Štvrtok, 28. marec 2024 | meniny má Soňa , zajtra Miroslav
Deň učiteľov
Predplatné
Štvrtok, 28. marec 2024 | meniny má Soňa , zajtra Miroslav
Deň učiteľov
TlačPoštaZväčšiZmenši

Názor odbornej verejnosti DPO Club k spracúvaniu osobných údajov v rámci prijatých protiepidemiologických opatrení

najpravo.sk • 6.11. 2020, 17:56

Aktuálna situácia, súvisiaca so zvýšenou mierou zásahu do práv osôb, ktorých osobné údaje sú spracúvané, podporovaná rôznorodosťou názorov na výklad a aplikáciu právnych predpisov v oblasti ochrany osobných údajov, vytvára vysokú mieru právnej neistoty nielen na strane zamestnávateľov a osôb, ktorým boli uložené nové povinnosti v súvislosti s ochranou zdravia, ale najmä  na strane dotknutých osôb, ktoré sa stali rukojemníkmi vo vzniknutom právnom zmätku. Sme svedkami, že k vyjasneniu tejto situácie neprispievajú ani kompetentné orgány verejnej moci. Cieľom tohto vyhlásenia nie je polemizovať o platnosti či neplatnosti právnych predpisov a aktov, ktoré boli a sú prijímané často pod časovým tlakom a teda bez relevantnej odbornej diskusie v súvislosti so vzniknutou epidemiologickou situáciou ktorej čelíme.

Účelom je pomôcť dotknutej verejnosti a najmä zamestnávateľom a podnikateľom, ktorí sú prevádzkovateľmi pri spracúvaní osobných údajov zorientovať sa v tejto situácii, nastaviť procesy a pravidlá tak, aby spracúvanie osobných údajov bolo zákonné, legitímne a proporcionálne. Súčasne, aby k zásahu do práv a slobôd fyzických osôb  dochádzalo len v miere nevyhnutnej na dosiahnutie účelu spracúvania osobných údajov a za dodržania všetkých zásad spracúvania osobných údajov.

Aktuálne prijímané protiepidemiologické opatrenia smerujú primárne k ochrane verejného zdravia realizáciou opatrení na zamedzenie šírenia koronavírusu.  Vyhláškou Úradu verejného zdravotníctva Slovenskej republiky č. 16 zo dňa 30. októbra 2020, ktorou sa nariaďujú opatrenia pri ohrození verejného zdravia k režimu vstupu osôb do priestorov prevádzok a priestorov, sa upravujú povinnosti fyzických a právnických osôb v nadväznosti  na realizáciu plošného testovania obyvateľov, sa okrem iného ukladajú povinnosti zamestnávateľom, ktoré priamo zasahujú do právneho vzťahu zamestnávateľ – zamestnanec a rovnako zasahujú do vzťahov medzi subjektami poskytujúcimi tovary a služby a ich zákazníkmi (okrem iného aj správca budovy, poskytovateľ služieb SBS, hotelové služby) a do vzťahu subjektu a  orgánu štátnej a verejnej moci pri výkone svojich právomocí napríklad pri vstupe do objektu, a to najmä:

  • (i) zakázať vstup do svojich prevádzok tým osobám, na ktoré sa výnimka zo zákazu vychádzania nevzťahuje (osoby, ktoré nedisponujú potrebným dokladom, Covid Passom) a
  • (ii) oprávnenie nahliadať do dokladov preukazujúcich výnimky zo zákazu vychádzania.

Realizovanie zákazu vstupu

Vo vzťahu k základnej povinnosti zakázať vstup osobám a zamestnancom, na ktorých sa nevzťahujú výnimky definované Vyhláškou ÚVZ sme toho názoru, že takto uloženú povinnosť môžu zamestnávatelia aj prevádzky splniť vhodným umiestnením informácie o zákaze vstupu.

V prípade ak zamestnávateľ alebo prevádzka zvolí splnenie povinnosti zakázať vstup vyššie uvedeným spôsobom, bez nahliadania do dokladov preukazujúcich výnimku zo zákazu vychádzania, k spracúvaniu osobných údajov vôbec nebude dochádzať.

Aj v takomto prípade však je potrebné zaviesť pravidlá a postupy  a zabezpečiť prijatie vhodných opatrení pre prípad, že dôjde k podozreniu resp. zisteniu porušenia zákazu vychádzania zo strany zamestnanca. Tak vo vzťahu k príslušným orgánom štátu, ako aj prípadné pracovnoprávne dôsledky (opatrenia by mali byť prijaté formou, ktorá je zamestnancom vopred známa, napríklad formou vnútropodnikového predpisu, určiť osoby  oprávnené nahliadať do dokumentácie a pod).

Nahliadanie do dokladov (kontrola výnimky zo zákazu vychádzania)

Vo vzťahu k realizovaniu zákazu vstupu na pracovisko resp. do prevádzky je zamestnávateľom a prevádzkam v § 1 ods. 3 a § 2 ods. 3 Vyhlášky ÚVZ uvedené nasledovné: „Za účelom overenia, že sa na osobu nevzťahuje zákaz vstupu podľa § 1 ods. 1 je prevádzkovateľ zariadenia oprávnený požadovať od osoby vstupujúcej do vnútorných alebo vonkajších priestorov prevádzky predloženie príslušného dokladu, ktorý preukazuje niektorú zo skutočností podľa § 1 ods. 2 písm. a) až r); do tohto dokladu je prevádzkovateľ zariadenia oprávnený nahliadnuť. Za účelom overenia, že sa na zamestnanca nevzťahuje zákaz vstupu podľa § 2 ods. 1 je zamestnávateľ oprávnený požadovať od zamestnanca vstupujúceho na pracovisko alebo do iných priestorov zamestnávateľa predloženie príslušného dokladu, ktorý preukazuje niektorú zo skutočností podľa § 2 ods. 2 písm. a) až k); do tohto dokladu je zamestnávateľ oprávnený nahliadnuť.“

V zmysle citovanej Vyhlášky ÚVZ je teda nahliadanie do dokladov preukazujúcich výnimku zo zákazu vychádzania (o.i. potvrdenia o absolvovaní testovania a negatívnom výsledku testu) formulované ako oprávnenie. Je teda na rozhodnutí zamestnávateľa resp. prevádzkovateľa či a akým spôsobom toto oprávnenie realizuje.

Spracúvanie osobných údajov zamestnávateľom

Pokiaľ sa zamestnávateľ rozhodne oprávnenie nahliadať do dokladov preukazujúcich výnimku zo zákazu vychádzania využiť, je potrebné vziať do úvahy, že doklady, ktorými sa má dotknutá osoba preukazovať zamestnávateľovi nepochybne obsahujú viaceré osobné údaje. V prípade informácie o výsledku (negativite) testu alebo informácie o výnimke plynúcej z jej zdravotného stavu, ide o osobné údaje osobitnej kategórie, ktoré sú vo vyššej miere spôsobilé zasiahnuť do práv a slobôd fyzických osôb. Také spracúvanie si vyžaduje aj vyššiu mieru starostlivosti a sú na neho viazané aj prísnejšie podmienky spracúvania, plynúce z právnych predpisov na ochranu osobných údajov.

Nariadenie GDPR (Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) v spojení so Zákonom č. 18/2018/ Z. z. o ochrane osobných údajov) sa vzťahuje tak na automatizované spracúvanie osobných údajov ako aj na spracúvanie inými ako automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému. Predmetnú definíciu je potrebné chápať v kontexte, spolu s ďalšími ustanoveniami Nariadenia GDPR (analogicky aj podľa slovenského zákona o ochrane osobných údajov), najmä však spolu s definíciou (i) osobného údaja, (ii) pojmu spracúvanie osobných údajov, (iii) pojmu informačný systém a (iv) prevádzkovateľ. V tejto súvislosti je významné, že spracúvaním osobných údajov sa rozumie aj ich prehliadanie (pre vylúčenie pochybností o zhode pojmu prehliadať a nahliadať pozri anglický originál Nariadenia GDPR).

V kontexte právneho vzťahu zamestnávateľ – zamestnanec teda podľa nášho názoru dochádza k spracúvaniu osobných údajov všetkými formami, vrátane inej ako automatizovanej formy spracúvania, a to nahliadaním (prehliadaním) osobných údajov, ktoré sú uvedené na príslušných dokladoch.

Pre zamestnávateľa je zamestnanec nepochybne identifikovanou osobou, pričom po preukázaní sa a adresnej kontrole dokladov napr. potvrdenia o výsledku testu sa k danému zamestnancovi automaticky priradí informácia o tom, že absolvoval plošné testovanie s výsledkom negatívnym (resp. že sa na neho vzťahuje iná výnimka podľa predloženého dokladu), a to už len tým, že daný zamestnanec je vpustený na pracovisko. Následne, a to aj historicky je možné kedykoľvek overiť, ktorí zamestnanci boli v príslušnom období prítomní na pracovisku. Rovnako zamestnávateľ bude spracúvať osobné údaje o zamestnancoch, ktorí sa odmietnu preukázať potrebným dokumentom a následne bude vyvodzovať právne následky (neprítomnosť v práci, nevpustenie na pracovisko, privolanie polície a pod.).

V prípade, ak zamestnávateľ nie je objektívne schopný (neumožňuje to druh vykonávanej práce) overovať potrebné doklady výlučne ich fyzickým prehliadaním pri vstupe na pracovisko bude dochádzať priamo k automatizovanému spracúvaniu osobných údajov (napr. formou zaslania potrebného dokladu elektronicky). Podľa našich skúseností však k uvedenému postupu – elektronickému zasielaniu výsledku testu alebo iného dokladu pristúpili aj zamestnávatelia napr. v záujme plynulejšej a efektívnejšej kontroly zamestnancov, prípadne dokonca zamestnávatelia zvolili viditeľné označovanie zamestnancov, ktorí boli skontrolovaní a preukázali existenciu výnimky (napríklad náramkom).

Zamestnávatelia si v tejto súvislosti musia byť vedomí skutočnosti, že ako prevádzkovatelia vo vzťahu k spracúvaniu osobných údajov o zamestnancoch nesú plnú mieru zodpovednosti za posúdenie primeranosti zásahu do práv a slobôd zamestnancov a za posúdenie primeranosti spracúvania osobných údajov. Súčasne sú povinní dodržať všetky zásady spracúvania osobných údajov plynúce z Nariadenia GDPR (zásade minimalizácie spracúvania osobných údajov vo vzťahu k dosiahnutiu účelu sa venujeme osobitne).

Oprávnenie zamestnávateľa spracúvať osobné údaje vrátane osobitnej kategórie osobných údajov

Východiskom pre spracúvanie osobných údajov zamestnávateľom o zamestnancoch, na účel ochrany zdravia pred prenosným ochorením (pred šírením koronavírusu), sú právne predpisy, upravujúce bezpečnosť a ochranu zdravia pri práci a pracovné zdravotné lekárstvo. Každý zamestnávateľ, aj v čase mimo vyhlásenia mimoriadnej situácie a núdzového stavu, je povinný prijímať vhodné opatrenia, s cieľom chrániť život a zdravie osôb pohybujúcich sa na pracovisku (nielen zamestnancov). Vychádzajúc z predmetnej povinnosti je vyhlásenie mimoriadnej situácie a/alebo núdzového stavu súčasťou už definovaného účelu spracúvania osobných údajov. Spracúvanie osobných údajov v podmienkach zamestnávateľa tak prebieha v súlade s čl. 6 ods. 1 písm. c) Nariadenia GDPR, podľa ktorého je spracúvanie osobných údajov nevyhnutné na plnenie zákonných povinností prevádzkovateľa (zamestnávateľ) a písm. e) Nariadenia GDPR, podľa ktorého je spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme.

Osobitná kategória osobných údajov (údaje o zdraví) môže byť spracúvaná len za splnenia niektorej z podmienok uvedených v čl. 9 ods. 2 Nariadenia GDPR; do úvahy prichádza podmienka pre spracúvanie osobných údajov v štandardnom režime (v čase, kedy nie je vyhlásená mimoriadna situácia ani mimoriadny stav) uvedená v čl. 9 ods. 1 písm. b) Nariadenia GDPR, podľa ktorého je spracúvanie nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie alebo právom členského štátu alebo kolektívnou zmluvou podľa práva členského štátu poskytujúcimi primerané záruky ochrany základných práv a záujmov dotknutej osoby.

V čase vyhlásenia mimoriadnej situácie a núdzového stavu je potrebné voliť inú podmienku spracúvania osobných údajov, ktorá reflektuje na uloženie povinností právnymi predpismi, najmä: zákon Národnej rady SR č. 42/1994 Z. z. o civilnej ochrane obyvateľstva, zákon č. 103/2015 Z. z. úplné znenie zákona o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov, zákon č. 227/2002 Z. z. o bezpečnosti štátu v čase vojny, vojnového stavu, výnimočného stavu a núdzového stavu v znení neskorších predpisov a právne predpisy a opatrenia prijímané na základe vyššie uvedených právnych predpisov.

Máme za to, že v čase vyhlásenia núdzového stavu a mimoriadnej situácie dochádza ku spracúvaniu osobných údajov prevádzkovateľom vo verejnom záujme, ktorý vyplýva z uvedených právnych predpisov, v súlade s čl. 9 ods. 2 písm. i) Nariadenia GDPR, podľa ktorého je spracúvanie nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia (...).

Primeranosť spracúvaných osobných údajov

Z pohľadu definovania vhodného právneho základu pri spracúvaní osobných údajov je podstatnou skutočnosťou, že Vyhláška ÚVZ neustanovuje v súvislosti s nahliadaním a kontrolou dokladov povinnosť vyžadovať ho a nahliadať doň, ale udeľuje oprávnenie. Takéto spracúvanie osobných údajov teda nie je možné definovať pod plnenie zákonnej (právnej) povinnosti, ale spadá pod plnenie úloh vo verejnom záujme. Uvedené znamená povinnosť posúdiť nevyhnutnosť spracúvania osobných údajov formou vyžadovania preukazovania sa dokladmi, prípadne zvoliť iný, menej invazívny spôsob.

Zamestnávateľ si svoje povinnosti na úseku ochrany zdravia plní priebežne, teda by mal mať zavedené systematické postupy, smerujúce k ochrane zdravia pred šírením koronavírusu (napríklad prehlásenie zamestnanca o pobyte v rizikovej krajine, o kontaktne s osobou pozitívnou, a pod.). Z pohľadu posudzovania primeranosti spracúvania osobných údajov, a teda aj jeho legitimity je dôležité si uvedomiť, že ochrana zdravia pred šírením koronavírusu nemôže spočívať v jednorazovej kontrole dokladov opierajúc sa o oprávnenie udelené Vyhláškou ÚVZ, ale v komplexe opatrení, ktoré sú pravidelné a teda skutočne účinné na ochranu života a zdravia osôb pohybujúcich sa na pracovisku (nielen zamestnancov).

V tejto súvislosti zamestnávateľom zavedené opatrenie vykonávať alebo zabezpečiť pravidelné testovanie zamestnancov (či už antigénovým testom v súlade s jeho účelom deklarovaným výrobcom alebo presnejším a drahším PCR testom) bude možné považovať, s ohľadom na účel chrániť život a zdravie osôb pred šírením koronavírusu, za efektívne opatrenie a teda aj jeho primeranosť vo vzťahu k zásahu do práv a oprávnených záujmov zamestnancov bude možné preukázať presvedčivejšie a s vyššou mierou právnej istoty.

Na druhej strane opatrenie, ktoré sa má realizovať nahliadaním do výsledku jednorazového (resp. raz opakovaného) testovania antigénovým testom, hoci na základe oprávnenia udeleného zamestnávateľovi Vyhláškou ÚVZ je len ťažko možné hodnotiť ako spôsobilé zabezpečovať ochranu zdravia na pracovisku resp. čo i len významným spôsobom k nej relevantne prispieť. Primeranosť s tým spojeného zásahu do práv zamestnanca resp. vstupujúcej osoby bude významne problematické ak nie nemožné spoľahlivo preukázať. Na margo uvedeného dovoľujeme si upozorniť na riziko spojené so snahou zamestnávateľa obhájiť primeranosť takéhoto „jednorazového nahliadnutia“ ako spracovateľskej operácie podporenej presvedčivou argumentáciou o prínose a efektivite testovania k zabezpečeniu ochrany zdravia na pracovisku, ak takýto prínosný a efektívny nástroj následne nebude systematicky využitý. Môže byť legitímnou otázkou zamestnancov, ale i orgánov kontroly zabezpečenia BOZP, prečo  takto podľa zamestnávateľa vhodné opatrenie vlastne neprijal v dostatočnom rozsahu. Osobitne pokiaľ dôjde k rozšíreniu nákazy u daného zamestnávateľa.

Nahliadanie na prevádzkach do dokladov 

Nie vždy je možné vylúčiť identifikáciu dotknutej osoby pri vstupe na prevádzku, kedy sa informácia obsiahnutá v príslušnom doklade (Covid Pass, iný doklad preukazujúci výnimku zo zákazu vychádzania) spája s identitou osoby, ktorá sa dokladom preukazuje. V takých prípadoch nemožno hovoriť výnimke z pôsobnosti Nariadenia GDPR ako primárneho právneho predpisu, ktorý upravuje ochranu osobných údajov. Ide napríklad o tieto situácie:

- vstup do priestorov, kde sa evidujú návštevy; dotknutá osoba sa preukazuje dokladom totožnosti, z ktorého údaje sú zaznamenávané do evidencie osôb vstupujúcich do objektu a súčasne je povinná preukázať sa príslušným dokladom (výsledok testu, Covid pass). To že osoba je vpustená do priestoru s regulovaným pohybom v čase platnosti povinnosti preukazovať sa príslušným dokladom je nepochybne spracúvaním osobných údajov, dotknutá osoba je identifikovaná a spojená s informáciou o jej zdravotnom stave (negatívny test, iná výnimka týkajúca sa zdravia);

- obdobná situácia nastáva v bankách, poisťovniach a iných finančných inštitúciách,  na pošte pri preberaní doporučených zásielok alebo iných úkonoch, kde sa vyžaduje identifikácia osoby, v prevádzkach, ktoré fungujú na systéme objednávok klientov (kaderníctvo, kozmetický salón, masáže a pod.), pri vstupe do ubytovacích zariadení (tu dochádza k spracúvaniu osobných údajov aj o deťoch nad 10 rokov, ktoré sa mali zúčastniť plošného testovania),

Prevádzkovatelia si aj v týchto prípadoch musia byť vedomí skutočnosti, že vo vzťahu k spracúvaniu osobných údajov o zákazníkoch nesú plnú mieru zodpovednosti za posúdenie primeranosti zásahu do práv a slobôd zákazníkov a za posúdenie primeranosti spracúvania osobných údajov. Súčasne sú povinní dodržať všetky zásady spracúvania osobných údajov plynúce z Nariadenia GDPR (zásade minimalizácie spracúvania osobných údajov vo vzťahu k dosiahnutiu účelu sa venujeme osobitne). Sú povinní poskytnúť klientom relevantné informácie týkajúce sa spracúvania osobných údajov v rozsahu čl. 13 Nariadenia GDPR (najmä účel spracúvania, právny základ, lehota uchovávania, poskytovanie tretím stranám; informácie môžu poskytnúť napríklad umiestnením na viditeľnom mieste pred vstupom do prevádzky, na recepcii a pod.).

Nahliadanie do dokladov zákazníkov v jednotlivých prevádzkach vychádza z rovnakých právnych predpisov platiacich v čase vyhlásenia núdzového stavu podľa zákona č. 227/2002 Z. z. o bezpečnosti štátu v čase vojny, vojnového stavu, výnimočného stavu a núdzového stavu v znení neskorších predpisov a nadväzne prijímaných právnych predpisov a opatrení prijímaných. Pokiaľ teda dochádza na prevádzkach k spracúvaniu osobných údajov o identifikovaných osobách (pozri vyššie), dochádza k spracúvaniu vo verejnom záujme na základe ustanovení čl.6 ods. 1 písm. e) Nariadenia GDPR, podľa ktorého je spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme v spojení s čl. 9 ods. 2 písm. i) Nariadenia GDPR.

Prevádzky, ktoré spracúvajú osobné údaje o zákazníkoch musia dôsledne zvážiť, či je pre ochranu zdravia nevyhnutné, aby plnili funkciu oprávnených orgánov štátu a vykonávali kontrolu zákazu vychádzania alebo je pre nich postačujúce prijať opatrenia smerujúce k zákazu vstupu (prostredníctvom umiestnenia informácie) a podporené vhodným postupom pre prípady podozrenia z porušovania tohto zákazu resp. podozrenia na možné šírenie nákazlivého ochorenia napríklad privolaním polície. Ostatné efektívne opatrenia ako dezinfekcia, rúško, odstupy sú stále tým, čo najviac chráni životy a zdravie, a to aj vo vzťahu k ich zamestnancom, ktorí prichádzajú do kontaktu so zákazníkmi.

Úvahy o poškodení často nákladne a dlhodobo budovanej firemnej kultúry či narušení dôvery a lojality zamestnancov alebo zákazníkov nadužitím represívnych nástrojov, ktoré štandardne nemajú miesto vo vzťahu zamestnávateľ – zamestnanec resp. dodávateľ – spotrebiteľ (prípadne iné vzťahy v rámci obchodných vzťahov, orgánov štátnej a verejnej moci) je nad rámec tohto príspevku, zasluhuje si však nesporne náležitú pozornosť.

Autori: Mgr. Tatiana Valentová, JUDr. Naďa Roštek, Ing. Ivan Makatura, Branislav Cigánik, Ing. Miroslav Ilavský

 


 

DPO Club predstavuje nezávislú slovensko-českú komunitu zodpovedných osôb (DPO), manažérov zodpovedných za riadenie procesov pre zabezpečenie súladu spracúvania osobných údajov s GDPR, osôb zodpovedných za návrh procesov, ich riadenie, manažment, posudzovanie, osôb zodpovedných za manažovanie rizík, zodpovedných za schvaľovanie postupov a procesov a ich súladu s GPDR.

Jeho hlavnou misiou je vytvoriť exkluzívny priestor pre komorné stretnutia a slobodné diskusie za okrúhlym stolom a nájdenia spoločných efektívnych riešení.

Ohodnoťte článok
Hlasovalo: 380

Nový príspevok

PoUtStŠtPiSoNe
: