Zpracování osobních údajů a jejich ochrana v době pandemie koronaviru
V současné mimořádné situaci vyvstávají otázky týkající se zpracování osobních údajů o zdravotním stavu potenciálních šiřitelů nákazy, včetně lokalizace a trasování jejich pohybu pro dohledání dalších osob, které s nimi byly ve styku. A může zaměstnavatel zjišťovat údaje o zdravotním stavu zaměstnanců např. při nástupu do práce?
Úřad se vyjadřuje k rozsahu, ve kterém mohou orgány ochrany veřejného zdraví shromažďovat, analyzovat a uchovávat údaje o nakažených osobách.
Věnuje se i tématu tzv. trasování, kdy je za pomoci telefonních operátorů monitorován pohyb osob.
Mohou orgány ochrany veřejného zdraví vyžadovat a pracovat s údaji o pohybu těchto osob, např. vyplývajících z lokalizačních údajů mobilního telefonu či dotazem u telekomunikačních operátorů? Na základě čeho mohou operátoři trasovat pohyb nakažených osob?
V současné době platí nouzový stav, který byl vyhlášen usnesením vlády. Jedná se o období, kdy je možné na nezbytně nutnou dobu a v nezbytně nutném rozsahu omezit některá práva a svobody. Tzv. trasování je umožněno usnesením vlády č. 250 ze dne 18. 3. 2020 k zajištění zvýšené ochrany obyvatel.
Usnesení vlády č. 250 k zajištění zvýšené ochrany obyvatel - trasování:
- Vláda schvaluje nastavení pravidel a vytvoření právního rámce pro orientační trasování polohy osob, u kterých byla prokazatelně potvrzena nákaza covid-19, ve sledovaném období a na základě jejich informovaného souhlasu.
- Vláda ukládá vydat mimořádná opatření podle § 80 odst. 1 písm. g) ve spojení s § 69 odst. 1 písm. i) zákona č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, do 18. 3. 2020.
- Vláda ukládá ministru zdravotnictví realizovat postup podle bodu III, varianty 1 obsažené v předkládací zprávě materiálu čj. 230/20.
- Vláda ukládá ministru zdravotnictví uzavřít smlouvu podle varianty uvedené v bodě II/1 tohoto usnesení v termínu do 19. 3. 2020.
Pokud je to nezbytné ke zjištění ohniska nákazy, mohou orgány ochrany veřejného zdraví požadovat u telekomunikačních operátorů údaje o pohybu osob vyplývající z lokalizačních údajů zjištěných z mobilního telefonu. Dotčené osoby však musí být o takovém opatření informovány.
Zároveň musí být respektovány obecné zásady shromažďování osobních údajů včetně přiměřenosti těchto opatření a omezení doby trvání takového opatření na nezbytnou dobu.
V jakém rozsahu mohou orgány ochrany veřejného zdraví za současného stavu nouze shromažďovat, analyzovat a uchovávat citlivé údaje o prokazatelně nebo pravděpodobně nakažených či nemocných osobách?
Pravidla stanovená obecným nařízením o ochraně osobních údajů (GDPR) na takovouto mimořádnou situaci pamatují v článku 9 odst. 2 písm. i), podle kterého lze zpracovávat údaje o zdravotním stavu osob, jestliže je to nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví a ochrany před vážnými přeshraničními zdravotními hrozbami.
Konkrétní situace zahrnující zpracování osobních údajů, jejich rozsah a dobu ukládání upravuje zákon o ochraně veřejného zdraví.
Příslušné orgány ochrany veřejného zdraví jsou oprávněny provádět epidemiologická šetření zaměřená zejména na ověření diagnózy a zjištění ohniska nákazy.
Osoby jsou povinny sdělit příslušnému orgánu na jeho výzvu okolnosti důležité v zájmu podobných šetření.
Může zaměstnavatel v současné situaci zjišťovat údaje o zdravotním stavu zaměstnanců např. při nástupu do práce?
Zákoník práce obecně ukládá zaměstnavateli povinnost vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímáním opatření k předcházení rizikům.
V konkrétních situacích je zaměstnavatel povinen postupovat tak, aby předcházel rizikům, odstraňoval je nebo minimalizoval, mluví se o tzv. prevenční povinnosti. Zaměstnavatel je tedy v situaci ohrožení povinen přijmout potřebná ochranná opatření odpovídající daným okolnostem.
Je přirozeně vhodné postupovat v součinnosti s orgány ochrany veřejného zdraví, kterým je také zaměstnavatel v některých situacích povinen ohlásit skutečnosti stanovené právní úpravou.
Zaměstnavatelé musí také v rámci preventivní povinnosti informovat o rizicích vhodným způsobem ostatní zaměstnance. Takové riziko může spočívat v tom, že na pracovišti se vyskytuje nebo vyskytovala nakažená osoba. Tehdy zaměstnavatel postupuje tak, že učiní veškerá nezbytná opatření.
Skutečnosti o konkrétní osobě sděluje zaměstnavatel pouze v rozsahu nezbytném k ochraně zdraví, vždy tak aby nebyla dotčena důstojnost a integrita této osoby.
Článek Úřad pro ochranu osobních údajů ze dne 21. března 2020 - sobota
Další články od Úřad pro ochranu osobních údajů
Při povinném testování se zaměstnavatel dostává do role správce osobních údajů
Pokuty za spam do soukromých datových schránek
Měření teploty zaměstnanců z pohledu ochrany osobních údajů
Stanovisko Evropského sboru pro ochranu osobních údajů
Zpracování osobních údajů a jejich ochrana v době pandemie koronaviru
Jak na zpracování osobních údajů získaných prostřednictvím kamer a videozařízení
Pokyny Evropského sboru ke kamerovým systémům
Nevyžádaný telemarketing - prevence a obrana
Reakce ÚOOÚ na podnět dTestu ke shromažďování dat o poloze uživatelů
Jak odstranit osobní údaje získané z veřejných rejstříků ze soukromých databází na internetu
Pokuta 1,5 milionu korun za nedostatečné zabezpečení osobních dat
Přímý elektronický marketing v éře GDPR
Cookies a jejich košer použití v éře GDPR
Priority ÚOOÚ v legislativním procesu návrhu zákona o zpracování osobních údajů
Pokuta 3,6 mil. Kč pro T-Mobile za nedostatečnou ochranu zákaznických dat
