Testování na pracovišti znamená další povinnosti zaměstnavatelů podle GDPR

Na základě mimořádného opatření Ministerstva zdravotnictví bylo zaměstnavatelům majícím nad 50 zaměstnanců nařízeno od 17.3.2021 alespoň jednou za sedm dní testovat své zaměstnance na přítomnost onemocnění COVID-19 způsobené virem SARS-CoV-2.[1] Pro podniky mající mezi 10 a 49 zaměstnanci platí podobná povinnost od 26.3.2021.[2]S testováním, následným vyhodnocením získaných dat o zdravotním stavu zaměstnanců a vedením evidence těchto údajů se ovšem pojí další povinnosti zaměstnavatelů, a to z oblasti ochrany osobních údajů. Na následujících řádcích je přehledně vysvětleno, jak se s povinnostmi v souvislosti s testováním zaměstnanců podnikatelé mohou vypořádat.

Citlivost osobních údajů

Pro většinu zaměstnavatelů nebude překvapením, že osobním údajem ve smyslu obecného nařízení o ochraně osobních údajů[3] (často označovaného jako „GDPR“) může být ledacos. Kromě jména, kontaktních údajů, záznamu podoby nebo osobní korespondence je za osobní údaj považována i jakákoliv informace o zdravotním stavu. Stejně jako jsou jednotlivé druhy osobních údajů velmi odlišné, liší se i přísnost jejich ochrany.

Reklama

Nemáte ještě registraci na epravo.cz?

Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

REGISTROVAT ZDE

V neprospěch zaměstnavatelů v případě testování na přítomnost (jakéhokoliv) viru hraje roli skutečnost, že informace o zdravotním stavu jsou běžně označovány za citlivé. Z toho důvodu GDPR vyžaduje daleko přísnější ochranu takových dat. Zaměstnavatelé by proto měli k ochraně právě těchto údajů přistupovat obzvlášť obezřetně.

Konkrétní povinnosti zaměstnavatelů

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Jednotlivé povinnosti se alespoň velmi obecně snaží zaměstnavatelům přiblížit Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) ve svém rámcovém vyjádření ze dne 5.3.2021.[4] Shromažďuje-li zaměstnavatel osobní údaje, stává se zákonitě jejich správcem ve smyslu GDPR. Z této skutečnosti pak plynou povinnosti, jejichž přehled následuje níže.

1. Uchovávání údajů tak, aby nedošlo k jejich zneužití ani zpřístupnění nepovolaným osobám. V tomto ohledu lze zaměstnavatelům doporučit, aby před zahájením testování upravili vnitřním předpisem průběh testování, odpovědné osoby za plnění této povinnosti i osoby oprávněné se s výsledky testů seznamovat. Zároveň platí, že citlivé údaje musí být adekvátně zabezpečeny, ať jsou uchovávány v listinné, nebo elektronické podobě. I samotné testování a vyhodnocení testu by mělo probíhat tak, aby při něm nebyly přítomny nepovolané osoby. Výsledky testování v podniku zkrátka nesmí být „veřejným tajemstvím.“

2. Evidování pouze přesně určených údajů. Podle ÚOOÚ je zaměstnavatel oprávněn uchovávat pouze jméno a příjmení zaměstnance, číslo pojištěnce (nejčastěji rodné číslo), údaje o zdravotní pojišťovně zaměstnance, údaje o přesném čase provedení testu a samozřejmě jeho výsledek. Jakékoliv další údaje týkající se zdravotního stavu zaměstnance v souvislosti s povinností testování evidovat nelze.

3. Vedení evidence provedených testů po nezbytně dlouhou dobu. Byť maximální dobu uchovávání údajů mimořádné opatření nestanoví, je zřejmé, že nelze údaje uchovávat neomezeně dlouho. Stanovisko ÚOOÚ předpokládá celou dobu trvání mimořádného opatření jako minimální dobu uchovávání údajů. Nelze však opomíjet skutečnost, že zaměstnavatel může být i zpětně vyzván k prokázání, jak povinnost testovat zaměstnance plnil. Porušení povinnosti (nebo neprokázání jejich řádného plnění) by mohlo být kvalifikováno jako přestupek podle zákona č. 94/2021 Sb. , za nějž citovaný zákon v ustanovení § 10 odst. 2 písm. c) stanoví uložení pokuty až do 500 000,- Kč. Promlčecí lhůta u takových přestupků činí 3 roky.[5] Nezbytně nutná doba pro uchovávání údajů proto musí být nejméně tříletá, a to z důvodu ochrany zaměstnavatele před případnou odpovědností za přestupek.

4. Informování zaměstnance o nakládání s osobními údaji. O veškerých povinnostech zaměstnavatele ve vztahu k citlivým osobním údajům zaměstnance je třeba zaměstnance poučit a toto poučení zpětně prokázat. Zaměstnavatelé by proto zaměstnancům měli předložit písemné poučení o procesech a způsobech zpracování zaměstnaneckých citlivých údajů a toto poučení archivovat spolu s ostatní dokumentací. Zejména je nutné zaměstnance poučit o rozsahu zpracovávaných údajů, důvodu jejich zpracování, době uchovávání nebo skutečnosti, že v některých případech má zaměstnavatel povinnost vybrané údaje předat orgánům ochrany veřejného zdraví (typicky příslušné hygienické stanici) a také zdravotním pojišťovnám za účelem proplacení nákladů na test. ÚOOÚ navíc dodává, že je žádoucí zaměstnance informovat rovněž o druhu a povaze prováděných testů.

5. Zaměstnavatel nepotřebuje ke zpracování takových údajů souhlas. Povinnost vyplývá přímo z právního předpisu (již citovaného mimořádného opatření Ministerstva zdravotnictví), tudíž není nutné rozšiřovat administrativu dalším zvláštním souhlasem. Zaměstnavatel je oprávněn údaje o zaměstnancích ve vztahu k onemocnění COVID-19 zpracovávat na základě mimořádného opatření Ministerstva zdravotnictví. Pro úplnost je třeba dodat, že souhlas zaměstnance se samotným provedením testu je nezbytný a nelze zaměstnance testovat proti jejich vůli. Odmítne-li zaměstnanec podrobit se testu, aniž by prokázal nepřítomnost sledovaného viru jiným způsobem, jedná se z jeho strany o porušení pracovních povinností.

Další varianty řešení testování zaměstnanců

Samozřejmě existují další varianty řešení, jak splnit povinnost zaměstnavatele prověřovat zaměstnance na pracovišti na přítomnost viru.

Jednou z možností je zajištění externího poskytovatele testování i veškeré další administrativní agendy s testováním spojené. V takovém případě by zaměstnavatel dodržoval mimořádné opatření na základě informací dodaných jinou osobou, velmi pravděpodobně poskytovatelem zdravotnických služeb. Neznamená to ovšem, že by se zaměstnavatel povinností zbavil. Stále je zaměstnavatel povinen relevantní data sbírat, uchovávat a chránit a ve stejném rozsahu též řádně poučit zaměstnance. Je namístě také podotknout, že účast externího subjektu na testování pak klade nároky na kvalitní smlouvu mezi zaměstnavatelem a tímto subjektem, která upraví veškeré myslitelné situace a vymezí, které povinnosti za zaměstnavatele plní třetí osoba.

Opatřením na první pohled nejsnazším, ovšem nejméně systémovým, pak může být dohoda zaměstnavatele a zaměstnanců, že si zaměstnanci budou pravidelně sami zajišťovat své testování, zaměstnavateli se pravidelně budou prokazovat dokladem o výsledku testu a zaměstnavatel veškeré s testováním spojené náklady zaměstnancům uhradí. Zaměstnavatel se ovšem ani tímto postupem nevyhne povinnostem uvedeným výše.

Zaměstnavatel může částečně eliminovat své povinnosti týkající především organizační stránky samotného provádění testů. Tyto povinnosti mohou být pro zaměstnavatele v některých případech zbytečně zatěžující a varianta provádět faktické testování mimo pracoviště anebo externím subjektem může zaměstnavatelům značně ulehčit. Ovšem na povinnosti zaměstnavatelů v oblasti ochrany osobních údajů nemá zásadní vliv, jaký model prověřování zaměstnanců bude zvolen. V každém případě bude zaměstnavatel odpovědný za rozhodnutí, zda zaměstnanci vstup na pracoviště umožní a k tomuto rozhodnutí musí mít dostupné nezbytné údaje. Nelze tedy uzavřít, že testuje-li zaměstnance jiný subjekt než zaměstnavatel, je zaměstnavatel zbaven všech povinností.

Shrnutí

Jakkoliv je testování žádoucí, protože umožňuje operativně reagovat a přijmout příslušná opatření k zamezení šíření nemoci, zaměstnavatelé by měli být alespoň upozorněni na povinnosti, které jsou s prováděním testů spjaty. Jako obvykle jsou to podnikatelé, kteří nesou nejtěžší břemeno souhrnu povinností, z nichž mnohé často mohou být rozporné.

V tomto případě proti sobě stojí oprávněná snaha účinně omezovat šíření nemoci a ochrana velmi citlivých údajů vypovídajících o zdravotním stavu osob. Od zaměstnavatelů se očekává, že dokáží nalézt rovnováhu v tomto antagonismu. Ve snaze poskytnout alespoň rámcová vodítka byly výše naznačeny ty nejdůležitější povinnosti z oblasti ochrany osobních údajů. Jedná se především o povinnost poučit zaměstnance, zpracovávat údaje jen v nezbytném rozsahu a po nezbytnou dobu a tyto údaje dostatečně chránit.

JUDr. PhDr. Karolina Spozdilová, Ph.D.,
advokátka a partnerka

Jakub Vodička,
student posledního ročníku PF UK a právní asistent

KGS legal s.r.o., advokátní kancelář

Národní 416/37

110 00 Praha 1

e-mail: spozdilova@kgslegal.cz

[1] Mimořádné opatření Ministerstva zdravotnictví ze dne 1.3.2021, č.j. MZDR 47828/2020-16/MIN/KAN, dostupné také >>>zde, ve znění Mimořádného opatření Ministerstva zdravotnictví ze dne 5.3.2021, č.j. MZDR 9364/2021-1/MIN/KAN, dostupné také >>> zde.

[2] Mimořádné opatření Ministerstva zdravotnictví ze dne 1.3.2021, č.j. MZDR 47828/2020-16/MIN/KAN, v platném znění ke dni 19.3.2021 dostupné také >>> zde.

[3] NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), dostupné také >>> zde.

[4] Rámcové vyjádření Úřadu pro ochranu osobních údajů ze dne 5.3.2021, dostupné také >>> zde.

[5] Ustanovení § 30 písm. b) zákona č. 250/2016 Sb. , o odpovědnosti za přestupky a řízení o nich, v platném znění.

JUDr. PhDr. Karolina Spozdilová, Ph.D., Jakub Vodička (KGS legal)

8. 4. 2021

pošli emailem

vytiskni článek