Spracovanie osobných údajov o očkovaní COVID-19 v kontexte zamestnávania
Aktuálne v spoločnosti dominuje téma očkovania proti COVID-19. Niekto sa očkuje, iný nie, očkovanie je dobrovoľné. Zároveň sa ľudia vracajú na pracoviská a zamestnávatelia premýšľajú, či by mali a či vôbec môžu žiadať od svojich zamestnancov informáciu, či sú zaočkovaní. Na druhej strane sú zamestnanci, ktorým tiež nie je jasné, čo musia a čo nie. Môže firma žiadať informácie o očkovaní od zamestnancov?
Prvou lastovičkou, ktorá priniesla oficiálne usmernenie, je írsky Data Protecion Commission (DPC), obdoba nášho Úradu pre ochranu osobných údajov. V tomto článku si priblížime írsku prípadovku a pokúsime sa z nej odvodiť niečo užitočné pre slovenský rámec. Zároveň vysvetlíme niektoré špecifické GDPR pojmy, aby sa vám článok lepšie čítal.
Írsko
Podľa DPC v Írsku neexistuje jasné odporúčani eorgánov verejného zdravotníctva, a to znamená, že neexistuje relevantný právny základ pre takúto spracovateľskú činnosť.
Čo je právny základ
Každý prevádzkovateľ, teda spoločnosť, ktorá spracúva osobné údaje, ich môže spracúvať len na základe jedného z právnych základov, ktoré sú uvedené v GDPR a našom zákone 18/ 2018 o ochrane osobných údajov. Zjednodušene sú to tieto základy:
- súhlas dotknutej osoby (napríklad súhlas s odoberaním newsletteru)
- nevyhnutné pre účely plnenia zmluvy alebo predzmluvných vzťahov (napríklad e-shop spracúva meno, adresu, telefónne číslo, e-mail, informáciu o bankovom účte zákazníka, pretože inak by mu nedokázal poslať zakúpený tovar)
- nevyhnutné pre účely plnenia zákonnej povinnosti prevádzkovateľa (napríklad zamestnávateľ má povinnosť nahlásiť zamestnanca na rôzne poisťovne atď., takže musí spracúvať jeho osobné údaje a nepotrebuje k tomu súhlas)
- spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby;
- spracúvanie je nevyhnutné na splnenie úlohy vykonávanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
- spracúvanie je nevyhnutné na účely oprávnených záujmov sledovaných prevádzkovateľom (napríklad prezentácia svojich produktov a služieb pomocou webstránky a sociálnych sietí, zhotovovanie fotografií pre prezentačné účely a pod.).
Môže firma žiadať informácie o očkovaní od zamestnancov?
Podľa írskeho DPC ani jeden z týchto právnych základov nie je vhodný na spracúvanie údajov o očkovaní zamestnancov. Žiadanie súhlasu od zamestnanca je podľa GDPR nezákonné, žiadnu zmluvu voči zamestnancovi neplní, a tiež nemá uloženú zákonnú povinnosť takýto údaj spracúvať.
Dalo by sa polemizovať o ochrane životne dôležitých záujmov, ale aj v Írsku je očkovanie dobrovoľné, naviazané na vek, a je neprípustné, aby boli zamestnanci segregovaní na základe očkovania. Neprešla by ani nutnosť splniť svoju úlohu vo verejenom záujme, keďže írski zamestnávatelia takúto úlohu od štátu (zatiaľ) nedostali.
Zvažuje sa však, že napríklad pri poskytovaní služieb zdravotnej starostlivosti v prvej línii možno očkovanie považovať za nevyhnutné bezpečnostné opatrenie na základe príslušného odvetvového usmernenia. Napríklad írsky Sprievodca lekárskym výborom pre profesionálne správanie a etiku pre registrovaných lekárov uvádza, že odborníci „by mali byť očkovaní proti bežným prenosným chorobám“. V tomto prípade je pravdepodobné, že zamestnávateľ bude môcť legálne spracovávať údaje o očkovacích látkach v nevyhnutných prípadoch. Nuž, uvidíme, ako sa situácia vyvinie.
Slovensko
Môže zamestnávateľ požadovať od návštevníkov alebo zamestnancov, aby mu poskytovali informácie o očkovaní? Aktuálne je na stránke Úradu pre ochranu osobných údajov k dispozícii Vyhlásenie o spracúvaní osobných údajov v súvislosti s vypuknutím ochorenia COVID-19 z dielne Európskeho výboru pre ochranu osobných údajov (EDPB). V bode 4 hovorí, že v prípade požadovania zdravotných informácií od zamestnancov alebo návštevníkov firmy je dôležité uplatňovanie zásady proporcionality a minimalizácie údajov.
Proporcionalita
Zamestnávateľ by mal vyžadovať zdravotné informácie iba v rozsahu, v akom mu to vnútroštátne právne predpisy umožňujú. Splnenie zásady proporcionality sa vykonáva takzvaným balančným testom. Tento test by mal prevádzkovateľ vypracovať a zaradiť do svojej GDPR dokumentácie., pretože informácia o očkovaní je zdravotný údaj, a teda je zaradený do kategórie osobitných údajov.
Minimalizácia údajov
Predtým, než zamestnávateľ začne nejaké údaje spracúvať, musí zabezpečiť a v prípade kontroly dôveryhodne preukázať, že sa pokúsil zabezpečiť a nebolo to možné, iné, menej invazívne postupy pre dosiahnutie cieľa (účelu).
Ak je účelom zabezpečenie zdravia pracovníkov, tak napríklad írsky Národný protokol COVID-19 pre zamestnávateľov a pracovníkov uvádza, že „bez ohľadu na zavedenie očkovania preventívne a kontrolné opatrenia proti infekciám v oblasti verejného zdravia (ako napríklad fyzický odstup, hygiena rúk, zakrytie tváre, adekvátne vetranie), a práca z domu, pokiaľ nie je nevyhnutná fyzická prítomnosť zamestnanca na pracovisku, všetci musia zostať na svojom mieste.“ Dá sa predpokladať, že slovenský Úrad by prijal podobné stanovisko.
Zamestnávateľ má teda – teoreticky – k dispozícii rad opatrení, ktoré by mal prijať na udržanie bezpečnosti na pracovisku ešte predtým, ako rozhodne, že jedine údaj o stave očkovania je nevyhnutným opatrením.
Môže ísť o plnenie zákonnej povinnosti zamestnávateľa?
Usmernenie EDPB v súvislosti so zamestnaním tiež hovorí, že za istých okolností môže byť spracúvanie osobných údajov nevyhnutné na splnenie zákonnej povinnosti, ktorej podlieha zamestnávateľ, ako sú napríklad povinnosti týkajúce sa zdravia a bezpečnosti na pracovisku alebo verejného záujmu, ako napríklad kontrola chorôb a iné ohrozenia zdravia.
V GDPR sa tiež predpokladajú výnimky zo zákazu spracúvania určitých osobitných kategórií osobných údajov. Ide o údaje o zdraví, ak je to potrebné z dôvodu významného verejného záujmu v oblasti verejného zdravia (článok 9 ods. 2 písm. i)), na základe právnych predpisov Únie alebo vnútroštátnych právnych predpisov. Alebo ak existuje potreba chrániť základné životné záujmy dotknutej osoby (článok 9 ods. 2 písm. c)), keďže odôvodnenie 46 výslovne odkazuje na kontrolu epidémie.
[…] Niektoré typy spracúvania môžu slúžiť na dôležité účely verejného záujmu aj životne dôležité záujmy dotknutej osoby, napríklad ak je spracúvanie nevyhnutné na humanitárne účely vrátane monitorovania epidémií a ich šírenia alebo v humanitárnych núdzových situáciách, najmä v prípade prírodných katastrof a katastrof spôsobených ľudskou činnosťou.(Odôvodnenie 46)
Či sa k tejto výnimke pridá aj informácia o očkovaní, je otázne. Môže sa stať, že áno. Je v záujme zamestávateľa, aby zmeny a nové usmernenia sledoval na stránkach Úradu, a aby ich aplikoval vo svojej dokumentácii.
Zhrnutie
- Zamestnávateľ môže spracúvať údaje o očkovaní zamestnancov, ak mu túto povinnosť uloží zákon alebo iný právny predpis.
- Nemôže spracúvať údaje o očkovaní zamestnancov na základe ich súhlasu, ktorý na tento účel ani nemôže vyžadovať. A nemôže ich spracúvať ani len tak, pre istotu.
- Zároveň platí, že pri tejto spracovateľskej činnosti, ak mu vyplynie ako zákonná povinnosť, musí zabezpečiť okrem iného aj minimalizáciu údajov, teda spracúvať len nevyhnutne nutný rozsah na nevyhnutne nutnú dobu.
- Spracúvanie musí byť proporčné, teda vždy by sa mali uprednostňovať najmenej rušivé riešenia, pričom by sa mal zohľadňovať osobitný účel, ktorý sa má dosiahnuť.
Článok je informačného charakteru. Nemá právnu záväznosť a neslúži ako náhrada právneho poradenstva.
Autor: Martina Javůrková
Martina Javůrková pôsobila 15 rokov ako konzultantka a manažérka pre oblasť náboru zamestnancov v regióne EMEA. Dnes vedie spoločnosť Dimensions Consulting Services s.r.o., ktorú založila v roku 2013. Po rokoch práce v medzinárodnom prostredí, dnes spolupracuje s lokálnymi živnostníkmi, rodinnými firmami, malými a strednými podnikmi. Medzi populárne a úspešné služby patria nastavovanie firemných procesov, firemné weby a e-shopy na kľúč, s dôrazom na technickú funkčnosť, bezpečnosť a obchodné ciele firmy; ďalej tvorba a úprava textov na weboch, marketingové stratégie, nastavenie firemných procesov a tvorba dokumentácie v súlade s GDPR.