logo Úřad pro ochranu osobních údajů

Při povinném testování se zaměstnavatel dostává do role správce osobních údajů

Zaměstnavatelé při plnění uložené povinnosti zajišťovat testování zaměstnanců na přítomnost nákazy COVID-19 zpracovávají osobní údaje ke splnění právní povinnosti, která se na ně vztahuje dle obecného nařízení. Záznamy o provedení testů u jednotlivých zaměstnanců lze využívat pouze v přímé souvislosti s plněním povinností uložených mimořádným opatřením.

Pokud dochází ke shromažďování osobních údajů přímo ze strany zaměstnavatele, dostává se ve smyslu obecného nařízení (GDPR) do role správce osobních údajů. Z důvodu veřejného zájmu v oblasti veřejného zdraví dle obecného nařízení je při testování zaměstnanců zpracovávána také zvláštní kategorie osobních údajů vypovídajících o zdravotním stavu.

Vlastní záznamy o provedení testů u zaměstnanců mohou obsahovat pouze základní identifikační údaje zaměstnance - jméno, příjmení, číslo pojištěnce, údaje o zdravotní pojišťovně zaměstnance, údaje o přesném čase provedení testu a výsledek testu na nákazu COVID-19.

Stejné omezení rozsahu pouze na nezbytné osobní údaje platí i pro případné dokumenty prokazující výjimku z povinného testování daného zaměstnance - identifikační údaje zaměstnance, důvod výjimky z testování.

Doba uchování evidence provedených testů zaměstnanců nebyla v tomto opatření stanovena. Lze dovodit, že zaměstnavatelé mají povinnost vést evidenci provedených testů zaměstnanců nejméně do zrušení mimořádného opatření k provádění povinného testování zaměstnanců a k nezbytné kontrole zpracování plateb a nároků, které mohou v důsledku testování vzniknout.

Zaměstnavatelé musejí zároveň zajistit, aby osobní údaje byly zpracovávány s co nejvyšší ochranou soukromí, tedy aby standardně nebyly zpřístupněny neomezenému počtu osob. Samotná evidence provedených testů zaměstnanců musí být náležitě zabezpečena a přístup k ní by měly mít pouze osoby pověřené plněním úkolů k dodržování mimořádného opatření.

Každý ze zaměstnavatelů musí přihlédnout ke svým organizačním a technickým dispozicím, aby evidenci provedených testů řádně zabezpečil před možnou ztrátou nebo zpřístupněním neoprávněným osobám - např. řízení přístupu do vyčleněných prostor, řízení přístupu k datům, určení osob zpracovávajících osobní údaje, poučení osob zpracovávající osobní údaje o práci s daty.

Upozornit je třeba i na povinnost poskytnout zaměstnancům, v rámci informace o druhu a povaze testů a o zvoleném způsobu testování, také konkrétní informace o zpracování osobních údajů za účelem testování, mimo jiné o právním základu tohoto zpracování, případném předání údajů orgánům ochrany veřejného zdraví jako příjemcům a době uložení údajů.

Záznamy o zpracování osobních údajů zaměstnanců za účelem testování jsou vedeny jako součásti záznamů o činnostech zpracování podle článku 30 obecného nařízení.

Aktuální povinnosti testovat zaměstnance na přítomnost nákazy COVID-19 je zaměstnavatelům nařízena novým mimořádným opatřením Ministerstva zdravotnictví (MZDR 47828/2020-16/MIN/KAN).

V závislosti na dalším vývoji situace při uplatňování opatření a získaných praktických poznatcích bude Úřad své vyjádření dále upřesňovat a doplňovat.

Další články k tématům - covid-19 - GDPR - osobní údaje - testování - zaměstnanci

Článek Úřad pro ochranu osobních údajů ze dne pondělí 8. března 2021

Další články od Úřad pro ochranu osobních údajů

Seznamy majitelů datových schránek budou odstraněny ze systému otevřených dat

Pozor na phishing po telefonu jménem ÚOOÚ

Porušení nařízení GDPR po hackerském útoku

Mapování využití cloudových služeb ve veřejném sektoru

Jak se bránit nevyžádanému telemarketingu

Změna právní úpravy pro cookies

Výklad nových pravidel pro marketingové hovory

Při povinném testování se zaměstnavatel dostává do role správce osobních údajů

Pokuty za spam do soukromých datových schránek

Měření teploty zaměstnanců z pohledu ochrany osobních údajů

Stanovisko Evropského sboru pro ochranu osobních údajů

Zpracování osobních údajů a jejich ochrana v době pandemie koronaviru

Jak na zpracování osobních údajů získaných prostřednictvím kamer a videozařízení

Pokyny Evropského sboru ke kamerovým systémům

Nevyžádaný telemarketing - prevence a obrana

Reakce ÚOOÚ na podnět dTestu ke shromažďování dat o poloze uživatelů

Jak odstranit osobní údaje získané z veřejných rejstříků ze soukromých databází na internetu

Pokuta 1,5 milionu korun za nedostatečné zabezpečení osobních dat

Přímý elektronický marketing v éře GDPR

Cookies a jejich košer použití v éře GDPR

Priority ÚOOÚ v legislativním procesu návrhu zákona o zpracování osobních údajů

Pokuta 3,6 mil. Kč pro T-Mobile za nedostatečnou ochranu zákaznických dat

ÚOOÚ jmenoval nové inspektory

Den ochrany osobních údajů

Zákaznické karty: veřejná diskuse na webu ÚOOÚ

Jarní konference evropských komisařů ochrany dat a soukromí

Den ochrany osobních údajů

Moje soukromí, nekoukat, nešťourat

Lhůta uchování čísla mobilu při nákupu SMS jízdenky se zkracuje z 10 let na 3 měsíce

ÚOOÚ připomenul Den ochrany osobních údajů

ÚOOÚ připomenul Den lidských práv

Kamerový systém v boji proti zakázané pouliční prostituci v Chomutově

Úřad pro ochranu osobních údajů varuje

Výroční zpráva za rok 2007

Výroční zpráva za rok 2007

Evropská cena pro Úřad pro ochranu osobních údajů

Vyjádření ÚOOÚ k instalaci kamerového systému v prostorách nemocnice v Jihlavě