26. 3. 2021 - Úřad pro ochranu osobních údajů rozšířil své doporučení z 5. března 2021 k aktuální povinnosti testovat zaměstnance na přítomnost viru SARS-CoV-2. Ta je zaměstnavatelům nařízena novými mimořádnými opatřeními Ministerstva zdravotnictví (MZDR 47828/2020-16/MIN/KAN, MZDR 9364/2021-1/MIN/KAN, MZDR 47828/ 2020-22/MIN/KAN, MZDR 47828/2020-26/MIN/KAN, MZDR 47828/2020-25/MIN/KAN). O přípravě doporučení byla ministerstva zdravotnictví a průmyslu a obchodu informována.
 
 
 
Zaměstnavatelé zpracovávají při plnění uložené povinnosti zajišťovat testování zaměstnanců na přítomnost viru SARS-CoV-2 osobní údaje ke splnění právní povinnosti, která se na ně vztahuje dle obecného nařízení pro ochranu osobních údajů (GDPR) (dále jen „obecné nařízení“) a v souladu s příslušnými právními předpisy (zákon č. 258/2000 Sb., o ochraně veřejného zdraví, a zákon č. 94/2021 Sb., o mimořádných opatřeních při epidemii onemocnění COVID-19) a opatřeními z nich vyplývajícími. 

Neopomenutelným principem zůstává, že zaměstnanec je i v průběhu testování slabší stranou pracovněprávního vztahu, nemá jinou možnost než dané opatření strpět, přičemž s ním při praktických opatřeních musí být v tomto ohledu zacházeno nanejvýš ohleduplným a šetrným způsobem, s respektem nejen k ochraně osobních údajů, ale celkově k jeho soukromí a lidské důstojnosti.

Je nutno připomenout, že povinnosti v souvislosti s ochranou osobních údajů nejsou zaměstnavatelům ukládány Úřadem pro ochranu osobních údajů (dále jen „Úřad“), nýbrž objektivně plynou ze zde citovaných právních předpisů. Povinnost vést evidenci, která obsahuje zvláštní kategorii osobních údajů, tj. údajů o výsledku testování na přítomnost viru SARS-CoV-2, je pro řadu zaměstnavatelů zcela novou oblastí zpracování osobních údajů, se kterou nemají předchozí zkušenosti. 

Pokud je po zaměstnavateli ze strany příslušných orgánů vyžadována evidence takového údaje, jeví se jako praktické v této souvislosti vycházet z následujících nezávazných doporučení některých konkrétních opatření a postupů, jež mohou zaměstnavatelům pomoci splnit povinnosti vyplývající z obecného nařízení. Stanovení konkrétního rozsahu evidovaných osobních údajů či doby jejich uchování přitom není v působnosti Úřadu pro ochranu osobních údajů. Každý ze zaměstnavatelů musí zpracování osobních údajů v evidenci testování přizpůsobit konkrétním podmínkám a rozsahu jeho činnosti, ale následující informace by měly významnou měrou usnadnit všem zaměstnavatelům povinnosti při vedení evidence provedených testů na přítomnost viru SARS-CoV-2, které jsou jim uloženy mimořádným opatřením.

Upraveny jsou v zásadě dva způsoby, jak testování provádět. Za zaměstnance jsou považovány i další osoby pracující na pracovištích zaměstnavatele (dočasně přidělení zaměstnanci agentury práce a další osoby, které vykonávají práce nebo obdobné činnosti spolu se zaměstnanci zaměstnavatele). 

Testování poskytovateli zdravotních služeb, kdy jsou testy prováděny a účtovány jako zdravotnické výkony. Zpracování osobních údajů je prováděno v rámci standardních postupů upravených zvláštními právními předpisy. V těchto případech je z hlediska zaměstnavatele nezbytné obdržet potvrzení o provedeném testu vystavené poskytovatelem zdravotních služeb. Zaměstnavatel a poskytovatel zdravotních služeb, který provádí testování na přítomnost viru SARS-CoV-2 zaměstnanců pro zaměstnavatele, jsou v postavení dvou samostatných správců. Poskytovatel zdravotních služeb, který provádí testování, zpracovává osobní údaje mimo možnou kontrolu zaměstnavatele; dochází při tom např. k předávání údajů do Informačního systému infekčních nemocí a vytváření zdravotnické dokumentace, která má, mimo dalšího, určený rozsah přístupu a dobu uchování. Ke smluvnímu ujednání mezi zaměstnavatelem a poskytovatelem zdravotních služeb dojít musí, aby byly předávány údaje nezbytné k plnění povinnosti stanovené zaměstnavatelům výše uvedeným mimořádným opatřením, nejde však o smlouvu o zpracování osobních údajů mezi správcem a zpracovatelem podle čl. 28 odst. 3 obecného nařízení.

Testování prováděné přímo zaměstnavatelem (samoodběr zaměstnanců pomocí testů poskytnutých zaměstnavatelem, testování prováděné určenými zaměstnanci, testování externími subjekty mimo poskytovatele zdravotních služeb apod.), kdy testy mají být hrazeny z jednotlivých Fondů prevence zdravotních pojišťoven. V tomto případě se při zpracování osobních údajů zaměstnavatel stává správcem osobních údajů se všemi povinnostmi vyplývajícími z obecného nařízení. Z důvodu veřejného zájmu v oblasti veřejného zdraví dle obecného nařízení je při testování zaměstnanců zpracovávána také zvláštní kategorie osobních údajů vypovídajících o zdravotním stavu. Samotné záznamy o provedení testů u jednotlivých zaměstnanců je možno využívat pouze v přímé souvislosti s plněním povinností uložených mimořádným opatřením. 

Vlastní záznamy o provedení testů u zaměstnanců mohou obsahovat pouze základní identifikační údaje zaměstnance sloužící k identifikaci daného zaměstnance (jméno, příjmení, datum narození, které je možno nahradit identifikátorem, který zaměstnanci přidělil zaměstnavatel), údaje o přesném čase provedení testu (u většiny zaměstnavatelů postačí datum provedení testu, ve specifických provozech může být evidován i přesný čas) a výsledek testu na přítomnost viru SARS-CoV-2, a to v mezích oprávněných požadavků příslušných orgánů. Stejné omezení rozsahu pouze na nezbytné osobní údaje platí i pro případné dokumenty prokazující výjimku z povinného testování daného zaměstnance (identifikační údaje zaměstnance, důvod výjimky z testování jako je prodělání infekce COVID-19 ve lhůtě do 90 dní před provedením testu, provedení očkování, home office bez přítomnosti na pracovišti, pracovní neschopnost). 

V případě, že bude zaměstnavatelem sjednán smluvní vztah s poskytovatelem zdravotních služeb, aby pro zaměstnavatele prováděl testování zaměstnanců, nebo budou čerpány prostředky zdravotních pojišťoven přímo zaměstnavatelem k úhradě povinného testování zaměstnanců, mohou být zpracovávány další nezbytné údaje sloužící k identifikaci zaměstnance, a to v nezbytném rozsahu oprávněně vyžadovaném zdravotní pojišťovnou. Předávanými údaji mezi zaměstnavatelem a poskytovatelem zdravotních služeb či zdravotními pojišťovnami tak mohou být údaje o číslu pojištěnce a o zdravotní pojišťovně daného zaměstnance. Poskytovatelé zdravotních služeb a zdravotní pojišťovny mohou uvedené údaje zpracovávat dle zvláštních právních předpisů v oblasti poskytování zdravotních služeb a zdravotního pojištění. S ohledem na rozsah mimořádných opatření je nutno omezit administrativní zátěž, která může být způsobena zaměstnavatelům i poskytovatelům zdravotních služeb, kteří zdravotnickou dokumentaci jednotlivých osob obvykle evidují spojením údajů o jménu, příjmení a čísle pojištěnce. 

Je nezbytné pamatovat, že poskytovatelé zdravotních služeb či zdravotní pojišťovny mohou evidovat více osob se stejným jménem i datem narození a je nutno předcházet případné záměně osob a případně i výsledků jejich vyšetření na přítomnost viru SARS-CoV-2. Při procesu předávání uvedených údajů mezi subjekty je nutno klást důraz na jejich zabezpečení, aby nedošlo k jejich neoprávněnému zpřístupnění či ztrátě. Je odpovědností zdravotní pojišťovny, aby metodicky či jinak zaměstnavatelům stanovila rozsah údajů, které jsou pro uvedený postup nezbytné. Totéž platí pro stanovení rozsahu osobních údajů uchovávaných pro účely jiných následných kontrol (ze strany orgánu veřejného zdraví apod.).

Doba pro uchování evidence testování nebyla v rámci mimořádného opatření stanovena, avšak s ohledem na povinnosti, které jsou upraveny právními předpisy uvedenými výše, jeví se jako maximální doba uchování osobních údajů v evidenci testování tři roky od doby jejich pořízení. Tato doba se váže na nutnost prokázání plnění uložených povinností vůči orgánům ochrany veřejného zdraví, které jsou nadány kontrolou plnění uloženého opatření správcem, pokud nebude zjištěno, že pro uvedené účely postačuje doba kratší. Zaměstnavatelům, dle ustanovení § 10 odst. 2 písm. c) zákona o mimořádných opatřeních při epidemii onemocnění COVID-19, mohou orgány ochrany veřejného zdraví za neplnění příkazu testovat zaměstnance a jiné pracovníky uložit sankci do výše 500 000 Kč. Uplatní se tedy ustanovení § 30 písm. b) zákona č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich, který stanoví promlčecí dobu u daného přestupku tři roky. 

Totéž platí pro uchovávání osobních údajů o testování zaměstnanců hrazené zaměstnavatelem, využitých v budoucnu pro programy zdravotních pojišťoven, avízované vládou. Opět platí, že dobu pro uchování osobních údajů v zákonných mezích musí konkrétně stanovit příslušné orgány (pro účely kontroly apod.), a to již diferencovaně ve vztahu k různým účelům (např. s ohledem na různé zaměření vykazování či kontrol). K záznamům v evidenci testování vedené za účelem plnění dalších právních předpisů, např. z důvodů eventuální daňové uznatelnosti, není nutno uchovávat osobní údaje zaměstnanců.

V souvislosti se zpracováním osobních údajů Úřad upozorňuje na povinnosti správce vyplývající přímo z obecného nařízení, zejména:
  1. Poskytnout subjektům údajů konkrétní informace o zpracování osobních údajů související s testováním (účel/y a právní důvod/y zpracování, rozsah zpracovávaných údajů, doba uchování atd.). Vzor informace o zpracování viz příloha č. 1.
  2. Vést záznamy o činnostech zpracování podle článku 30 obecného nařízení. Vzor záznamu viz příloha č. 2. 
  3. Zajistit, aby osobní údaje byly zpracovávány s odpovídající ochranou soukromí; každý ze zaměstnavatelů musí s přihlédnutím ke svým možnostem přijmout technická a organizační opatření, aby osobní údaje řádně zabezpečil před možnou ztrátou, neoprávněnému zpřístupnění nebo nepovoleným úpravám. Komplexní posouzení rizika a výběr opatření závisí na správci, jejich výběr a aplikaci musí zvážit správce s ohledem na konkrétní parametry zpracování jako jsou lokality, použité ICT apod.  Součástí obecné povinnosti správce řídit rizika je i provedení posouzení vlivu (DPIA), pokud správce, na základě analýzy, zda zpracování podléhá povinnosti provést posouzení vlivu, dojde k závěru, že je to nutné.  Vzor provedení analýzy viz příloha č. 3. 
V závislosti na dalším vývoji situace při uplatňování opatření a získaných praktických poznatcích bude Úřad své vyjádření dále upravovat. Parametry zpracování osobních údajů jsou závislé na konkrétním rozsahu povinností ukládaných zaměstnavatelům v mezích právního řádu, které mohou být ze strany ústředních orgánů státní správy a zdravotních pojišťoven měněny či metodicky upřesňovány. Úřad v tomto smyslu neukládá (nemá kompetenci uložit) zaměstnavatelům povinnost zpracovávat osobní údaje v konkrétním rozsahu či po určitou dobu, reaguje toliko na situaci, kdy je (bude) zaměstnavatelům určitá typová povinnost uložena. 

Lze připustit, že prvotní fáze plnění povinností podle uvedených mimořádných opatření mohla být z pohledu zaměstnavatelů stižena jistou nepřehledností, přičemž příslušné orgány související metodické postupy upřesňují a aktualizují dosud. Ani za této situace nemůže Úřad upustit od výkonu svých dozorových pravomocí, nicméně lze očekávat, že kontrolní činnost Úřadu se v tomto kontextu zaměří na následný způsob a míru nápravy eventuálních vadných postupů s ohledem na postupné zvyšování informovanosti.

Přiložené vzory dokumentů představují nezávazné doporučení a zrcadlí aktuální rozsah dostupných informací.

Přílohy:
  1. Informace o zpracování osobních údajů zaměstnanců 
  2. Záznamy o činnostech zpracování 
  3. Analýza, zda je nezbytné provádět DPIA (DPIA není potřeba provádět) 
Zdroj: Úřad pro ochranu osobních údajů