraví dotknutej osoby, spadá do kategórie citlivých údajov, ktoré sa musia aj naďalej spracúvať zákonným spôsobom.

Zákonné spracúvanie citlivých osobných údajov zamestnancov a iných osôb

Vo všeobecnosti platí, že spracúvanie údajov týkajúcich sa zdravia fyzickej osoby, je zakázané. Tento zákaz je možné prelomiť a spracúvať tieto údaje zákonným spôsobom. V prvom rade je potrebné zvoliť správny právny základ pre také spracúvanie podľa článku 6 ods. 1 GDPR a tiež splniť niektorú z výnimiek zo zákazu spracúvania týchto údajov podľa článku 9 ods. 2 GDPR. GDPR poskytuje možnosti, aby zamestnávatelia a príslušné orgány verejného zdravotníctva spracúvali osobné údaje v súvislosti so šírením choroby COVID-19 bez toho, aby bolo potrebné získať súhlas dotknutej osoby.

Každá dotknutá osoba, ktorej osobné údaje spojené s koronavírusom má zamestnávateľ spracúvať, musí dostať transparentné, ľahko prístupné a zrozumiteľné informácie o podmienkach spracúvania týchto údajov so všetkými náležitosťami, ktoré GDPR vymedzuje. Stav spôsobený šírením nákazy nepozastavuje účinnosť GDPR, preto aj napriek tomu, že súhlas dotknutej osoby sa nemusí vyžadovať, zamestnávateľ je povinný poskytnúť dotknutej osobe informácie o podmienkach takéhoto spracúvania v súlade s článok 13 alebo 14 GDPR.

Aké výnimky zo zákazu spracúvania citlivých dát možno popri správne zvolených právnych základoch aplikovať?

Každý prípad spracúvania citlivých údajov treba posudzovať samostatne, s prihliadnutím na jeho konkrétne špecifiká. Vo všeobecnosti najčastejšími aplikovateľnými výnimkami pre zamestnávateľov bude výnimka stanovená v článku 9 ods. 2 písm. b), c) a výnimka stanovená v článku 9 ods. 2 písm. i) GDPR. Platí to napríklad v prípade, keď je spracúvanie osobných údajov nevyhnutné pre zamestnávateľov z dôvodov verejného záujmu v oblasti verejného zdravia a/alebo na ochranu životne dôležitých záujmov dotknutej alebo inej fyzickej osoby. Výnimky sa môžu aplikovať buď samostatne alebo môžu byť naplnené súbežne.

Podľa článku 9 ods. 2 písm. c) môže zamestnávateľ spracúvať citlivé údaje zamestnancov: „ak je to nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby (napr. „nakazeného“ zamestnanca) alebo inej osoby (napríklad iného zamestnanca, ktorý môže byť „nakazeným“ zamestnancom ohrozený a existuje potreba chrániť jeho základné životné záujmy) v prípade, ak dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas.“ Túto výnimku možno aplikovať len v prípade ak už dotknutý „nakazený“ zamestnanec nie je spôsobilý vyjadriť súhlas, aby zamestnávateľ takého údaje o ňom spracúval, či už na ochranu jeho životne dôležitých záujmov, alebo životne dôležitých záujmov iných osôb.

Taktiež to môže byť aplikovaná výnimka stanovená v článku 9 ods. 2 písm. i) GDPR, podľa ktorej je spracúvanie možné „ak je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenia vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva únie alebo práva členského štátu, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby.“ Je potrebné, aby takéto podmienky boli stanovené vo všeobecne záväznom právnom predpise, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby. V nadväznosti na vyhlásenú mimoriadnu situáciu, by takýmto všeobecne záväzným právnym predpisom mohol byť aj zákon č. 42/1994 Z. z. o civilnej ochrane obyvateľstva, na základe ktorého musí byť vydané konkrétne opatrenie alebo aj zákon č. 355/2007 Z.z. o ochrane, podpore a rozvoji verejného zdravia, ktorý ukladá zamestnávateľom povinnosť plniť opatrenia pri ohrozeniach verejného zdravia nariadené príslušným orgánom verejného zdravotníctva a taktiež povinnosť oznamovať bezodkladne orgánu verejného zdravotníctva všetky významné okolnosti na predchádzanie vzniku a šíreniu prenosných ochorení a poskytovať im informácie dôležité pre epidemiologické vyšetrenie.

Ďalším zákonom, ktorý nariaďuje zamestnávateľovi starostlivosť o bezpečnosť a zdravie zamestnancov je zákon č. 124/2006 Z.z. o bezpečnosti a ochrane zdravia pri práci a o zmene a doplnení niektorých zákonov, ktorý zamestnávateľovi kladie za povinnosť „uplatňovať všeobecné zásady prevencie pri vykonávaní opatrení nevyhnutných na zaistenie bezpečnosti a ochrany zdravia pri práci vrátane zabezpečovania informácií.“ Aj zákon č. 311/2001 Z.z. Zákonník práce v znení neskorších predpisov ukladá zamestnávateľovi povinnosť robiť opatrenia v záujme ochrany života a zdravia zamestnancov pri práci.

V nadväznosti na uvedené sú zamestnávatelia oprávnení po splnení podmienok vyplývajúcich z GDPR žiadať od svojich zamestnancov informácie, ktoré sú potrebné, aby vykonali opatrenia nevyhnutné na zaistenie bezpečnosti a ochrany zdravia pri práci (informácie o cestovateľskej anamnéze, potenciálnom styku s „nakazenými“ osobami a pod.). Zamestnávatelia sú však naďalej povinní vyžadovať zdravotné informácie iba v rozsahu, v akom to vnútroštátne právne predpisy umožňujú a dôsledne prísne dodržiavať zásadu minimalizácie spracúvaných dát. Dôstojnosť a integrita dotknutých osôb musí byť zachovaná. Zamestnávateľ pri naplnení výnimky zo zákazu spracúvania môže informovať ostatných zamestnancov, že ich kolega je nakazený koronavírusom alebo že tu existuje dôvodné podozrenie z možného nakazenia, avšak opätovne nie je oprávnený zverejňovať informácie, ktoré nie sú nevyhnutné na naplnenie účelu, ktorým je zabezpečenie zdravia a bezpečnosti ostatných zamestnancov z dôvodu pandémie spojenej so šírením choroby COVID-19. Spracúvané citlivé údaje a údaje poskytované ostatným kolegom je zamestnávateľ povinný zredukovať na nevyhnutnú mieru a zabezpečiť, aby sa so všetkými zozbieranými informáciami zaobchádzalo bezpečne. Bezpečnostné incidenty ako únik citlivých údajov môžu mať pre zamestnávateľa naozaj nepríjemné dôsledky. Situácia súvisiaca so šírením ochorenia COVID-19 môže byť využitá útočníkmi na to, aby zaútočili na infraštruktúru organizácie. Zamestnávatelia by teda v tomto čase mali opatreniam na zabezpečenie informačnej a sieťovej bezpečnosti venovať zvýšenú starostlivosť.

Záver

Spoločnosti v súčasnosti často žiadajú svojich zamestnancov, aby vyplňovali pravidelne podrobné dotazníky týkajúce sa ich zdravotného stavu a stavu ich rodinných príslušníkov. Takéto rozsiahle spracúvanie dát však nemusí byť v poriadku a vo väčšine prípadov môže byť konštatované, že zamestnávateľ porušil zásadu minimalizácie rozsahu spracúvaných dát o svojich zamestnancoch. Rozsiahlym spracúvaním citlivých údajov môže zamestnávateľ naplniť aj podmienku povinného zvolenia zodpovednej osoby a tiež podmienku povinne vykonať posúdenie vplyvu na ochranu osobných údajov vzhľadom k vysokému riziku pre práva a slobody osôb dotknutých daným spracúvaním citlivých údajov. Spracúvanie musí byť primerané, ak sa z pohľadu verejnosti niečo zdá prehnané, pravdepodobne to tak aj je, a preto treba pri spracúvaní citlivých údajov postupovať obzvlášť citlivo.