Under the recently introduced decree of the Czech Ministry of Health (the “Decree”), employers must test their employees for COVID-19, as we informed you here.
The relevant Czech supervisory authority (the Office for Personal Data Protection) recently released a statement regarding employers’ obligations under the GDPR in connection with such testing. This statement confirms our previous conclusion:
- processing of employees’ personal data related to COVID-19 testing (the “Data”) must be limited to purposes related to the Decree;
- employees’ consent to Data processing is not required;
- employers must inform the employees about the testing, the legal basis of the Data processing, the Data storage period, transfer of the Data, and other standard details of the processing (including controller identity, employees’ rights etc.);
- the Data should be limited to the bare minimum necessary for compliance with the Decree;
- employers must make records of processing activities; such records should contain the obligatory information;
- the Data should be stored only for the period necessary for complying with the Decree;
- the Data must be secured by appropriate technical and organizational measures and accessed only by authorized persons.
Although the Czech supervisory authority has not confirmed this yet, if the conditions are met, employers must also:
- conclude a data processing agreement, if the Data is not processed by the employer only;
- involve a Data Processing Officer (“DPO”), if appointed (and in some cases, appoint a DPO).
Ochrana osobních údajů zaměstnanců a povinné testy COVID-19
Jaké osobní údaje zaměstnanců lze zpracovávat?
Zaměstnavatelé mohou v souvislosti s testováním zaměstnanců na COVID-19 podle mimořádného opatření Ministerstva zdravotnictví č. j. MZDR 47828/2020-16/MIN/KAN ve znění pozdějších změn („Opatření“) zpracovávat pouze údaje nezbytné pro dosažení účelu zpracování, který vyplývá z Opatření, tedy pro účely testování a rozhodnutí, zda a které zaměstnance lze vpustit na pracoviště.
Konkrétně se jedná o následující údaje („Údaje“):
- osobní číslo zaměstnance (pokud nebylo přiděleno, pak jméno a příjmení);
- údaj o přesném času provedení testu;
- výsledek testu na přítomnost viru SARS-CoV-2;
- pokud bude zaměstnavatel požadovat úhradu testu od zdravotní pojišťovny, pak také číslo pojištěnce a údaje o zdravotní pojišťovně;
- pokud jde o zaměstnance, na které se vztahuje výjimka z povinnosti podstoupit test, pak také údaj o prodělání nemoci COVID-19 a údaj o uplynutí nařízené izolace, případně časový údaj o provedeném očkování a údaj o nepřítomnosti příznaků nemoci COVID-19.
K čemu lze Údaje použít?
Použití Údajů je omezeno pouze na plnění povinností uložených zaměstnavatelům a zaměstnancům v Opatření.
Jaký je právní základ a účel zpracování Údajů?
Zpracování Údajů nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví. Souhlas zaměstnance se zpracováním Údajů se tedy nevyžaduje.
O čem musím zaměstnance informovat?
Zaměstnance je nutné informovat o:
- zvoleném způsobu testování, druhu a povaze testů;
- totožnosti a kontaktních údajích zaměstnavatele a jeho případného zástupce;
- kontaktních údajích pověřence pro ochranu osobních údajů, byl-li jmenován;
- účelech zpracování Údajů;
- právním základu zpracování Údajů;
- případném předání Údajů orgánům ochrany veřejného zdraví či jiným příjemcům, je-li připuštěno;
- případném úmyslu předat Údaje do třetí země a souvisejících informacích;
- době uložení Údajů (je nutné vymezit alespoň kritéria pro stanovení doby uložení);
- existenci práva požadovat přístup k Údajům, opravu, výmaz či omezení zpracování Údajů, vznést námitku proti zpracování Údajů či podat stížnost proti zpracování u dozorového úřadu a práva na přenositelnost Údajů;
- skutečnosti, že zpracování Údajů je zákonný požadavek, zaměstnanec má povinnost Údaje poskytnout a jaké jsou důsledky neposkytnutí Údajů;
- pokud testování provádí poskytovatel zdravotních služeb, pak i o kategorii Údajů a zdroj, ze kterého Údaje pochází.
Jak a kdy musím zaměstnance informovat?
Informace je nutné zaměstnancům sdělit:
- nejpozději v okamžiku získání Údajů;
- písemně či jiným prokazatelným způsobem;
- v rozsahu, v jakém zaměstnanci tyto informace ještě nemají.
Doporučujeme tedy revizi vnitřních předpisů zaměstnavatele a následně zaměstnancům poskytnout samostatně ty informace, které ve vnitřních předpisech nejsou obsaženy, a ve zbytku odkázat na příslušný vnitřní předpis.
Jak provést záznam o zpracování Údajů?
O zpracování Údajů je nutné provést záznam o činnosti zpracování („Záznam“). Záznam se provádí standardním postupem podle článku 30 GDPR.
Jak dlouho mohu Údaje uchovávat?
Zaměstnavatelé mohou Údaje uchovat maximálně po dobu:
- platnosti a účinnosti Opatření; a zároveň
- nezbytnou pro kontrolu a uplatnění jednotlivých nároků souvisejících s Opatřením.
Opatření by mělo pozbýt platnosti a účinnosti nejpozději skončením stavu pandemické pohotovosti podle pandemického zákona. V případě nároků souvisejících s Opatřením se pak jedná zejména o nárok zaměstnavatele na proplacení některých testů (viz zde), možnost pojišťovny provést kontrolu proplácených testů a právo zaměstnance na úhradu nákladů testu.
Jak Údaje zabezpečit?
Zaměstnavatelé musí:
- zabezpečit Údaje vhodnými opatřeními, např. šifrovat soubory s Údaji, zpřístupnit je pouze přes chráněné VPN, neukládat je na volně přístupném místě v počítači (plocha či disk C:/) ani volně přístupných nezaheslovaných USB discích, nenechávat vytištěné dokumenty s Údaji volně přístupné bez dozoru, ale uschovat je v zamčeném prostoru pro uchování citlivé personální agendy v místnosti, která se zamyká;
- umožnit přístup k Údajům pouze osobám pověřeným plněním úkolů vyplývajících z Opatření.
Při posuzování vhodnosti zabezpečení se přihlíží zejména k riziku neoprávněného či náhodného zničení, pozměnění, ztráty či zpřístupnění Údajů neoprávněným osobám. Rovněž se přihlíží ke stavu techniky, nákladům na provedení zabezpečení, povaze, rozsahu, kontextu a účelům zpracování Údajů.
Mám ještě jiné povinnosti?
Úřad pro ochranu osobních údajů vydal k Opatření dne 5. března 2021 stanovisko („Stanovisko“). Stanovisko ovšem není vyčerpávající a stručně zmiňuje pouze některé povinnosti zaměstnavatelů. Kromě ve Stanovisku vyjmenovaných povinností analyzovaných výše má zaměstnavatel rovněž povinnost:
- uzavřít smlouvu o zpracování osobních údajů či vtělit nezbytná ustanovení o zpracování Údajů do jiné smlouvy uzavírané se zpracovatelem (typicky poskytovatelem zdravotních služeb), pokud Údaje nezpracovává zaměstnavatel sám a taková smlouva ještě neexistuje;
- zapojit pověřence pro ochranu osobních údajů, pokud jej jmenoval, přičemž v krajních případech může zaměstnavateli vzniknout povinnost pověřence pro ochranu osobních údajů jmenovat;
- dodržet veškeré obecné zásady zpracování osobních údajů.
