Ako postupovať pri spracovaní osobných údajov počas štátom vyhláseného núdzového stavu

V súvislosti so šírením korona vírusu (COVID-19) sa v mnohých spoločnostiach zmenila situácia pri spracovaní osobných údajov. Mnohí zamestnávatelia prijímajú opatrenia, aby zamedzili šíreniu korona vírusu.  Je dôležité si ale uvedomiť, že pri zavádzaní takýchto opatrení je nesmierne dôležité, aby spracovanie osobných údajov bolo v súlade s právnou legislatívou a aby boli rovnako prijaté aj bezpečnostné opatrenia, ktoré budú spracované údaje dostatočne chrániť. V tomto článku vám prinesieme viaceré odpovede, ktoré vystali pri spracúvaní osobných údajov v súvislosti so šírením korona vírus.

Zamestnávateľ musí zabezpečiť svojim zamestnancom ochranu  zdravia pri práci

Aktuálne nastala situácia, kedy je potrebné vo väčšej miere chrániť zdravie svojich zamestnancov, nakoľko sú vo veľkej miere ohrození šíriacim sa korona vírusom COVID-19. Ochrana zamestnancov pri práci je neoddeliteľnou súčasťou pracovnoprávnych vzťahov. Takúto ochranu môže zamestnávateľ zabezpečiť prostredníctvom systému opatrení vyplývajúcich z právnych predpisov, organizačných opatrení, technických opatrení, zdravotníckych opatrení a sociálnych opatrení zameraných na utváranie pracovných podmienok zaisťujúcich bezpečnosť a ochranu zdravia pri práci, ktoré budú fungovať v momentálnej situácií proti šíreniu nákazy.

Veľa zamestnávateľov má takéto opatrenia popísané v dokumentácií BOZP, no často v nich nie sú obsiahnuté protiepidemické opatrenia, ktoré by zabezpečovali ochranu zamestnancov proti nakazeniu. Z tohto dôvodu je potrebné , aby každý zamestnávateľ prijal takéto opatrenia v súvislosti s aktuálnym stavom šíriacej sa epidémie.

Jedným z takýchto opatrení môže byť získavanie informácií od zamestnanca ako napríklad, či bol zamestnanec za poslednú dobu v zahraničí alebo bol v kontakte s nakazeným. Tieto osobné údaje môže zamestnávateľ zbierať o svojich zamestnancoch, prípade návštevách formou dotazníka, práve aby zabezpečil zdravé pracovné prostredie svojim zamestnancom.

Opatrenie –  merania teploty

Ďalším opatrením, ktoré aktuálne prijíma veľa spoločností je meranie teploty každej osobe, ktorá vstúpi do priestorov spoločnosti. Tu si však musíme uvedomiť, že ide o spracovanie osobitej kategórie osobných údajov (citlivé osobné údaje). Aby sa mohli takéto údaje spracovávať je potrebné aby sa určil riadne právny základ podľa čl. 6 ods. 1 nariadenia GDPR a aby sa takéto spracovanie obmedzilo len na potrebný účel. Čo to však znamená? To znamená, že zamestnávateľ si musí najskôr určiť jednu z podmienok uvedených v čl. 9 ods. 2 nariadenia GDPR a tou si obhájiť spracovanie osobitej kategórie osobných údajov. Úrad na ochranu osobných údajov, pokladá ako správnu podmienku spracovania takýchto údajov čl. 9 ods. ods. 2 písm. i) nariadenia GDPR čiže spracúvanie je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie alebo práva členského štátu. No na to, aby ste mohli použiť túto podmienku spracovania osobných údajov, je potrebné, aby takáto povinnosť bola stanovená v samostatnom právnom predpise. Takýmto právnym predpisom v čase, keď Slovenská republika vyhlásila stav núdze je zákon č. 42/1994 Z.z. zákon o civilnej ochrane obyvateľstva. Toto opatrenie sa však môže zamestnávateľ prijať iba po dobu, kým na Slovensku bude trvať stav núdze, potom už nebude existovať právny základ pre takéto spracovanie.

Ďalšou povinnosťou, ktorú toto opatrenie prináša (opatrenie merania teploty), je obmedzenie spracovania len na stanovený účel. Tu je dobré si uvedomiť, že teplotu meriame aby sme predišli šíreniu nákazy a zamedzili vstupu do priestorov možnému šíriteľovi nákazy. Preto by nemalo dochádzať k systematickému spracovaniu nameraných hodnôt telesnej teploty (nemali by sa uchovávať).  Tento údaj by mal naozaj slúžiť iba k umožneniu vstupu do objektu.

V rámci tohto opatrenia nesmieme zabúdať ani na informačnú povinnosť, ktorú je potrebné mať k dispozícií pre dotknutú osobu ešte pred tým ako od zamestnanca/prípadne návštevníka budeme požadovať aby si nechal namerať telesnú teplotu.

 Spracovanie údajov o zdravotnom stave zamestnancov

Zamestnávateľ, za bežných okolností by nemal zbierať údaje o zdravotnom stave svojich zamestnancov. Nakoľko bol vládou SR vyhlásený stav núdze, je možné takéto údaje spracovávať, ale nemalo by dochádzať k systematickému a plošnému spracovaniu osobných údajov. To znamená, že v prípade výskytu korona vírusu u niektorého zo zamestnancov môže zamestnávateľ tento údaj zaznamenať. Nesmie však takéto informácie zbierať plošne a zisťovať zdravotný stav (príznaky choroby) u zamestnancov.

Údaje o nakazenom zamestnancovi je potrebné aj patrične chrániť. V prípade, že sa zamestnávateľ dozvie o výskyte nákazy v jeho spoločnosti, mal by informovať patričné úrady. V žiadnom prípade by však nemal rozširovať takúto informáciu medzi ďalšími zamestnancami, ak by chcel upovedomiť zamestnancov o výskyte korona vírusu na pracovisku, môže tak urobiť len formou anonymizovanej informácie (nesmie sa udávať meno ani pracovná pozícia zamestnanca). Taktiež je potrebné takéto údaje o zamestnancovi neuchovávať po dobu dlhšiu ako je potrebné na splnenie účelu.

Opatrenie – home office (práca z domu)

Ďalším opatrením, ktoré firmy vo veľkom zavádzajú (pokiaľ je to možné) je práca z domu. Zamestnávateľ by mal zabezpečiť ochranu všetkých osobných údajov s ktorými sa bude narábať mimo sídla alebo prevádzky firmy. Takéto zabezpečenie dosiahne prijatím nasledujúcich pravidiel:

  • Zriadenie VPN pripojenia prostredníctvom, ktorého sa zabezpečí vzdialený prístup na server (čím sa zabezpečí dôvernosť a integrita osobných údajov).
  • Poučenie všetkých zamestnancov o spôsobe práce s osobnými údajmi v domácom prostredí.
  • Zvýšenie povedomia o možných kybernetických bezpečnostných incidentoch.
  • Všetky osobné údaje ktoré sú uložené priamo v počítači musia byť zašifrované.
  • Taktiež každé technické zariadenie v ktorom sú uložené osobné dáta musí byť zaheslované patrične silným heslom.
  • Prevádzkovateľ by všetky pravidlá o používaní technických prostriedkov popísať v smernici, ktorá by mala byť interne prijatá a postúpená na preštudovanie všetkým oprávneným osobám, ktoré budú pracovať z domu.

Napriek vzniknutej situácií si treba dávať pozor, aby spracovávanie osobných údajov bolo zákonné a v súlade s Nariadením GDPR a zákonom 18/2018 Z.z. o ochrane osobných údajov. Naďalej sme Vám k dispozícii. S akýmkoľvek dotazom, problémom, tlačivom sa na nás môžete kedykoľvek obrátiť.

Všetko dobré prajeme.

Tím Top privacy s.r.o.