logo Úřad pro ochranu osobních údajů

Při povinném testování se zaměstnavatel dostává do role správce osobních údajů

Zaměstnavatelé při plnění uložené povinnosti zajišťovat testování zaměstnanců na přítomnost nákazy COVID-19 zpracovávají osobní údaje ke splnění právní povinnosti, která se na ně vztahuje dle obecného nařízení. Záznamy o provedení testů u jednotlivých zaměstnanců lze využívat pouze v přímé souvislosti s plněním povinností uložených mimořádným opatřením.

Pokud dochází ke shromažďování osobních údajů přímo ze strany zaměstnavatele, dostává se ve smyslu obecného nařízení (GDPR) do role správce osobních údajů. Z důvodu veřejného zájmu v oblasti veřejného zdraví dle obecného nařízení je při testování zaměstnanců zpracovávána také zvláštní kategorie osobních údajů vypovídajících o zdravotním stavu.

Vlastní záznamy o provedení testů u zaměstnanců mohou obsahovat pouze základní identifikační údaje zaměstnance - jméno, příjmení, číslo pojištěnce, údaje o zdravotní pojišťovně zaměstnance, údaje o přesném čase provedení testu a výsledek testu na nákazu COVID-19.

Stejné omezení rozsahu pouze na nezbytné osobní údaje platí i pro případné dokumenty prokazující výjimku z povinného testování daného zaměstnance - identifikační údaje zaměstnance, důvod výjimky z testování.

Doba uchování evidence provedených testů zaměstnanců nebyla v tomto opatření stanovena. Lze dovodit, že zaměstnavatelé mají povinnost vést evidenci provedených testů zaměstnanců nejméně do zrušení mimořádného opatření k provádění povinného testování zaměstnanců a k nezbytné kontrole zpracování plateb a nároků, které mohou v důsledku testování vzniknout.

Zaměstnavatelé musejí zároveň zajistit, aby osobní údaje byly zpracovávány s co nejvyšší ochranou soukromí, tedy aby standardně nebyly zpřístupněny neomezenému počtu osob. Samotná evidence provedených testů zaměstnanců musí být náležitě zabezpečena a přístup k ní by měly mít pouze osoby pověřené plněním úkolů k dodržování mimořádného opatření.

Každý ze zaměstnavatelů musí přihlédnout ke svým organizačním a technickým dispozicím, aby evidenci provedených testů řádně zabezpečil před možnou ztrátou nebo zpřístupněním neoprávněným osobám - např. řízení přístupu do vyčleněných prostor, řízení přístupu k datům, určení osob zpracovávajících osobní údaje, poučení osob zpracovávající osobní údaje o práci s daty.

Upozornit je třeba i na povinnost poskytnout zaměstnancům, v rámci informace o druhu a povaze testů a o zvoleném způsobu testování, také konkrétní informace o zpracování osobních údajů za účelem testování, mimo jiné o právním základu tohoto zpracování, případném předání údajů orgánům ochrany veřejného zdraví jako příjemcům a době uložení údajů.

Záznamy o zpracování osobních údajů zaměstnanců za účelem testování jsou vedeny jako součásti záznamů o činnostech zpracování podle článku 30 obecného nařízení.

Aktuální povinnosti testovat zaměstnance na přítomnost nákazy COVID-19 je zaměstnavatelům nařízena novým mimořádným opatřením Ministerstva zdravotnictví (MZDR 47828/2020-16/MIN/KAN).

V závislosti na dalším vývoji situace při uplatňování opatření a získaných praktických poznatcích bude Úřad své vyjádření dále upřesňovat a doplňovat.

Další články k tématům - covid-19 - GDPR - osobní údaje - testování - zaměstnanci

Článek Úřad pro ochranu osobních údajů ze dne 8. března 2021 - pondělí

Další články od Úřad pro ochranu osobních údajů