Často kladené otázky k ochraně osobních údajů v rámci opatření proti šíření koronaviru
- Úřad pro ochranu osobních údajů průběžně na svých webových stránkách zveřejňuje často kladené otázky ke zpracování osobních údajů v rámci opatření proti šíření koronaviru: https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=6134&n=ke%2Dzpracovani%2Dosobnich%2Dudaju%2Dv%2Dramci%2Dopatreni%2Dproti%2Dsireni%2Dkoronaviru
Osobní údaje a koronavirus
- V současné koronavirové krizi se začaly sbírat nové osobní údaje. Dle ÚOOÚ je zaměstnavatel oprávněn zjišťovat teplotu zaměstnanců při vstupu na pracoviště, neboť takovéto monitorování je možné opřít o oprávněné zájmy zaměstnavatele. Měření teploty návštěvníků na sportovních či kulturních akcích však ÚOOÚ neschvaluje. Zároveň dle ÚOOÚ nemá zaměstnavatel právo zjišťovat o svých zaměstnanců informace o destinaci dovolené či navštívených akcích.
eRouška vs. zákon č. 110/2019 Sb.
- ÚOOÚ bude na žádost předsedy Rady vlády pro informační společnost Vladimíra Dzurilly ověřovat soulad projektu eRouška se zákonem č. 110/2019 Sb., o zpracování osobních údajů a obecným nařízením o ochraně osobních údajů.
Zpracování zvláštní kategorie osobních údajů pří šíření nakažlivé nemoci
- V současné mimořádné situaci při šíření koronaviru, s přihlédnutím ke všem mimořádným opatřením vlády a jiných ústředních orgánů České republiky, dochází ve většině případů ke zpracování zvláštní kategorie osobních údajů, které je nutné chránit nad obecný rámec. Jedná se zejména o údaje o zdravotním stavu, včetně onemocnění nakažlivou chorobou (v tomto případě nemocí COVID-19). Zpracování těchto osobních údajů je založené na právních předpisech v oblasti veřejného zdraví za účelem ochrany před vážnými zdravotními hrozbami.
- Tato ochrana je právními předpisy uložena orgánům ochrany veřejného zdraví, kterými jsou typicky krajské hygienické stanice, Ministerstvo zdravotnictví ČR, Ministerstvo vnitra ČR a Ministerstvo obrany ČR. Tyto orgány ochrany veřejného zdraví jsou ke zpracování osobních údajů oprávněny v rozsahu a za účelem stanoveným zákonem č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů.
- Zákon o ochraně veřejného zdraví umožňuje příslušným orgánům České republiky přijímat opatření k tomu, aby se zabránilo šíření nakažlivé nemoci – takovými oprávněními mohou být např. i sběr dat a informací, nebo informování obyvatel České republiky prostřednictvím mobilních komunikačních sítí ve spolupráci s operátory těchto sítí.
- Stanovenými opatřeními jsou povinny se řídit veřejné i soukromé subjekty, tj. veřejné i soukromé subjekty musí plně dodržovat veškeré platné předpisy včetně aktuálních mimořádných opatření vlády ČR a dalších ústředních orgánů, a pouze v takto stanovených mezích případně i zpracovávat / předávat osobní údaje.
- Osobní údaje osob, které byly dle výše uvedeného titulu platně získány v době šíření nakažlivé nemoci, nelze v budoucnu použít za jiným účelem, aniž by tento účel byl podložený jiným platným právním titulem (kontaktní údaje osob a jejich blízkých získané pro účely mimořádných opatření v době šíření nakažlivé nemoci nelze automaticky zařadit do obecných databází pro zasílání nezbytně nutných sdělení v současnosti či obchodních sdělení v budoucnosti).
Anonymita sdělování informací o pozitivním výsledku testování na COVID-19
- Dle zákona o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů (zákon č. 258/2000 Sb.) jsou k získávání a zpracování osobních údajů v souvislosti s šířením nakažlivé nemoci oprávněny orgány ochrany veřejného zdraví, tj. takové zpracování osobních údajů může probíhat pouze na základě jejich pokynů.
- S ohledem na ochranu osobních údajů by se veřejné orgány měly snažit zpracovávat osobní údaje pro sledování, zvládání a tlumení šíření nakažlivé nemoci anonymizovaným způsobem, tj. zpracovávat údaje agregované tak, aby nebylo možno jednotlivce zpětně identifikovat. Pravidla ochrany osobních údajů se totiž nevztahují na řádně anonymizovaná data.
- Anonymita sdělování informací o pozitivním výsledku testování na COVID-19 je považována za vysoce žádoucí a důsledně na ni dbají i státní orgány ČR. Podmínky pro její zachování nejsou však na základě výzev některých subjektů (např. výboru společenství vlastníků bytů) vytvořeny, a proto státní orgány zveřejňují pouze anonymizované údaje.
Elektronicky vedená jednání z pohledu GDPR
- V případě nutnosti umožnit jednání se zaměstnanci, volenými orgány nebo dalšími subjekty je z pohledu GDPR bezpečné využít nejrůznější nástroje pro videokonference. Patří mezi ně např. nástroje Webex, Zoom, Microsoft Teams a další. Všechny tyto messengery mají v rámci přenosu šifrování dat, tedy komunikace je zabezpečená i z pohledu GDPR.
- Z pohledu ochrany osobních údajů je však potřeba věnovat pozornost rozesílání podkladů pro jednání – je možné rozesílat podklady pouze v rámci vlastní domény, nebo zabezpečené ve formátu *.zip a doplněné heslem, zaslaným jiným kanálem (např. SMS).
- Zároveň je důležité zohlednit jaké údaje jsou komu poskytovány nebo přímo zveřejňovány – jedná se především o citlivé údaje, kam patří i zdravotní stav (např. nákaza nakažlivou nemocí).
Měření teploty při vstupu na pracoviště v době koronavirové pandemie
- Zákoník práce (zákon č. 262/2006 Sb., § 101 a § 102) upravuje problematiku předcházení ohrožení života a zdraví při práci a ukládá zaměstnavateli povinnost vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímáním opatření k předcházení rizikům. Tato povinnost se vztahuje na všechny fyzické osoby, které se s jeho vědomím zdržují na jeho pracovištích.
- Měření a zpracování tělesné teploty zaměstnance není výslovnou právní povinností, lze ho však s přihlédnutím k nutným hygienickým a protiinfekčním opatřením považovat za oprávněný zájem zaměstnavatele ve smyslu článku 6 odst. 1 písm. f) ve spojení s článkem 9 odst. 2 písm. b) Nařízení GDPR, který umožňuje zpracování údaje vypovídajícího o zdravotním stavu pro výkon zvláštních práv v oblasti pracovního práva, a napomůže zaměstnavateli dostát svým povinnostem při předcházení ohrožení zdraví ve stávajících výjimečných podmínkách, včetně kontaktování zdravotníků či hygieniků.
- Režim zpracování osobních údajů a působnost pravidel jejich ochrany nastává, pokud zaměstnavatel hodlá zaznamenávat prováděná měření a dále pracovat s údaji o zvýšené tělesné teplotě ve spojení s dalšími údaji umožňujícími identifikaci osoby, které byla tělesná teplota změřena.
Nové pokyny Evropského sboru pro ochranu osobních údajů v souvislosti s COVID-19
- Evropský sbor pro ochranu osobních údajů schválil dva nové dokumenty – pokyny týkající se zpracování a ochrany osobních údajů v čase koronavirové pandemie (COVID-19):
- Pokyny 03/2020 ke zpracování údajů o zdravotním stavu pro účely vědeckého výzkumu v souvislosti s rozšířením onemocnění COVID-19
- Pokyny 04/2020 k používání lokalizačních údajů a nástrojů k vysledování kontaktů v souvislosti s rozšířením onemocnění COVID-19
- Pokyny jsou zveřejněny na webové stránce ÚOOÚ: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=41930, český překlad pokynů je zveřejněn na webové stránce: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=42602.
Stanovisko Evropského sboru pro ochranu osobních údajů ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19
- Evropský sbor pro ochranu osobních údajů vydal v březnu 2020 stanovisko ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19: monitorování výskytu a šíření koronavirové nákazy za pomoci moderních technologií je v zájmu lidstva. Ve vydaném stanovisku je řešena:
- Zákonnost zpracování – obecné nařízení umožňuje příslušným orgánům veřejného zdraví a zaměstnavatelům zpracovat osobní údaje v souvislosti s epidemií, a to v souladu s národním právem a za podmínek v něm stanovených.
- Klíčové zásady zpracování osobních údajů – osobní údaje nezbytné pro dosažení sledovaných cílů by měly být zpracovány pro konkrétní a výslovně stanovené účely.
- Užití mobilních dat o poloze – jsou-li zavedena opatření dovolující zpracovávat údaje o poloze v neanonymizované podobě, je členský stát povinen uplatnit odpovídající záruky, jakým je poskytnutí práva nápravy soudní cestou uživatelům služeb elektronických komunikací.
- Oblast zaměstnávání – zaměstnavatel by měl požadovat zdravotní informace jen v rozsahu povoleném národním právem.
- Evropský sbor pro ochranu osobních údajů také ale zdůrazňuje, že i v této mimořádné době musí správci a zpracovatelé zajistit ochranu osobních dat subjektů údajů, tj. musí být všestranně zohledněny záruky zákonného zpracování osobních údajů a ve všech případech by mělo být pamatováno na skutečnost, že jakékoliv opatření v dané souvislosti musí respektovat obecné zákonné zásady a nesmí být nevratné. „Stav nouze je okolnost, která může legitimizovat omezení svobod ovšem jen za předpokladu, že tyto restrikce budou úměrné a omezené jen na dobu nouze.“
- Úřad pro ochranu osobních údajů na svých webových stránkách zveřejnil vlastní (neoficiální) překlad stanoviska Evropského sboru pro ochranu osobních údajů ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=40769.
Pravidla a doporučení pro ochranu osobních údajů a minimalizaci hrozeb a rizik při práci s výpočetní technikou, v mobilní komunikaci či na sítích při práci z domova
- Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil na svých webových stránkách základní pravidla a doporučení pro ochranu osobních údajů a minimalizaci hrozeb a rizik při práci s výpočetní technikou, v mobilní komunikaci či na sítích při práci z domova. Doporučení je z velké části určeno pro zaměstnance, přičemž v závěru obsahuje několik rad také pro zaměstnavatele. Podrobnější informace naleznete na stránkách ÚOOÚ: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=41507.
- Doporučení k ochraně domova proti hackerům a upozornění na rizika online konferenčních služeb vydalo i Národní centrum kybernetické bezpečnosti (NCKB): https://www.govcert.cz/cs/informacni-servis/doporuceni/2739-ochrante-svuj-domov-proti-hackerum/ a https://www.govcert.cz/cs/informacni-servis/hrozby/2745-upozorneni-na-rizika-online-konferencnich-sluzeb/.