Je v zájmu lidstva omezit šíření přenosných nemocí. Použití moderních technologií v boji proti pandemii coronaviru, jež postihuje velkou část světa, je nevyhnutelné. Vlády, ale i veřejné a soukromé organizace v celé Evropě přijímají opatření k omezení a zmírnění dopadů coronaviru, což může zahrnovat zpracování různých osobních údajů včetně citlivých. Avšak i v těchto výjimečných časech je potřeba pamatovat na ochranu osobních údajů, byť by se to na první pohled mohlo zdát jakkoliv marginální proti palčivějším a naléhavějším potížím vyžadujícím okamžitá řešení.

Z historie totiž víme, že dříve než nejtěžší okamžiky pominou a lidská solidarita a vzájemný respekt klesnou na své standardní hodnoty, objeví se ziskuchtiví prevíti nebojící se využít těch nejcitlivějších osobních údajů ke svému prospěchu. Lidé jsou si toho vědomi a začínají klást otázky v souvislosti s opatřeními pro zamezení nákazy. K některým z nich se vyjádřil i Evropský sbor pro ochranu osobních údajů  (EDPB European Data Protection Board) ve svém prohlášení z 19. března 2020 .

Jak se tedy GDPR dívá na zpracování osobních údajů jako je:

	zdravotní stav osob, jež jsou nebo mohou být šiřiteli nákazy;
	lokalizace šiřitelů nákazy v čase – trasování;
	dohledání dalších osob, s kterými byli šiřitelé ve styku;
	zpracování prováděná zaměstnavatelem.

Pravidla stanovená obecným nařízením o ochraně osobních údajů GDPR v článku 9 odst. 2 písm. i) pamatuje na specifická zpracování údajů o zdravotním stavu osob, jestliže je to nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví a ochrany před vážnými přeshraničními zdravotními hrozbami. Konkrétní situace zahrnující zpracování osobních údajů a jejich rozsah, jakož i přijímání vhodných opatření upravuje zákon o ochraně veřejného zdraví.

Příkladem vhodného opatření je informování obyvatel prostřednictvím mobilních telekomunikačních sítí ve spolupráci s operátory těchto sítí (varování a výzvy ve formě SMS zpráv).

Jak ukládá zákon o ochraně veřejného zdraví, příslušné orgány ochrany veřejného zdraví jsou oprávněny provádět epidemiologická šetření zaměřená zejména na ověření diagnózy a zjištění ohniska nákazy. Osoby jsou povinny sdělit příslušnému orgánu na jeho výzvu okolnosti důležité v zájmu podobných šetření.

Mezi orgány ochrany veřejného zdraví se řadí ministerstvo zdravotnictví, krajské hygienické stanice, ministerstva vnitra, obrany, průmyslu a obchodu a další (ministerstvo životního prostředí, ministerstvo dopravy, ministerstvo pro místní rozvoj, krajské úřady).

V České republice, ale jiných zemích je aktuálně vyhlášen nouzový stav, což je období, kdy je možno mimo jiné na nezbytně nutnou dobu a v nezbytně nutném rozsahu omezit některá práva a svobody občanů. Vláda ČR umožnila svým usnesením č. 250 ze dne 18. března 2020 tzv. trasování polohy osob, u kterých byla prokazatelně potvrzena nákaza COVID-19 ve sledovaném období a na základě jejich informovaného souhlasu.

Jinými slovy orgány ochrany veřejného zdraví mohou požadovat u telekomunikačních operátorů údaje o pohybu osob (na základě jejich souhlasu) dle lokalizace mobilních telefonů za účelem zjištění ohniska nákazy a vyhledání dalších potenciálně nakažených osob. Doba trvání by měla být omezena na dobu trvání nouzového stavu.

Jak upozorňuje EDPB je důležité přijmout odpovídající bezpečnostní opatření a zásady důvěrnosti zajišťující, že osobní data nebudou zpřístupněna neoprávněným osobám. Toho se drželo i Ministerstvo zdravotnictví, když nařídilo Zlínské hygienické stanici stáhnout ze svého webu údaje o počtu nakažených osob dle jednotlivých obcí Zlínského kraje. Mluvčí ministerstva zdravotnictví Gabriela Štěpanyová k tomu uvedla: „Zveřejňovat počty nakažených podle obcí považujeme za nevhodné, protože je zde vysoké riziko stigmatizace nakažených osob a jejich rodinných příslušníků. Ministerstvo zdravotnictví od začátku epidemie klade vysoký důraz na ochranu nakažených a jejich rodin. Považujeme proto za důležité komunikovat informace o pozitivních případech maximálně na úroveň jednotlivých okresů příslušného kraje.“ Více v článku Novinky.cz .

Zákoník práce ukládá zaměstnavateli vytvářet bezpečné a zdraví neohrožující pracovní prostředí, přičemž by měl přijímat opatření k předcházení, odstraňování či minimalizaci rizik – tzv. prevenční povinnost.

V době ohrožení je tedy zaměstnavatel povinen přijmout potřebná ochranná opatření a postupovat v souladu s platnými předpisy, mimořádnými opatřeními Vlády ČR a pokyny orgánů ochrany veřejného zdraví. Ministerstvo zdravotnictví připravilo manuál možných opatření bránících šíření onemocnění COVID-19 na pracovištích.

Za účelem vytipování možných šiřitelů zavádí zaměstnavatelé různá opatření a monitorování zaměstnanců jako jsou dotazníky zjišťující pobyt v rizikových zemích, čestná prohlášení či sledování teploty zaměstnanců. Vznikají i databáze rizikových zaměstnanců. Zaměstnavatelé mají právo zjišťovat, zda byl zaměstnanec nebo jeho blízké osoby v rizikové oblasti. Shromažďování informací o zdravotním stavu zaměstnanců je však možné za předpokladu, že budou sloužit výhradně pro účely ochrany zdraví a předcházení dalšímu šíření nákazy s tím, že opatření musí být přiměřená, zavedená na omezenou dobu a zaměstnanci musí být předem informováni.

Povinnost zaměstnanců/návštěv pracovišť podrobit se měření teploty není zatím v žádném českém předpisu stanovena. Osoba, která měření provádí by měla být o správném provedení měření poučena. V současné chvíli nedoporučujeme pořizovat záznamy naměřených teplot. Případné výstupy by měly zaznamenávat pouze rozhodnutí, zda umožnit práci/vstup na pracoviště nebo ne. Pokud ovšem nejste poskytovatel sociálních služeb, pro kterého MPSV vydalo doporučený postup, který způsob a evidenci měření teplot upravuje.

Tato problematika není napříč Evropskou unií řešena jednotně. Ve Francii mají zaměstnavatelé zakázáno shromažďovat zdravotní údaje zaměstnanců či návštěv. V Německu se měření teploty provádí na základě souhlasu zaměstnance. V Itálii mají zaměstnavatelé uloženo sledovat zdravotní stav zaměstnanců po dobu trvání mimořádného stavu, přičemž informace nesmí být sdíleny s třetími stranami vyjma případů stanovených zákonem.

Zákoník práce zaměstnavateli ukládá informovat své zaměstnance o možných rizicích. Takovým rizikem je i skutečnost, že se na pracovišti vyskytuje nebo vyskytovala nakažená osoba. Udaje o této osobě je potřeba poskytnout v minimálním rozsahu, nezbytném k ochraně zdraví ostatních zaměstnanců. Jak uvádí Úřad pro ochranu osobních údajů , nesmí být  dotčena důstojnost a integrita této osoby. Rozhodně by tedy zaměstnavatel neměl zaměstnancům sdělovat jména nakažených osob či osob v karanténě.

Nakazit se může i přes všechna opatření kdokoliv z nás. Nechceme přece být lynčováni a zveřejňováni s nálepkou „koroňák“! Nečiňme to tedy ani jiným. Mysleme na to, že nemocní a lidé v karanténě mají stejné právo na soukromí jako my.

Starosti vyřešíme za vás. 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Dle vyjádření Evropské komise podniky údajně rozvíjejí kulturu dodržování předpisů v oblasti ochrany osobních údajů a občané jsou si čím dál více vědomi svých práv. Většina členských států zavedla podpůrný právní rámec pro ochranu osobních údajů. V České republice jím je zákon č. 110/2019 Sb., o zpracování osobních údajů. Přehled zásadních změn a výjimek jsme přehledně shrnuli na našich webových stránkách . Mohlo by se zdát, že vše funguje…

Nicméně protože opakování je matka moudrosti a názory ÚOOÚ se vyvíjí (ostatně i naše), podíváme se na GDPR z pohledu zaměstnavatele, protože personální agenda představuje v mnoha organizacích nejrozsáhlejší oblast zpracování osobních údajů.

Nač si tedy má dát zaměstnavatel pozor, aby ho z GDPR nebolela hlava?

Pro účel zpracování osobních údajů v rámci personální agendy není žádoucí vyžadovat po zaměstnanci podepsání souhlasu.

Projděte si vzory pracovních smluv, dotazníky/formuláře, zda v nich není souhlas se zpracováním osobních údajů zapracován nebo zda nějaký souhlas se zpracováním osobních údajů po zaměstnancích nepožadujete.

Provádíte-li zpracování osobních údajů, protože vám to ukládá zákon, smluvní vztah nebo se jedná o váš oprávněný zájem (pozor aby jste byli v souladu s oprávněným zájmem zaměstnance), souhlas nepotřebujete. Naproti tomu zasíláte-li zaměstnancům elektronickou výplatní pásku na soukromý e-mail, evidujete soukromá telefonní čísla pracovníků pro urychlené obsazení směny nebo používáte fotografie zaměstnanců pro marketingové účely či jsou obsaženy ve firemním adresáři nebo vnitropodnikové aplikaci, potom se bez souhlasu neobejdete.

Jaké náležitosti by měl souhlas obsahovat, se dovíte zde . Nebo můžete mrknout na náš souhlas se zpracováním osobních údajů za účelem zasílání obchodních sdělení .

Jedno z nejčastěji vytýkaných porušení GDPR je nedostatečné informování zaměstnanců o tom, jak jsou jejich osobní údaje zpracovávány.

Zaměstnancům musí být prokazatelným způsobem předány informace o správci jejich osobních údajů, účelu zpracování, právním základu pro zpracování, komu jsou osobní údaje předávány a v jakém rozsahu, o době, po kterou budou osobní údaje zpracovávány. V neposlední řadě je potřeba zmínit i práva, která subjekt údajů/zaměstnanec v oblasti ochrany osobních údajů má. O těch jsme psali zde .

Mimochodem dle GDPR musíte vhodným způsobem informovat všechny subjekty údajů, jejichž osobní údaje zpracováváte tedy rovněž: zákazníky, obchodní partnery, návštěvníky vašich webových stránek, účastníky marketingových kampaní atd. Rozsah informací je stanoven článkem 13 GDPR .

Monitorujete-li služební vozidla pomocí GPS, a to v rozsahu potřebném pro ochranu a správu majetku, pak je to oprávněný zájem zaměstnavatele.

Pokud umožňujete zaměstnanci využívat vozidlo i pro soukromé účely, je potřeba vzájemná práva a povinnosti upravit dohodou o použití vozidla. Je nezbytné zaměstnance na použití GPS sledování upozornit, a to prokazatelným způsobem. Zaměstnavatel je i nadále oprávněn zpracovávat osobní údaje pro stanovený účel jímž je ochrana a správa majetku, evidence jízd, prokázání bezpečnostních přestávek atd., ale nesmí docházet k intenzivní či stálé kontrole zaměstnanců, která by narušovala jejich soukromí.

Jako u všech zpracování i zde platí, že data lze zpracovávat pouze po dobu odpovídající účelu, a to i přesto, že spousta provozovatelů systémů tuto povinnost nereflektuje. Údaje o soukromých jízdách je nezbytné považovat za důvěrné a ideálně nepřístupné. Nezapomínejme, že odpovědnost za zpracování má vždy správce osobních údajů.

Dle zákoníku práce zaměstnanci nesmí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování tohoto zákazu je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat – například sledovat množství a velikost odeslané a přijaté pošty zaměstnancem nebo domény navštívených internetových stránek. Sledování nesmí být systematické a založené na ruční kontrole údajů a dat.

V případě zavedení sledovacích nástrojů je však zaměstnavatel povinen o tom zaměstnance informovat.

Zaměstnavatel je oprávněn vyžadovat od uchazeče o zaměstnání informace o trestněprávní bezúhonnosti, jestliže to ukládá právní předpis pro výkon určité pracovní pozice (policisté, hasiči, zdravotní sestry, učitelé, advokáti atd.) či je pro to dán dle zákoníku práce věcný důvod spočívající v povaze práce, jež má být vykonávána a je-li tento požadavek přiměřený.

Plošné vyžadování doložení bezúhonnosti u všech typů prací není v souladu s GDPR ani s pracovněprávními předpisy.

Co se uchovávání Rejstříku trestů týče, dle názoru ÚOOÚ je možné po účelem zpracování odůvodněnou dobu výpis či na základě výpisu učiněné poznámky uchovávat. Avšak my dodáváme, že již jeden den po vystavení výpisu je tento dokument zastaralý a údaje v něm uvedené nemusí odpovídat aktuálnímu stavu. Tudíž je na zvážení, zda existuje relevantní důvod pro jeho uchovávání.

V České republice jsou stále více využívány technologie založené na identifikaci osoby prostřednictvím biometrického údaje (obvykle otisku prstu). GDPR však biometrické údaje považuje za zvláštní kategorii osobních údajů, čili citlivý údaj, kde jsou nastavena přísnější pravidla pro zpracování.

Je-li účelem zpracování kontrola vstupu, přítomnosti a přístupů zaměstnanců s ohledem na zabezpečení provozu proti přístupu neoprávněné osoby, jedná se o oprávněný zájem zaměstnavatele a není potřeba vyžadovat po zaměstnancích souhlas.

To ovšem není případ evidence docházky s využitím této technologie. Tam už bude potřeba souhlas získat, a protože  ten musí být dán dobrovolně, měl by zaměstnavatel zajistit i jiný způsob evidence docházky, kde k použití biometrického údaje nedochází.

Poskytování benefitů zaměstnavatelem často souvisí s předáním osobních údajů zaměstnance třetí straně, tedy jinému příjemci, jež benefit zajišťuje. Ale ani toho se není potřeba bát, neboť zpracování osobních údajů pro tento účel vychází z dohody o poskytnutí benefitu.

Právním účelem je tedy plnění smlouvy, a to i v případě, že se k poskytnutí benefitu zaměstnavatel zavázal v kolektivní smlouvě nebo právo na benefit stanovil vnitřním předpisem.

Opět ale nesmíme zapomínat na výše uvedený čl. 13 GDPR a zaměstnance informovat o předání osobních údajů poskytovateli benefitu a též i o rozsahu předaných údajů.

Je potřeba nezapomínat na práva subjektů údajů. Jedním z nich je i přístup k informacím, a to i v případě bývalých zaměstnanců. Vzhledem k tomu, že i po skončení pracovního poměru jsou osobní údaje dále zpracovávány, může se stát, že subjekt údajů svého práva využije, a to třeba i včetně práva na poskytnutí kopie zpracovávaných osobních údajů.

Doporučujeme po skončení pracovního poměru zaměstnance uchovávat v organizaci/informačních systémech jeho osobní údaje pouze v nezbytném rozsahu.

A když jsme u přístupu k osobním údajům, je potřeba zajistit i jejich zabezpečení. Neponechávat fyzickou dokumentaci volně přístupnou, stejně tak i elektronickou databázi, a mít přehled o oprávněných osobách, jež mohou osobní údaje zpracovávat. Zpracováním je myšleno vše, co lze s osobními údaji dělat, tedy i nahlížet, kopírovat, likvidovat, předávat atd. U předávání osobních údajů dejme pozor, v jakém rozsahu a komu osobní údaje předáváme. Například údaj o členství v odborové organizaci patří mezi zvláštní kategorie osobních údajů/citlivé, a jeho zpracování podléhá přísnějším pravidlům.

Poslední myšlenka, kterou je vhodné zmínit, je povinnost realizace pravidelných školení ochrany osobních údajů pro všechny zaměstnance, kteří s osobními údaji přichází do styku.

O tom, že byli pracovníci proškoleni, je potřeba mít vyhotoven záznam.

Společnost Q – COM se dlouhodobě zabývá systémy řízení.
Ochrana osobních údajů do celého schématu zapadá, jelikož se jedná pouze o jiný pohled na problematiku bezpečnosti. Našim klientům zdůrazňujeme, že GDPR není primárně otázkou investic do technologií či záležitost IT oddělení. Klíčové je především vhodné nastavení procesů, nezbytné používání zdravého selského rozumu a nejdůležitější  pravidelné vzdělávání pracovníků.

Rozsah naší podpory závisí na konkrétních požadavcích zákazníka. Jsme schopni realizovat dílčí projekty v minimalistickém rozsahu i komplexní zavedení nejmodernějších postupů vedoucích k zajištění velmi vysoké úrovně ochrany osobních údajů, ale i informací a dalších aktiv zákazníka.

V případě porušení zabezpečení osobních údajů je správce povinen bez zbytečného odkladu tuto skutečnost ohlásit Úřadu, a to do 72 hodin od okamžiku zjištění. Pokud není lhůta dodržena, musí být současně s ohlášením uveden důvod zpoždění. Ohlášení je možno zaslat do datové schránky qkbaa2n nebo na adresu elektronické pošty posta@uoou.cz či fyzicky poštou na adresu Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00  Praha 7.

Zpracovatel je povinen zaslat ohlášení správci na dohodnuté kontaktní údaje správce.

Úřad pro ochranu osobních údajů zveřejnil formulář, který je možno pro ohlášení porušení zabezpečení osobních údajů použít. Ke stažení zde .

Obecné nařízení o ochraně osobních údajů upravuje oblast vydávání osvědčení o ochraně osobních údajů. V rámci českého překladu byla použita poněkud odlišná terminologie. Osvědčením se myslí certifikát o ochraně osobních údajů, tedy dokument vydaný certifikačním orgánem, kterým subjekt (správce, zpracovatel, výrobce atd.) prokazuje zajištění souladu s požadavky obecného nařízení.

Nebude povinností žádat o vydání certifikátu, ale jeho existence může zjednodušit předávání osobních údajů do zahraničí, kdy se dovozce údajů (zpracovávající osobní údaje v zemi s nedostatečnou úrovní ochrany osobních údajů) prokáže platným osvědčením. Rovněž je možno očekávat usnadnění  nákupu produktů nebo služeb, pokud se prodejce/výrobce/poskytovatel prokáže osvědčením, které dokládá, že produkt nebo služba je v souladu s Obecným nařízením.

Subjekty pro vydávání osvědčení bude akreditovat Český institut pro akreditaci, o.p.s., vnitrostátní akreditační orgán České republiky, postupem upraveným v zákoně č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění pozdějších předpisů. Tato povinnost mu byla uložena §15 zákona č.110/2019 Sb., o zpracování osobních údajů.

Úřad pro ochranu osobních údajů připravil požadavky pro vydávání osvědčení (zahrnují požadavky na akreditaci orgánů vydávajících osvědčení a kritéria pro vydávání osvědčení), nyní se čeká na posouzení ze strany Evropského sboru pro ochranu osobních údajů. 

V současné době tedy nelze žádat o akreditaci, tudíž ani o vydání osvědčení (certifikátu) k produktu, službě nebo zpracování.