SPRACÚVANIE OSOBNÝCH ÚDAJOV ZA ÚČELOM PREVENCIE ŠÍRENIA OCHORENIA COVID-19

/v /od

Počas aktuálnej mimoriadnej situácie vyhlásenej v súvislosti so šírením nebezpečnej nákazlivej ľudskej choroby COVID-19 (ďalej len „COVID-19“) sa okrem iného objavujú aj legitímne otázky, ako spracúvať osobné údaje dotknutých osôb (napr. zamestnancov alebo návštevníkov objektu určitého podnikateľa) získané s cieľom zamedziť ďalšiemu šíreniu tohto ochorenia tak, aby sa subjekt v pozícii prevádzkovateľa nedostal do rozporu s Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje Smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „Nariadenie GDPR“), resp. so zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

Predmetná problematika je omnoho dôležitejšia najmä z toho dôvodu, že na dosiahnutie prevencie šírenia ochorenia COVID-19 prevádzkovateľ má spravidla záujem spracúvať aj osobné údaje o zdraví dotknutej osoby, ktoré Nariadenie GDPR zaraďuje do osobitnej kategórie osobných údajov (ďalej len „citlivé údaje“). Z povahy týchto citlivých údajov vyplýva, že na ich spracúvanie sa vzťahujú prísnejšie podmienky a zároveň sa im priznáva vyšší stupeň ochrany.

 

Medzi aktuálne najfrekventovanejšie opatrenia prevádzkovateľov (t.j. aj zamestnávateľov), ktorých zámerom je zamedziť šíreniu COVID-19 a zabezpečiť ochranu svojich zamestnancov, resp. aj ďalších osôb, je možné zaradiť najmä:

  • spracúvanie informácií týkajúcich sa cestovateľskej anamnézy uvedených osôb, t.j. napríklad či boli v krajine postihnutej COVID-19, či boli v styku s osobami s cestovateľskou anamnézou, príp. s osobami nakazenými / vykazujúcimi príznaky COVID-19 a pod.,
  • spracúvanie informácií, či uvedené osoby vykazujú príznaky ochorenia COVID-19,
  • spracúvanie údajov o telesnej teplote uvedených osôb.

Hoci sa Slovenská republika aktuálne nachádza v mimoriadnej situácii, každý prevádzkovateľ je oprávnený získavať a spracúvať osobné údaje len za predpokladu dodržiavania zásad spracúvania osobných údajov, a to predovšetkým zásady zákonnosti, minimalizácie údajov a transparentnosti spracúvania. Každý prevádzkovateľ, teda aj zamestnávateľ, je povinný predovšetkým (A) spracúvať osobné údaje dotknutej osoby na správnom právnom základe(B) splniť si voči dotknutej osobe informačné povinnosti v zmysle Nariadenia GDPR a (C) dodržiavať ďalšie relevantné povinnosti uložené Nariadením GDPR.

 

A) K voľbe príslušného právneho základu spracúvania osobných údajov:

 

Spracúvanie bežných osobných údajov zamestnancov prevádzkovateľa za účelom prevencie šírenia ochorenia COVID-19 môže byť nevyhnutné (I.) na splnenie zákonných povinností zamestnávateľa, a to najmä povinnosti sústavne zaisťovať bezpečnosť a ochranu zdravia zamestnancov pri práci (t.j. právnym základom je v tomto prípade čl. 6 ods. 1 písm. c) Nariadenia GDPR) alebo (II.) na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby, pod ktorú je možné zaradiť spracúvanie nevyhnutné na humanitárne účely, vrátane monitorovania epidémií a ich šírenia (t.j. právnym základom je v tomto prípade čl. 6 ods. 1 písm. d) Nariadenia GDPR), resp. (III.) na splnenie úlohy realizovanej vo verejnom záujme, akou je napríklad kontrola chorôb a iných ohrození zdravia (t.j. právnym základom je v tomto prípade čl. 6 ods. 1 písm. e) Nariadenia GDPR), alternatívne aj (IV.) na účely plnenia oprávnených záujmov, ktoré sleduje prevádzkovateľ (t.j. právnym základom je v tomto prípade čl. 6 ods. 1 písm. f) Nariadenia GDPR, pričom jeho aktuálnosť je potrebné podrobiť tzv. „balančnému testu“).

 

Spracúvanie citlivých údajov zamestnancov prevádzkovateľa za účelom prevencie šírenia ochorenia COVID-19 môže byť nevyhnutné (I.) na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, (t.j. v tomto prípade ide o výnimku podľa čl. 9 ods. 2 písm. b) Nariadenia GDPR) alebo (II.) z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie alebo práva členského štátu, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby (t.j. v tomto prípade ide o výnimku podľa čl. 9 ods. 2 písm. i) Nariadenia GDPR), resp. (III.) na účely ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby (t.j. v tomto prípade ide o výnimku podľa čl. 9 ods. 2 písm. c) Nariadenia GDPR).     

 

Vhodnosť zaradenia zamýšľaného spracúvania citlivých údajov pod výnimku podľa čl. 9 ods. 2 písm. i) Nariadenia GDPR osvedčil aj Úrad na ochranu osobných údajov SR (ďalej len „Úrad“) vo svojom stanovisku.[1] Úrad dodáva, že podľa čl. 9 ods. 2 písm. i) Nariadenia GDPR je potrebné, aby takéto podmienky boli stanovené vo všeobecne záväznom právnom predpise, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby (napr. uznesenie vlády SR). V nadväznosti na vyhlásenú mimoriadnu situáciu, takýmto všeobecne záväzným právnym predpisom by mohol byť zákon č. 42/1994 Z. z. o civilnej ochrane obyvateľstva v znení neskorších predpisov, na základe ktorého musí byť vydané konkrétne opatrenie, prípadne zákon č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov v znení neskorších predpisov. Ku dňu vypracovania tejto právnej analýzy poukazujeme napríklad na uznesenie vlády SR,[2] v zmysle ktorého okrem iného „vláda uložila hlavnému hygienikovi SR vydať opatrenie, ktorým sa odporučí od 30. marca 2020 merať telesnú teplotu pri vstupe do nemocníc a priemyselných podnikov a ktorým sa uložia usmernenia, ako postupovať pri nameraní zvýšenej telesnej teploty“. Na webovej stránke Úradu verejného zdravotníctva SR bolo príslušné usmernenie[3] zverejnené dňa 2. apríla 2020. Spracúvanie údajov o telesnej teplote dotknutej osoby, ako citlivých osobných údajov, by tak mohlo byť legitímne s poukazom na príslušné usmernenie a výnimku podľa čl. 9 ods. 2 písm. i) Nariadenia GDPR. V súčasnosti je meranie telesnej teploty odporúčané aj v obchodoch a prevádzkach, a to aj v zmysle opatrenia Ústredného krízového štábu SR a vlády SR zverejneného napríklad na webovej stránke spravovanej Národným centrom zdravotníckych informácií SR a Úradom vlády SR.[4]

 

Európsky výbor pre ochranu údajov vo svojom vyhlásení[5] osvedčil možnosť spracúvať citlivé údaje aj na základe výnimky podľa čl. 9 ods. 2 písm. c) Nariadenia GDPR, nakoľko existuje potreba chrániť životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby a príslušný recitál 46 Nariadenia GDPR výslovne odkazuje na kontrolu epidémie.  

 

Právne základy podľa čl. 6 ods. 1 písm. d), resp. písm. e), alternatívne písm. f) Nariadenia GDPR a výnimky podľa čl. 9 ods. 2 písm. c), resp. písm. i) Nariadenia GDPR je možné analogicky použiť aj pre spracúvanie osobných údajov návštev („nezamestnancov“), ktoré vstupujú do priestorov prevádzkovateľa.  

 

B) K splneniu si informačnej povinnosti prevádzkovateľa:

 

Po ustálení relevantného právneho základu pre spracúvanie osobných údajov je prevádzkovateľ povinný pristúpiť k splneniu svojej komplexnej informačnej povinnosti podľa článku 13 alebo 14 Nariadenia GDPR vo vzťahu k príslušným dotknutým osobám, a to v takej forme, aby v prípade kontroly Úradom vedel uniesť dôkazné bremeno, že si túto svoju povinnosť preukázateľne a transparentne splnil. V prípade záujmu Vám radi poskytneme detailnejšie usmernenie, akými formami je vhodné túto podstatnú informačnú povinnosť zrealizovať.

 

C) Vo vzťahu k ďalším podstatným povinnostiam prevádzkovateľa:

 

K spracúvaniu osobných údajov by mal zamestnávateľ pristupovať v súlade so zásadou minimalizácie údajov, t.j. spracúvanie by malo byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa osobné údaje spracúvajú. Niektoré zahraničné úrady na ochranu osobných údajov preto odporúčajú, aby sa prevádzkovatelia vyhýbali generálnemu spracúvaniu citlivých údajov (napríklad zdokumentovaniu aktuálneho zdravotného stavu, resp. príznakov ochorenia) vo vzťahu ku všetkým zamestnancom, resp. návštevníkom ich prevádzok alebo objektov. Do pozornosti Vám dávame stanoviská zahraničných úradov na ochranu osobných údajov, zverejnené ku dňu vypracovania tejto právnej analýzy, keď napríklad francúzsky dozorný orgán[6] označil za nezákonné zavedenie povinného merania teploty dotknutých osôb zo strany zamestnávateľa (resp. majiteľa určitého objektu), ako aj vyžadovanie vyplnenia dotazníka s dopytmi týkajúcimi sa ich zdravotného stavu a príznakov nákazy. Obdobne aj taliansky dozorný orgán[7] vyzval podnikateľov na upustenie od systematického zhromažďovania údajov o príznakoch choroby u zamestnancov, resp. ich príbuzných.

 

Pre úplnosť však poukazujeme aj na protichodné stanovisko írskeho dozorného orgánu[8] k spracúvaniu osobných údajov v zmysle Nariadenia GDPR, a to o cestovateľskej anamnéze a o symptómoch ochorenia COVID-19 u zamestnancov a návštevníkov vstupujúcich do budovy prevádzkovateľa. Írsky právny poriadok stanovuje zamestnávateľom povinnosť chrániť zdravie svojich zamestnancov (pozn.: rovnako tomu je aj v prípade právneho poriadku Slovenskej republiky). S poukazom na dané írsky dozorný orgán konštatoval, že zamestnávatelia sú oprávnení dopytovať sa svojich zamestnancov a návštevníkov o ich cestovateľskej anamnéze a symptómoch ochorenia COVID-19.

 

Vzhľadom na vyššie uvedené skutočnosti odporúčame, aby prevádzkovateľ (s prihliadnutím na povahu jeho činnosti alebo jeho veľkosť) zaviedol adekvátne interné metodické postupy za účelom stanovenia rozsahu osobných údajov dotknutých osôb spracúvaných v určitej aktuálnej situácii tak, aby rešpektoval vydané nariadenia, usmernenia, resp. iné právne akty Slovenskej republiky.

 

Je tiež potrebné zdôrazniť, že aj za tejto mimoriadnej situácie je prevádzkovateľ povinný dodržiavať striktné povinnosti na ochranu spracúvaných osobných údajov a s tým spojené kontrolované (ne)poskytovanie osobných údajov tretím stranám a zachovávanie mlčanlivosti a dôvernosti informácií. Rovnako je potrebné myslieť na povinnosť prevádzkovateľa prijať primerané technické a organizačné opatrenia s cieľom zaistiť bezpečné spracúvanie a ochranu osobných údajov. Na túto povinnosť je potrebné myslieť aj v prípade, ak zamestnávateľ povolil, resp. nariadil svojim zamestnancom prácu z domu (tzv. home office). V prípade Vášho záujmu Vám radi poskytneme návrh takýchto relevantných technických a organizačných opatrení. 

 

Do pozornosti tiež dávame skutočnosť, že v prípade, ak dôjde k nezákonnému spracúvaniu osobných údajov (odcudzením, stratou, poškodením a pod.), prevádzkovateľ je povinný oznámiť Úradu takéto porušenie, a to prostredníctvom formulára:
https://dataprotection.gov.sk/uoou/sk/dp/dp-breach.

V určitých prípadoch je prevádzkovateľ povinný dokonca kontaktovať priamo aj príslušné dotknuté osoby. Uvedené povinnosti nemožno podceňovať ani za aktuálnej mimoriadnej situácie. V prípade, ak došlo k inkriminovanej udalosti, je ju potrebné zanalyzovať v kontexte jej dopadov na riziká pre práva a slobody dotknutých osôb a zvážiť rozsah oznámenia tejto udalosti príslušným subjektom, a to všetko v relatívne krátkych lehotách stanovených Nariadením GDPR. V uvedenej veci taktiež vieme poskytnúť plnú súčinnosť tak, aby oznámenie bolo vykonané riadne a včas.

 

Zároveň je nevyhnutné rešpektovať aj zásadu minimalizácie uchovávania osobných údajov. Platí, že prevádzkovateľ je oprávnený spracúvať osobné údaje len po dobu trvania účelu, pre ktorý ich získal. Následne ich musí bezodkladne a bezpečne zlikvidovať.

 

S ohľadom na povahu, rozsah, kontext a účely spracúvania by mal prevádzkovateľ tiež posúdiť, či tento typ spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb. Pred spracúvaním osobných údajov na tento účel by preto prevádzkovateľ mal zvážiť potrebu vykonania posúdenia vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov tzv. „Data protection impact assessment“ (DPIA) podľa čl. 35 Nariadenia GDPR a postupovať ďalej v zmysle jeho záverov. Splnenie tejto povinnosti bude závisieť napríklad aj od veľkosti alebo charakteru prevádzkovateľa. Obdobné východiská platia tiež pre záver, či prevádzkovateľ je povinný viesť záznamy o spracovateľských činnostiach podľa čl. 30 Nariadenia GDPR. 

 

V neposlednom rade je na mieste legálne upraviť prípadné vzťahy vzniknuté pri spracúvaní osobných údajov v režime prevádzkovateľ – sprostredkovateľ. Ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa a prevádzkovateľ touto činnosťou poverí určitého sprostredkovateľa, tieto subjekty sú povinné pristúpiť k uzavretiu zmluvy o spracúvaní osobných údajov podľa čl. 28 ods. 3 Nariadenia GDPR. V prípade potreby vieme takúto zmluvu vypracovať, resp. podrobiť aktuálnu zmluvnú dokumentáciu právnej analýze a pripomienkovaniu.

 

Pre doplnenie si dovolíme taktiež uviesť, že sme zachytili aj vyjadrenia, podľa ktorých má vláda počas aktuálnej mimoriadnej situácie údajne uvoľniť pravidlá vyžadované Nariadením GDPR. Ku dňu vypracovania tejto právnej analýzy však nedisponujeme informáciou, že by bolo vydané právne záväzné nariadenie / opatrenie (resp. iný právny akt) s takýmito následkami. Do pozornosti však dávame vyhlásenie predsedníčky Európskeho výboru pre ochranu údajov zo dňa 16. marca 2020,[9] podľa ktorého: „Pravidlá na ochranu údajov (ako Nariadenie GDPR) nebránia opatreniam prijatým v boji proti pandémii koronavírusu. Chcela by som však zdôrazniť, že aj v týchto výnimočných časoch musí prevádzkovateľ zabezpečiť ochranu osobných údajov dotknutých osôb. Preto by sa malo zohľadniť viacero hľadísk, aby sa zaručilo zákonné spracúvanie osobných údajov.

 

Vzhľadom na všetky vyššie uvedené skutočnosti odporúčame prevádzkovateľom dodržiavať všetky povinnosti stanovené Nariadením GDPR a aj naďalej spracúvať osobné údaje zákonne a v súlade s príslušnými právnymi predpismi. Sme toho názoru, že aj za aktuálnej mimoriadnej situácie je možné spracúvať osobné údaje zákonne a Nariadenie GDPR tomu nebráni. Potvrdzuje to aj recitál 4 Nariadenia GDPR, podľa ktorého spracúvanie osobných údajov by malo byť určené na to, aby slúžilo ľudstvu.

 

Dodávame, že za porušenie príslušných ustanovení Nariadenia GDPR hrozia prevádzkovateľom stále aktuálne vysoké pokuty až do výšky 10 000 000 EUR alebo v prípade podniku až do výšky 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, alternatívne až do výšky 20 000 000 EUR, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok (podľa toho, ktorá suma je vyššia).

 

V prípade potreby poskytnutia dodatočných informácií vo vzťahu k predmetnej téme nás neváhajte osloviť prostredníctvom formulára na položenie otázky. V prípade konkrétnych požiadaviek z Vašej strany naša advokátska kancelária samozrejme spracuje podrobnú právnu analýzu prispôsobenú presne na mieru Vašej požiadavke, prípadne vypracuje potrebnú dokumentáciu.

 

Tento príspevok je vypracovaný v nadväznosti na doterajšiu aplikačnú prax spracúvania osobných údajov za účelom predchádzania šíreniu infekčného ochorenia COVID-19, aktuálnu ku dňu jej spracovania. Nie je možné vylúčiť, že vzhľadom na vývoj predmetnej mimoriadnej situácie môže dôjsť aj k zmene právnych názorov uvedených v tomto príspevku, resp. k prípadnému zjednoteniu aplikačnej praxe, čo môže mať za následok úpravu obsahu a záverov tohto príspevku.

 

[1] Koronavírus a spracúvanie osobných údajov (aktualizované 13.3.2020)

[2] Uznesenie Vlády SR zo dňa 27. 3. 2020 č. 174/2020 k opatreniam vyplývajúcim zo zasadnutia Ústredného krízového štábu na riešenie ochorenia COVID-19 spôsobeným korona vírusom SARS-CoV-2 na území Slovenskej republiky (https://rokovania.gov.sk/RVL/Resolution/18312/1)

[3] Usmernenie ako postupovať pri meraní telesnej teploty a pri odhalení zvýšenej telesnej teploty pri vstupe do nemocníc a do priemyselných podnikov

[4] https://www.korona.gov.sk/covid-19-prijate-opatrenia.php

[5] Vyhlásenie EDPB o spracúvaní osobných údajov v súvislosti s prepuknutím ochorenia COVID-19

[6] https://www.jdsupra.com/legalnews/france-offers-guide-for-processing-85528/

[7] https://www.jdsupra.com/legalnews/italy-offers-guidance-on-covid-19-36158/

[8] Data Protection and COVID-19

[9] Vyhlásenie predsedníčky EDPB k spracúvaniu osobných údajov v súvislosti s prepuknutím choroby COVID-19

Prihlásiť sa na odber noviniek

Situácia okolo prijatej legislatívy a opatrení v súvislosti s ochorením COVID-19 sa mení niekedy z minúty na minútu a preto Vám prinášame možnosť prihlásiť sa na odber noviniek a zostať tak neustále informovaný o nových článkoch na webe www.covid-19.akss.sk

Nechcete už dostávať e-maily? Kliknite sem pre odhlásenie sa z odberu.

HOME | AKTUALITY | UŽITOČNÉ LINKY | KARIÉRA | PROFIL | SLUŽBY | ĽUDIA | PUBLIKÁCIE | KONTAKTY | INFORMÁCIEGDPR

© 2020 – SOUKENÍK – ŠTRPKA, s. r. o., ALL RIGHTS RESERVED, | web: Aeternus Pictures

Obmedzenie pohybu obyvateľstva počas veľkonočných sviatkov Uzatvorenie maloobchodnej prevádzky a povinnosť nájomcu na úhradu nájo...