Preukazovanie sa negatívnym testom na COVID-19 pri vstupe do objektu prevádzkovateľa z pohľadu GDPR – *aktualizované 02.11.2020

V  Slovenskej republike dňa 24. októbra 2020 vstúpilo do platnosti Uznesenie vlády SR č. 678 z 22. októbra 2020, ktorým bol zavedený zákaz vychádzania, platný do 1. novembra 2020. Obmedzenie pohybu sa novým Uznesením vlády SR č. 693 zo dňa 28. októbra 2020 predlžuje až do 8. novembra 2020. Zákaz vychádzania sa však nevzťahuje na určité výnimky. Medzi tieto výnimky do 1. novembra patrí aj cesta do a zo zamestnania a cestu na výkon podnikateľskej činnosti alebo inej obdobnej činnosti. Od 2. novembra 2020 táto výnimka neplatí, pričom sa na účely výkonu pracovnej alebo podnikateľskej činnosti zavádza výnimka pre osobu, ktorá sa preukáže potvrdením o negatívnom výsledku RT-PCR testu vykonaným od 29. októbra 2020 do 1. novembra 2020 alebo certifikátom vydaným Ministerstvom zdravotníctva SR s negatívnym výsledkom antigénového testu certifikovaného na území Európskej únie na ochorenie COVID-19 vykonaným od 29. októbra 2020 do 1. novembra 2020 subjektom podieľajúcim sa na celoplošnom testovaní „Spoločná zodpovednosť“.

To znamená, že od 2. novembra 2020 budú môcť svoj domov opustiť len osoby s negatívnym výsledkom testu na ochorenie COVID-19. To platí aj pre nástup do práce, ktorá sa vykonáva mimo domácnosť pracujúcej osoby.

Na základe toho sa zamestnávatelia (prevádzkovatelia osobných údajov) rozhodli, že pri vstupe osôb do objektu pracoviska budú od pondelka 2.11. 2020 od zamestnancov a iných osôb, ktoré vstupujú do ich priestorov požadovať, aby sa tieto osoby preukázali potvrdením o negatívnom výsledku testu na ochorenie COVID-19.

Je takéto preukazovanie sa primerané vzhľadom na ochranu osobných údajov?

Rozsah osobných údajov, ktorý osoby pri vstupe do objektu poskytujú formou nahliadnutia určenej osobe do príslušného dokladu sú meno, priezvisko, dátum narodenia (osobné údaje) a výsledok testu (osobitná kategória osobných údajov). Z pohľadu Nariadenia GDPR a zákona č. 18/2018 Z. z. o ochrane osobných údajov sa teda jedná o spracovávanie týchto osobných údajov. Zo strany zamestnávateľov by však nemalo dochádzať ku žiadnym ďalším operáciám s týmito osobnými údajmi, t.j. žiadne evidovanie, poskytovanie tretím osobám a pod. Definovanie právneho základu pre vykonávanie takýchto spracovateľských operácií by mohlo byť aktuálne sporné vzhľadom na odlišné názory štátnych inštitúcií, a to aj vzhľadom k situácii, kedy Úrad verejného zdravotníctva SR dňa 30.09.2020 vydal Vyhlášku, ktorou sa nariaďujú opatrenia pri ohrození verejného zdravia k režimu vstupu osôb do priestorov prevádzok a priestorov zamestnávateľa, dostupná tu: https://www.uvzsr.sk/docs/info/ut/vestnik_ciastka_12_2020.pdf  (ďalej len „Vyhláška“).

Vyhláška vydaná podľa § 59b zákona  č.  355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 355/2007 Z.  z.“) nariaďuje opatrenia pri ohrození verejného zdravia podľa § 48 ods. 4 písm. e), s), x) a z) zákona č. 355/2007 Z. z. Významným opatrením je nariadenie zákazu vstupu osobám do vonkajších a vnútorných priestorov zariadení, prevádzkovateľom zariadení. Obdobne je povinnosť zakázať vstup do priestorov uložená aj zamestnávateľom voči ich zamestnancom. Tento zákaz vstupu sa nevzťahuje na taxatívne vymenované výnimky, ktoré by mali osoby prevádzkovateľovi/zamestnávateľovi preukázať príslušným dokladom, do ktorého je prevádzkovateľ/zamestnávateľ oprávnený len nahliadnuť. To znamená, že prevádzkovateľ/zamestnávateľ bude postupovať legitímnym spôsobom ak vykoná len nahliadnutie do potvrdenia o výsledku testovania a podľa toho zamestnancovi alebo inej osobe vstup do svojho objektu umožní, resp. neumožní.

Podľa názoru autorov tohto článku však môže byť sporné, vzhľadom na znenie a formulácie použité vo Vyhláške, či je táto Vyhláška spôsobilá byť relevantným právnym základom pre spracúvanie osobných údajov dotknutých osôb podľa článku 6 ods. 1 písm. c) Nariadenia GDPR (t.j. plnenie zákonnej povinnosti prevádzkovateľa). Vyhláška totiž výslovne neukladá prevádzkovateľom/zamestnávateľom povinnosť požadovať príslušný doklad, ale upravuje len oprávnenie prevádzkovateľov/zamestnávateľov. To však nemá vplyv na samotnú legitimitu oprávnenia prevádzkovateľov a zamestnávateľov dožadovať sa poskytnutia dokladu. Môže to mať však vplyv na identifikáciu právneho základu pre spracúvanie týchto osobných údajov.

Autori článku zastávajú názor, že prevádzkovatelia/zamestnávatelia môžu využiť iný právny základ pre spracúvanie týchto osobných údajov.

Po celoplošnom testovaní sa každá fyzická osoba s pozitívnym testom alebo osoba, ktorá sa odmietla testovať musí nachádzať v povinnej karanténe a vzťahuje sa na ňu zákaz vychádzania (okrem ostatných výnimiek).

Vychádzajúc zo znenia Vyhlášky možno vyvodiť záver, že ak sa zamestnanec nepreukáže dokladom preukazujúcim výnimku zo zákazu vstupu do priestorov, má sa za to, že táto osoba nespĺňa požiadavky bezpečnosti a ochrany zdravia pri práci podľa § 5 zákona č. 124/2006 Z. z. o bezpečnosti a ochrane zdravia pri práci a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

Aký právny základ spracúvania osobných údajov sa v takomto prípade využije?

Prevádzkovatelia by sa tak dokázali oprieť o právny základ v zmysle článku 6 ods. 1 písm. d) Nariadenia GDPR, podľa ktorého spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby. Keďže podľa recitálu 46 Nariadenia GDPR, spracúvanie osobných údajov by sa malo rovnako považovať za zákonné, ak je potrebné na účely ochrany záujmu, ktorý je zásadný pre život dotknutej alebo inej fyzickej osoby. Spracúvanie osobných údajov na základe životne dôležitých záujmov inej fyzickej osoby by sa malo uskutočniť v zásade len vtedy, keď sa takéto spracúvanie zjavne nemôže zakladať na inom právnom základe. Niektoré typy spracúvania môžu slúžiť na dôležité účely verejného záujmu aj životne dôležité záujmy dotknutej osoby, napríklad ak je spracúvanie nevyhnutné na humanitárne účely vrátane monitorovania epidémií a ich šírenia alebo v humanitárnych núdzových situáciách, najmä v prípade prírodných katastrof a katastrof spôsobených ľudskou činnosťou.

Nakoľko výsledok testu spolu s identifikačnými údajmi osoby, akými sú meno priezvisko a dátum narodenia, je osobitnou kategóriou osobných údajov, je potrebné aplikovať  výnimku zo zákazu spracúvania, pričom dôvodná je v tomto prípade výnimka v zmysle článku 9 písm. i) Nariadenia GDPR , kedy je spracúvanie nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie alebo práva členského štátu, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, najmä profesijné tajomstvo. Aplikácia príslušnej výnimky je odôvodnená aj s poukazom na články 52. až 54. recitálu Nariadenia GDPR.

Aby sa mohla uvedená výnimka uplatniť je potrebné splniť podmienku nevyhnutnosti z dôvodov ochrany verejného zdravia, vrátane ochrany proti závažným cezhraničným ohrozeniam zdravia, ktorú možno vyvodiť napr. zo siedmej časti zákona č. 355/2007 Z. z. V danom prípade je splnená aj podmienka cezhraničnosti ohrozenia zdravia, ktoré možno chápať ako ohrozenie globálneho charakteru, kde je v dôsledku jedného vplyvu ohrozené zdravie ľudí minimálne v dvoch členských štátoch. Vychádzame pritom tiež z vyhlásenia Svetovej zdravotníckej organizácie (WHO) z 11. marca 2020 šírenia ochorenia COVID-19 za celosvetovú pandémiu. Z týchto záverov vychádzajú následne aj európske orgány a inštitúcie, presadzujúc snahu viesť členské štáty ku koordinovanému postupu.

Súčasne sa vyžaduje, aby v práve Únie alebo práve Slovenskej republiky boli stanovené vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, za čo možno považovať aj právnu úpravu v oblasti ochrany osobných údajov podľa Nariadenia GDPR a zákona č. 18/2018 Z.z. o ochrane osobných údajov, konkrétne poukazujeme na ust. § 79 tohto zákona, ktorý upravuje povinnosť mlčanlivosti o osobných údajoch (pozn. predmetné ustanovenie zákona sa na vzťahy aplikuje v súlade s ust. § 3 zákona č. 18/2018 Z.z.). Podotýkame, že sa môže jednať aj o iné osobitné právne predpisy, ktoré pre daný prípad stanovia povinnosť mlčanlivosti o získaných osobných údajoch a pod.

Pre úplnosť, k podmienke nevyhnutnosti tohto spracúvania, poukazujeme na povinnosť fyzických osôb-podnikateľov a právnických osôb podľa § 52 ods. 1 písm. a) zákona č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov, plniť opatrenia na predchádzanie ochoreniam podľa § 12 ods. 2 písm. a) až c), e) a g) až n) tohto zákona,  pričom podľa § 12 ods. 2 písm. h) je jedným z týchto opatrení aj zákaz alebo obmedzenie výkonu povolania u osôb chorých na prenosné ochorenie alebo podozrivých z takého ochorenia.

Pre podporu vyššie prezentovaného názoru si dovoľujeme poukázať aj na Vyhlásenie Európskeho výboru pre ochranu údajov (EDPB) o spracovaní osobných údajov v súvislosti so šírením ochorenia COVID-19, prijaté 19. marca 2020, ktoré je v anglickom jazyku dostupné tu: https://edpb.europa.eu/news/news/2020/statement-processing-personal-data-context-covid-19-outbreak_sk.

EDPB vyjadril základnú myšlienku, že pravidlá ochrany údajov (napríklad Nariadenie GDPR) nebránia opatreniam prijatým v boji proti pandémii koronavírusu a núdzová situácia je zákonnou podmienkou, ktorá môže legitimizovať obmedzenia slobôd za predpokladu, že tieto obmedzenia sú primerané a obmedzené na mimoriadne obdobie. EDPB samozrejme kladie dôraz na zabezpečenie zákonnosti spracúvania osobných údajov a zabezpečenie ich ochrany.

EDPB sa výslovne vyjadruje ku spracúvaniu osobných údajov, ktoré je spojené s pandémiou COVID-19 v podmienkach zamestnávateľov, pričom vyslovil myšlienku, že v kontexte zamestnania môže byť spracúvanie osobných údajov nevyhnutné pre to, aby zamestnávatelia plnili svoje právne povinnosti pri zaistení bezpečnosti a ochrany zdravia na pracovisku alebo vo verejnom záujme, napríklad pri kontrole chorôb a iných zdravotných rizík. EDPB uvádza, že Nariadenie GDPR predpokladá výnimky zo zákazu spracovania osobitných kategórií osobných údajov, ako sú napríklad údaje o zdravotnom stave, ak sú potrebné z dôvodu významného verejného záujmu v oblasti verejného zdravia (odkazuje pritom na článok 9. ods. 2. písm. i) Nariadenia GDPR), pretože bod 46. recitálu Nariadenia GDPR výslovne odkazuje na kontrolu epidémie.

Na základe uvedeného možno dospieť k záveru, že žiadosť zamestnávateľa o preukázanie sa zamestnanca negatívnym testom je len prostriedok na plnenie jeho zákonnej povinnosti, ktorá mu vyplýva zo zákona 355/2007 Z. z., pričom osobné údaje, ktoré takto získa musí využiť výlučne len na naplnenie tohto účelu. Po splnení účelu osobné údaje nesmie ďalej spracúvať.

Súčasne je však veľmi dôležité, aby zamestnávateľ prijal všetky potrebné technické a organizačné opatrenia na zabezpečenie ochrany takto získaných osobných údajov a pri ich spracúvaní postupoval v súlade s Nariadením GDPR a zákonom č. 18/2018 Z.z. v prípadoch kedy sa tento zákona aplikuje.

Aj EDPB vo svojom vyhlásení kladie dôraz na niekoľko základných zásad, ktoré je potrebné zohľadniť v súvislosti s vypuknutím pandémie COVID-19 a spracúvaním osobných údajov na zamedzenie jej šírenia. Osobné údaje potrebné na dosiahnutie týchto cieľov by sa mali spracovávať iba na konkrétne a výslovné účely a dotknutá osoba musí dostať transparentné informácie o činnostiach spracúvania a ich hlavných vlastnostiach. Tiež je obzvlášť dôležité uplatnenie zásady proporcionality a minimalizácie údajov, v zmysle ktorej by zamestnávatelia mali vyžadovať zdravotné informácie iba v rozsahu, v akom to umožňujú vnútroštátne právne predpisy (pozn. autora: tu je možné aplikovať vyššie uvedené zákony a Vyhlášku).

Na základe vyhlásenia EDPB kompetentné orgány viacerých členských štátov poskytli vlastné vyhlásenia, zohľadňujúc svoje vnútroštátne predpisy. Zaujímavý je napr. postup Írskej komisie pre ochranu údajov, ktorá na jednej strane zdôraznila povinnosti zamestnávateľov chrániť svojich zamestnancov a ich súkromie, avšak poznamenáva, že práve článok 9 ods. 2 písm. i) Nariadenia GDPR umožňuje zamestnávateľom spracúvať osobné údaje zamestnancov o ich zdravotnom stave, týkajúce sa ochorenia COVID-19, a to v spojení s vnútroštátnym právom uloženými povinnosťami zamestnávateľov zabezpečiť ochranu a bezpečnosť zdravia a dobré životné podmienky na pracovisku. Podobný prístup aplikujú aj ďalšie členské štáty a tak považujeme za dôvodné, aby tieto právne základy a výnimky, ktoré vyplývajú z Nariadenia GDPR v spojení s vnútroštátnymi právnymi normami SR, boli obdobne aplikované aj na Slovensku.

Je potrebné, aby osoba, ktorá sa preukazuje, udelila súhlas s preukazovaním sa?

Nakoľko právnym základom takéhoto úkonu – preukázania sa negatívnym výsledkom testu na COVID-19 je ochrana života a zdravia podľa čl. 6 ods. 1 písm. d) Nariadenia GDPR a nie súhlas so spracovaním osobných údajov podľa čl. 6 ods. 1 písm. a) Nariadenia GDPR, nie je potrebné získavať takýto súhlas od dotknutých osôb.

Aké by mali byť technické a organizačné opatrenia na ochranu osobných údajov?

1. Mala by byť splnená transparentnosť prostredníctvom informačnej povinnosti, kde budete dotknuté osoby podrobne informovať v zmysle čl. 13 Nariadenia GDPR o spôsobe akým narábate s osobnými údajmi.

2. Po kontrole certifikátu o bez infekčnosti oprávnenou osobou nesmie dochádzať k ďalšiemu spracovaniu osobných údajov a to ani automatizovaným či neautomatizovaným spracovaním.

3. Osobné údaje získané týmto spôsobom sa nesmú nijak uchovávať ani zaznamenávať.

4. V rámci systému riadenia ochrany osobných údajov musí mať prevádzkovateľ vypracovaný podrobný postup pri takomto spracúvaní osobných údajov.

5. Osoby, ktoré za prevádzkovateľa vykonávajú konkrétne úkony pri overovaní potvrdení o negatívnych výsledkoch testu dotknutej osoby, t.j. oprávnené osoby musia byť v rámci systému riadenia ochrany osobných údajov riadne poučené a takéto poučenie by malo byť zdokumentované.

6. Oprávnená osoba musí byť viazaná povinnosťou mlčanlivosti o získaných osobných údajoch.

7. Musí byť splnená zásada minimalizácie a to nie len v rozsahu spracovania ale aj v počte oprávnených osôb, to znamená, že takéto získavanie a overovanie údajov sa má vykonávať len voči osobám, ktorých vstup do objektu zamestnávateľa je nevyhnutný.

Na záver dávame do pozornosti vydané predbežné stanovisko Úradu na ochranu osobných údajov SR k preukazovaniu sa negatívnym výsledkom testu/ certifikátom z plošného testovania, dostupné tu: https://dataprotection.gov.sk/uoou/sk/content/predbezne-stanovisko-uradu-k-preukazovaniu-sa-negativnym-vysledkom-testu-certifikatom-z . S predmetným názorom Úradu sa úplne nestotožňujeme a zastávame názor prezentovaný vyššie. Názory Úradu priebežne sledujeme a konzultujeme.

Na základe uvedených skutočností sú partnerské poradenské spoločnosti Top privacy s.r.o. a advokátska kancelária Hronček & Partners, s. r. o. pripravené poskytnúť Vám detailnejšie poradenstvo a vypracovanie potrebných dokumentov, ktoré sú v zmysle príslušných právnych predpisov potrebné.

V prípade akýchkoľvek otázok k problematike sa na nás neváhajte obrátiť na kontaktnom emaile: info@topprivacy.sk/info@legalfirm.sk alebo sa s nami spojte telefonicky na +421 908 230 438/ +421 908 602 103.

Poznámka: Článok odráža názor autora. Tento názor sa môže zmeniť a nie je záväzný. Pri príprave článku autor vychádzal z informácií, ktoré považoval za dôveryhodné.*
*Článok má informatívny charakter a autor ani spoločnosť, ktorá článok zverejňuje nezodpovedá za správnosť, úplnosť a aktuálnosť názorov vyjadrených v článku. Autor aj spoločnosť, ktorá článok zverejňuje vylučujú svoju zodpovednosť za akúkoľvek ujmu alebo škodu vzniknutú akejkoľvek osobe z dôvodu spoľahnutia sa na informácie uvedené v článku a postup v zmysle tohto článku. Upozorňujeme, že štátne orgány a súdy, ktoré sú oprávnené aplikovať právne normy môžu zaujať vo veci odlišné stanovisko. Informácie v článku taktiež neodzrkadľujú situáciu žiadnej konkrétnej osoby.