Často kladené otázky k ochraně osobních údajů v rámci opatření proti šíření koronaviru

Zpracování zvláštní kategorie osobních údajů pří šíření nakažlivé nemoci

  • V současné mimořádné situaci při šíření koronaviru, s přihlédnutím ke všem mimořádným opatřením vlády a jiných ústředních orgánů České republiky, dochází ve většině případů ke zpracování zvláštní kategorie osobních údajů, které je nutné chránit nad obecný rámec. Jedná se zejména o údaje o zdravotním stavu, včetně onemocnění nakažlivou chorobou (v tomto případě nemocí COVID-19). Zpracování těchto osobních údajů je založené na právních předpisech v oblasti veřejného zdraví za účelem ochrany před vážnými zdravotními hrozbami.
  • Tato ochrana je právními předpisy uložena orgánům ochrany veřejného zdraví, kterými jsou typicky krajské hygienické stanice, Ministerstvo zdravotnictví ČR, Ministerstvo vnitra ČR a Ministerstvo obrany ČR. Tyto orgány ochrany veřejného zdraví jsou ke zpracování osobních údajů oprávněny v rozsahu a za účelem stanoveným zákonem č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů.
  • Zákon o ochraně veřejného zdraví umožňuje příslušným orgánům České republiky přijímat opatření k tomu, aby se zabránilo šíření nakažlivé nemoci – takovými oprávněními mohou být např. i sběr dat a informací, nebo informování obyvatel České republiky prostřednictvím mobilních komunikačních sítí ve spolupráci s operátory těchto sítí.
  • Stanovenými opatřeními jsou povinny se řídit veřejné i soukromé subjekty, tj. veřejné i soukromé subjekty musí plně dodržovat veškeré platné předpisy včetně aktuálních mimořádných opatření vlády ČR a dalších ústředních orgánů, a pouze v takto stanovených mezích případně i zpracovávat / předávat osobní údaje.
  • Osobní údaje osob, které byly dle výše uvedeného titulu platně získány v době šíření nakažlivé nemoci, nelze v budoucnu použít za jiným účelem, aniž by tento účel byl podložený jiným platným právním titulem (kontaktní údaje osob a jejich blízkých získané pro účely mimořádných opatření v době šíření nakažlivé nemoci nelze automaticky zařadit do obecných databází pro zasílání nezbytně nutných sdělení v současnosti či obchodních sdělení v budoucnosti).

Anonymita sdělování informací o pozitivním výsledku testování na COVID-19

  • Dle zákona o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů (zákon č. 258/2000 Sb.) jsou k získávání a zpracování osobních údajů v souvislosti s šířením nakažlivé nemoci oprávněny orgány ochrany veřejného zdraví, tj. takové zpracování osobních údajů může probíhat pouze na základě jejich pokynů.
  • S ohledem na ochranu osobních údajů by se veřejné orgány měly snažit zpracovávat osobní údaje pro sledování, zvládání a tlumení šíření nakažlivé nemoci anonymizovaným způsobem, tj. zpracovávat údaje agregované tak, aby nebylo možno jednotlivce zpětně identifikovat. Pravidla ochrany osobních údajů se totiž nevztahují na řádně anonymizovaná data.
  • Anonymita sdělování informací o pozitivním výsledku testování na COVID-19 je považována za vysoce žádoucí a důsledně na ni dbají i státní orgány ČR. Podmínky pro její zachování nejsou však na základě výzev některých subjektů (např. výboru společenství vlastníků bytů) vytvořeny, a proto státní orgány zveřejňují pouze anonymizované údaje.

Elektronicky vedená jednání z pohledu GDPR

  • V případě nutnosti umožnit jednání se zaměstnanci, volenými orgány nebo dalšími subjekty je z pohledu GDPR bezpečné využít nejrůznější nástroje pro videokonference. Patří mezi ně např. nástroje Webex, Zoom, Microsoft Teams a další. Všechny tyto messengery mají v rámci přenosu šifrování dat, tedy komunikace je zabezpečená i z pohledu GDPR.
  • Z pohledu ochrany osobních údajů je však potřeba věnovat pozornost rozesílání podkladů pro jednání – je možné rozesílat podklady pouze v rámci vlastní domény, nebo zabezpečené ve formátu *.zip a doplněné heslem, zaslaným jiným kanálem (např. SMS).
  • Zároveň je důležité zohlednit jaké údaje jsou komu poskytovány nebo přímo zveřejňovány – jedná se především o citlivé údaje, kam patří i zdravotní stav (např. nákaza nakažlivou nemocí).

Měření teploty při vstupu na pracoviště v době koronavirové pandemie

  • Zákoník práce (zákon č. 262/2006 Sb., § 101 a § 102) upravuje problematiku předcházení ohrožení života a zdraví při práci a ukládá zaměstnavateli povinnost vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímáním opatření k předcházení rizikům. Tato povinnost se vztahuje na všechny fyzické osoby, které se s jeho vědomím zdržují na jeho pracovištích.
  • Měření a zpracování tělesné teploty zaměstnance není výslovnou právní povinností, lze ho však s přihlédnutím k nutným hygienickým a protiinfekčním opatřením považovat za oprávněný zájem zaměstnavatele ve smyslu článku 6 odst. 1 písm. f) ve spojení s článkem 9 odst. 2 písm. b) Nařízení GDPR, který umožňuje zpracování údaje vypovídajícího o zdravotním stavu pro výkon zvláštních práv v oblasti pracovního práva, a napomůže zaměstnavateli dostát svým povinnostem při předcházení ohrožení zdraví ve stávajících výjimečných podmínkách, včetně kontaktování zdravotníků či hygieniků.
  • Režim zpracování osobních údajů a působnost pravidel jejich ochrany nastává, pokud zaměstnavatel hodlá zaznamenávat prováděná měření a dále pracovat s údaji o zvýšené tělesné teplotě ve spojení s dalšími údaji umožňujícími identifikaci osoby, které byla tělesná teplota změřena.

Nové pokyny Evropského sboru pro ochranu osobních údajů v souvislosti s COVID-19

  • Evropský sbor pro ochranu osobních údajů schválil dva nové dokumenty – pokyny týkající se zpracování a ochrany osobních údajů v čase koronavirové pandemie (COVID-19):
    • Pokyny 03/2020 ke zpracování údajů o zdravotním stavu pro účely vědeckého výzkumu v souvislosti s rozšířením onemocnění COVID-19
    • Pokyny 04/2020 k používání lokalizačních údajů a nástrojů k vysledování kontaktů v souvislosti s rozšířením onemocnění COVID-19
  • Pokyny jsou zveřejněny na webové stránce ÚOOÚ: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=41930, český překlad pokynů je zveřejněn na webové stránce: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=42602.

Stanovisko Evropského sboru pro ochranu osobních údajů ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19

  • Evropský sbor pro ochranu osobních údajů vydal v březnu 2020 stanovisko ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19: monitorování výskytu a šíření koronavirové nákazy za pomoci moderních technologií je v zájmu lidstva. Ve vydaném stanovisku je řešena:
  • Zákonnost zpracování – obecné nařízení umožňuje příslušným orgánům veřejného zdraví a zaměstnavatelům zpracovat osobní údaje v souvislosti s epidemií, a to v souladu s národním právem a za podmínek v něm stanovených.
  • Klíčové zásady zpracování osobních údajů – osobní údaje nezbytné pro dosažení sledovaných cílů by měly být zpracovány pro konkrétní a výslovně stanovené účely.
  • Užití mobilních dat o poloze – jsou-li zavedena opatření dovolující zpracovávat údaje o poloze v neanonymizované podobě, je členský stát povinen uplatnit odpovídající záruky, jakým je poskytnutí práva nápravy soudní cestou uživatelům služeb elektronických komunikací.
  • Oblast zaměstnávání – zaměstnavatel by měl požadovat zdravotní informace jen v rozsahu povoleném národním právem.
  • Evropský sbor pro ochranu osobních údajů také ale zdůrazňuje, že i v této mimořádné době musí správci a zpracovatelé zajistit ochranu osobních dat subjektů údajů, tj. musí být všestranně zohledněny záruky zákonného zpracování osobních údajů a ve všech případech by mělo být pamatováno na skutečnost, že jakékoliv opatření v dané souvislosti musí respektovat obecné zákonné zásady a nesmí být nevratné. „Stav nouze je okolnost, která může legitimizovat omezení svobod ovšem jen za předpokladu, že tyto restrikce budou úměrné a omezené jen na dobu nouze.“
  • Úřad pro ochranu osobních údajů na svých webových stránkách zveřejnil vlastní (neoficiální) překlad stanoviska Evropského sboru pro ochranu osobních údajů ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=40769.

Pravidla a doporučení pro ochranu osobních údajů a minimalizaci hrozeb a rizik při práci s výpočetní technikou, v mobilní komunikaci či na sítích při práci z domova