dnes je 10.8.2020

Input:

Ochrana osobních údajů zaměstnanců a opatření proti šíření pandemie

31.7.2020, , Zdroj: Verlag Dashöfer

2020.16.01
Ochrana osobních údajů zaměstnanců a opatření proti šíření pandemie

JUDr. Ludmila Probostová

Pandemie nemoci označované jako COVID-19 přinesla mnohé nové otázky a mezi nimi i ty, které se týkají ochrany základních práv a svobod, a tedy i ochrany osobních údajů. Ačkoli není pochyb o tom, že záchrana lidských životů a zdraví je prioritou, nemělo by ani v této době docházet k neodůvodněným zásahům do těchto práv.1 Následující text je proto jistým ohlédnutím za některými opatřeními, která zaměstnavatelé přijímali v zájmu ochrany životů a zdraví zaměstnanců, a to z pohledu ochrany osobních údajů, tedy zejména právní úpravy obsažené v nařízení všeobecně známém pod zkratkou GDPR.2 Současně lze dále popsané postupy považovat za obecně platné v případě, že by se podobná situace v budoucnu opakovala.

ZÁKLADNÍ VÝCHODISKA

Úvodem je nutné zmínit otázku působnosti GDPR. Tedy otázku, zda a případně za jakých podmínek opatření přijatá zaměstnavateli v souvislosti s propuknutím pandemie COVID-19 podléhají povinnostem vyplývajícím z tohoto právního předpisu.

Základním východiskem pro uplatnění režimu GDPR je podle čl. 2 odst. 1 to, zda mají být osobní údaje zpracovávány automatizovaně (tj. pomocí výpočetní techniky), anebo neautomatizovaně s cílem vytvořit určitou evidenci (soubor dat). Jinými slovy, pro aplikaci GDPR je rozhodné, zda zaměstnavatel hodlá informace získané v souvislosti s přijetím proti-pandemických opatření dále zpracovávat (např. uchovávat) ve spojení s konkrétní – slovy GDPR „identifikovanou či identifikovatelnou” – fyzickou osobou. Jsou-li přijímána opatření, která se mají uplatnit vůči zaměstnancům nebo jiným osobám v obdobném postavení, jejichž identita je zaměstnavateli samozřejmě známa, je důvodné vždy spíše vycházet z toho, že podmínky pro uplatnění GDPR budou splněny.

Dále je nutno zdůraznit, že charakter opatření, která zaměstnavatelé přijímají a jejichž cílem je ochrana zdraví a životů, s sebou neoddělitelně přináší práci s informacemi o zdravotním stavu3 dotčených osob. Tento typ informací spadá s ohledem na jejich citlivou povahu a závažnost dopadů případného zneužití do skupiny tzv. zvláštních kategorií osobních údajů, jejichž zpracování je na základě čl. 9 odst. 1 GDPR v zásadě zakázáno. Přípustné je pouze v případě, že nastane některá ze situací taxativně vyjmenovaných v odst. 2 citovaného ustanovení.

A stejně jako u jakéhokoli jiného zpracování osobních údajů je i v případě proti-pandemických opatření nutno vést v patrnosti celý komplex povinností, které z GDPR vyplývají.

MĚŘENÍ TĚLESNÉ TEPLOTY NA VSTUPU DO AREÁLU ČI NA PRACOVIŠTĚ

Jedním z nejčastěji přijímaných opatření v souvislosti s aktuální pandemií COVID-19 bylo, případně stále je, měření tělesné teploty osob přicházejících na pracoviště či vstupujících do areálu zaměstnavatele. Jak bylo naznačeno již výše, mimo režim GDPR zůstává postup, při kterém jsou příchozí osoby vystaveny manuálnímu měření teploty a bez ohledu na to, zda je či není naměřena vyšší hodnota, a tedy je či není umožněn vstup, nedochází k žádnému zaznamenání průběhu měření či naměřené hodnoty. V případě zaměstnanců, jimž byla naměřena zvýšená teplota a nebyli proto vpuštěni na své pracoviště, se nicméně zaměstnavatel bez dalšího záznamu, a tedy i zpracování osobních údajů, neobejde.

Za pozornost stojí v této souvislosti i výše zmíněný manuální způsob měření, tedy měření pomocí příručních teploměrů (bez ohledu na technologii měření). Instalace automatizovaných řešení na vstupech na pracoviště nebo do areálu, např. rámů s infračervenými kamerami, totiž zpracování osobních údajů obvykle představuje.4

Pokud tedy ke zpracování osobních údajů docházet bude, je ještě před samotným uvedením opatření do praxe nezbytné nastavit všechny související postupy tak, aby byl zajištěn sledovaný cíl (ochrana zdraví a životů na pracovišti) a současně byly dodrženy i všechny povinnosti v oblasti ochrany osobních údajů.

Zřejmě prvním krokem, který zaměstnavatel přijme, je vydání vnitřního předpisu či pokynu, kterým opatření v podobě měření tělesné teploty zavede a definuje postupy všech zainteresovaných osob (povinnosti a oprávnění osob pověřených prováděním měření, ale i těch, které měření podstoupí). Z pohledu GDPR je nezbytné zejména stanovit přesný účel a jemu odpovídající právní základ, přijmout opatření k zajištění bezpečnosti zpracovávaných osobních údajů a s předstihem informovat všechny, kterých se měření dotkne.

Správné definování sledovaného účelu je základem souladu s GDPR, neboť právě ve vztahu k účelu se posuzuje splnění mnoha dalších povinností. Není proto vhodné definovat účel měření teploty (a s tím souvisejícího zpracování osobních údajů) např. jako zastavení šíření nákazy COVID-19, neboť při takto určeném účelu může být zpochybněna nezbytnost samotného měření teploty, jejíž vyšší hodnoty nejsou prokazatelným příznakem této nemoci, resp. jsou příznakem mnoha jiných onemocnění.5

Jestliže bude účelem měření tělesné teploty ochrana zdraví a života zaměstnanců, resp. všech osob přítomných na pracovišti, pak možným právním základem pro související zpracování osobních údajů bude čl. 6 odst. 1 písm. f) ve spojení s čl. 9 odst. 2 písm. b) GDPR. Zpracování informací o zdravotním stavu lze totiž v době nouzového stavu nebo po dobu trvání mimořádných opatření ministerstva zdravotnictví považovat za oprávněný zájem zaměstnavatele a všech osob přítomných na daném pracovišti. Současně se jedná o výkon zvláštních práv zaměstnavatele v oblasti pracovního práva, konkrétně o plnění povinností, které zaměstnavateli vyplývají z § 101 a § 102 zákona č. 262/2006 Sb., zákoník práce (dále jen „ZP”). Podle zákoníku práce je povinností zaměstnavatele přijmout taková opatření, která účinně zajistí prevenci ohrožení života a zdraví při práci, a vytvořit bezpečné a zdraví neohrožující pracovní prostředí. Tyto povinnosti má zaměstnavatel nejen vůči svým zaměstnancům, ale vztahují se i na všechny fyzické osoby, které se s jeho vědomím zdržují na daném pracovišti.6 Právní základ zpracování spočívajícího v oprávněném zájmu správce pak vede ke vzniku povinnosti zpracovat tzv. balanční test, tedy analýzu toho, zda je zásah do práv subjektů údajů v důsledku přijatých opatření vyvážen minimálně stejně významným zájmem na straně zaměstnavatele.7

Existence použitelného právního základu však ještě neznamená, že je zaměstnavatel oprávněn naměřené hodnoty tělesné teploty zpracovávat bez jakýchkoli omezení. Naopak, bez ohledu na konkrétní právní základ je vždy nutné zohlednit základní zásady zpracování osobních údajů definované v čl. 5 odst. 1 GDPR. Z těchto zásad je zapotřebí zdůraznit zejména princip minimalizace,8 ze kterého lze vyvodit, že ani nouzový stav a reálné ohrožení zaměstnanců nebezpečnou nákazou neopravňuje zaměstnavatele k vedení evidence konkrétních naměřených hodnot tělesné teploty. Sledovaný účel, tj. zajištění ochrany života a zdraví, lze totiž docílit i pomocí méně invazivního opatření v podobě stanovení určité hranice tělesné teploty, jejíž překročení má za důsledek odmítnutí vstupu na pracoviště nebo do areálu. U osob, kterým zvýšená teplota naměřena nebyla, k žádné evidenci údajů v této souvislosti nedochází. V případě zaměstnanců, kteří zvýšenou teplotu měli, je zaznamenán pouze údaj o tom, že jim nebyl umožněn vstup právě z tohoto důvodu.

Evidence v tomto (minimálním) rozsahu je naopak nezbytná s odkazem na povinnosti zaměstnance dostavit se v určený čas na své pracoviště a odvést práci. Pokud se zaměstnanec nemůže do práce dostavit v důsledku opatření zavedených zaměstnavatelem, bude se jednat o omluvenou nepřítomnost v důsledku jiné překážky na straně zaměstnavatele (§ 208 ZP). Tuto skutečnost je pak logicky nutno zaznamenat v evidencích, které je zaměstnavatel povinen vést (evidence docházky a navazující mzdová a daňová agenda). Ke splnění těchto povinností je však dostačující informace v rozsahu „nebyl umožněn vstup na pracoviště”.9

Zmínit lze dále zásadu časového omezení zpracování údajů.10 Tato povinnost se projeví např. tam, kde zaměstnavatelé opatření spojená s měřením teploty zaměstnanců definují tak, že dotyčný zaměstnanec nemá být na pracoviště vpuštěn po delší dobu než pouze daný den (např. 3 následující dny), čímž má být zaměstnanci poskytnut větší prostor pro zjištění možného onemocnění. Pro realizaci takto stanoveného opatření bude zapotřebí vést krátkodobou, oddělenou evidenci osob, kterých se omezení přístupu na pracoviště týká. Opět však pouze v rozsahu omezeném na identifikaci zaměstnance a informaci, do kterého data opatření platí. Tuto dočasnou evidenci je pak nutno průběžně mazat (po uplynutí doby, po kterou se překážka pro vstup uplatní).

Nelze pominout ani povinnosti v oblasti řádného informování dotčených osob, vyplývající z čl. 12 a 13 GDPR. Zaměstnance i další osoby vstupující na pracoviště je zapotřebí s dostatečným předstihem informovat o přijatých opatřeních, kterým se budou muset podrobit, včetně všech základních informací o zpracování osobních údajů, které je s tím spojeno. Zaměstnancům je např. možné zpřístupnit interní předpis či pokyn, kterým zaměstnavatel měření teploty zavedl, případně je lze informovat prostřednictvím intranetu, cestou vedoucích zaměstnanců či oběžníku, ať již v listinné nebo elektronické podobě (v závislosti na konkrétní situaci a obvyklých postupech u každého zaměstnavatele). Ostatní osoby je možné informovat formou informační tabule či letáku dostupného před vstupem do chráněné zóny. V každém případě by měly být všechny dotčené osoby seznámeny především s důvody měření teploty, rozsahem osobních údajů, které budou shromážděny, právním základem pro jejich zpracování a případně s uchováním ve formě dočasného seznamu zaměstnanců, u nichž vznikla překážka v zaměstnání.

Z praktického pohledu je pak možné připravit písemnou verzi informace zvláště určenou pro zaměstnance, jimž vstup na pracoviště umožněn nebyl, aby byli v této nepochybně nesnadné situaci vybaveni srozumitelnými informacemi o důvodech i pokyny, jak dále postupovat.

Také v tomto případě mají zaměstnanci a další dotčené osoby na základě GDPR práva, která mohou vůči zaměstnavatelům uplatňovat. Může se jednat např. o žádost o (upřesnění) informací o zpracování, o přístup k údajům, případně o výmaz či uplatnění námitky proti danému zpracování. Samotné uplatnění práva automaticky neznamená, že je třeba žádosti subjektu údajů bez dalšího vyhovět. Každou žádost je však nutno vyřídit (a to v zásadě ve lhůtě 1 měsíce11), přičemž platí, že vstřícný a aktivní přístup zaměstnavatele v této věci je prevencí před jistě nežádoucí eskalací situace např. stížností k dozorovému úřadu.

V neposlední řadě pak musíme zmínit povinnosti, které zaměstnavateli vznikají v oblasti zabezpečení zpracovávaných osobních údajů, a to zejména na základě čl. 25 a 32 GDPR. Tato opatření počínají již správným nastavením organizace měření teploty, jako je určení odpovědných osob a postupů při práci s daty, včetně povinnosti mlčenlivosti. Cílem je zajistit, aby nedošlo k zneužití získaných osobních údajů.

ČESTNÁ PROHLÁŠENÍ

Dalším velmi obvyklým opatřením, která zaměstnavatelé přijímali v souvislosti s prevencí šíření nemoci COVID-19, jsou různé formy čestných prohlášení. Primárně se tato opatření uplatnila vůči návštěvníkům areálu, případně vůči zaměstnancům při návratu po delší nepřítomnosti, např. po dovolené (při standardní docházce do zaměstnání nebude toto opatření praktické).

V zásadě je obsahem takového dokumentu prohlášení dotčené osoby, že v definované době (např. 14 dní před datem prohlášení) nepobývala v uvedených rizikových oblastech a nebyla v kontaktu s osobou, u které byla prokázána infekce COVID-19. Vyžadování konkrétního místa pobytu nebo