Lhůta pro zpracování osobních údajů v oblasti plnění opatření proti šíření koronaviru
- Při uchovávání osobních údajů a záznamů zpracovaných v rámci plnění opatření proti šíření koronaviru (tj. přehledů o provedených testech na pracovišti, očkování zaměstnanců, prodělaných onemocnění a další dokumentace obsahující osobní údaje zaměstnanců) je nezbytné ctít zásadu přiměřenosti a účelovosti sběru dat podle čl. 5 odst. 1 písm. e) Nařízení GDPR.
- Dle vyjádření Ministerstva zdravotnictví při stanovování délky uchovávání dat zpracovávaných v rámci plnění opatření proti šíření koronaviru lze vycházet z bodu VI. písm. a) mimořádného opatření Ministerstva zdravotnictví ze dne 5. 1. 2022, č.j. MZDR 461/2022-1/MIN/KAN, které z důvodu evidenčních a kontrolních účelů stanovovalo tuto lhůtu u testování zaměstnanců na 90 dnů. V kontextu toho, že toto opatření vycházelo z aktuální situace, lze považovat tuto lhůtu za plně dostačující.
- V současné době je tedy možné veškerou výše uvedenou dokumentaci zařadit do skartačního řízení.
Prověření aplikace Tečka a čTečka
- Úřad pro ochranu osobních údajů se v rámci svých kontrol zaměřil na nakládání s osobními údaji na Ministerstvu zdravotnictví a tedy i na kontrolu zpracování osobních údajů subjektů údajů v souvislosti s elektronickým certifikátem EU COVID‑19 včetně aplikací Tečka a čTečka při prokazování bezinfekčnosti. Kontrola aplikace čTečka se týkala zejména toho, že obsažené údaje v QR kódu zůstávají v historii zařízení, které slouží jako čtečka kódu.
- Ministerstvo zdravotnictví podalo před časem na zjištění kontroly provedené ÚOOÚ námitky. V současné době ÚOOÚ vyřizuje podané námitky ministerstva, rozhodnutí lze očekávat v nejbližších týdnech.
Aplikace Tečka bude i nadále fungovat
- Ministerstvo zdravotnictví vydalo informaci, že aplikace Tečka sloužící k prokazování očkování proti COVID-19 a k prokazování negativním testem na COVID-19 bude i nadále v provozu. Bude sloužit především pro notifikace a upozornění ohledně možnosti vakcinace, platnosti PCR testů, odjezdy do zahraničí, kontrolu pravidel vstupu do ostatních států, či pro vstup do České republiky.
- Úřad pro ochranu osobních údajů se v rámci svých kontrol zaměřil na nakládání s osobními údaji na Ministerstvu zdravotnictví a tedy i na kontrolu zpracování osobních údajů subjektů údajů v souvislosti s elektronickým certifikátem EU COVID‑19 včetně aplikací Tečka a čTečka.
Sběr informací o očkování proti COVID-19 z pohledu GDPR
Koncem minulého roku ÚOOÚ vydal stanovisko k problematice očkování proti COVID-19 z pohledu ochrany osobních údajů, které definuje následující:
- V době platnosti relevantního opatření Ministerstva zdravotnictví řešícího problematiku testování a očkování proti COVID-19 a v návaznosti na povinnosti stanovené opatřeními platnými v daném čase, jsou zaměstnavatelé povinni zkoumat bezinfekčnost svých zaměstnanců, tj. zjišťovat informace, zda je zaměstnanec očkován proti COVID-19 či nikoliv.
- Údaj o očkování proti COVID-19 spadá do tzv. zvláštní kategorie osobních údajů. Zpracování tohoto osobního údaje je umožněno pouze tehdy, kdy lze aplikovat některou z výjimek uvedených v čl. 9 odst. 2 Nařízení GDPR. V souvislosti s vydanými opatřeními je zpracování umožněno např. na základě výjimky dle čl. 9 odst. 2 písm. g) Nařízení GDPR, tedy z důvodu významného veřejného zájmu.
- Pokud ale zaměstnavatel chce získávat informace o očkování svých zaměstnanců proti COVID-19 z jiných důvodů, než v souvislosti s aktuálními opatřeními (např. z důvodu interního přehledu rizik), musí dostatečně vyhodnotit, zda je to třeba z důvodu ochrany zdraví a osob na pracovišti či nikoliv (pokud nikoliv, nemělo by ke sběru těchto informací docházet).
Ve Sbírce zákonů byla v prosinci 2021 publikována vyhláška Ministerstva zdravotnictví č. 466/2021 Sb., kterou se mění vyhláška č. 537/2006 Sb., o očkování proti infekčním nemocem, ve znění pozdějších předpisů. Tato vyhláška definuje povinnost pravidelného očkování proti nemoci COVID-19 u osob starších 60 let a zvláštního očkování proti této nemoci u dalších vybraných skupin fyzických osob (např. zaměstnanců zdravotních a sociálních služeb, krajských hygienických stanic, bezpečnostního sboru atd.).
Uchovávání informací / certifikátů o provedeném očkování proti COVID-19
Zaměstnavatel může od svých zaměstnanců, kteří byli očkování proti nakažlivé nemoci COVID-19, požadovat předložení certifikátu o očkování. Certifikát o provedeném očkování, který dosvědčuje skutečnost, že dané osobě byla podána vakcína, obsahuje nejen identifikační údaje osoby včetně data narození, ale i informace o podané vakcíně.
Zaměstnavatel musí při kontrole a příp. uchovávání informací o provedeném očkování zaměstnanců dodržet zásadu minimalizace dle čl. 5 Nařízení GDPR, tj. zpracovávat pouze nezbytně nutný obsah osobních údajů. Zaměstnavatel při rozhodování o uchovávání informací či kopie certifikátu proti očkování COVID-19 zaměstnanců tedy musí zohlednit všechny okolnosti včetně možného zásahu do práv subjektů údajů a případných rizik.
Možné varianty uchovávání informací / certifikátu o provedeném očkování proti COVID-19 (dle zdůvodněného zájmu zaměstnavatele a minimalizace zpracovávaných osobních údajů):
- zapsání informace, že zaměstnance není potřeba testovat, protože je již očkován;
- zapsání nezbytně nutných údajů o provedeném očkování zaměstnance (datum vakcinace, číslo certifikátu apod.);
- uchovávání částečně anonymizované kopie certifikátu o provedeném očkování.
Prozatím nejsou jednotně upřesněny informace týkající se kontrol provedeného očkování zaměstnanců proti COVID-19 zaměstnavatelem. Zaměstnavatel se tedy v současné době může pro případ kontroly očkování zaměstnanců odkazovat na informace z Očkovacího portálu občana, v rámci kterého by měl být každý z certifikátu o provedeném očkování evidován. V případě běžného zaměstnavatele by měla postačit částečně anonymizovaná podoba certifikátu o provedeném očkování či jen opsané údaje z předloženého certifikátu.
Problematika covid pasů v české legislativě
- V současné době je řešena novela zákona o ochraně veřejného zdraví (zákon č. 258/2000 Sb.), která se týká podmínek pro zavedení tzv. covid pasů. Návrh zákona o covid pasech má adaptovat český právní řád na návrh nařízení Evropského parlamentu a Rady o rámci pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, testování a uzdravení za účelem usnadnění volného pohybu během pandemie COVID-19 (tzv. digitální certifikát COVID v EU).
- Návrh zákona o covid pasech bude projednán na 109. schůzi Poslanecké sněmovny 9. června 2021.
- K návrhu zákona o covid pasech, kterým se mění zákon č. 258/2000 Sb., se vyjádřil i ÚOOÚ – své vyjádření zaslal Poslanecké sněmovně Parlamentu. Ve vyjádření ÚOOÚ upozorňuje na některé procedurální nedostatky z pohledu ochrany osobních údajů, a to zejména nedostatečné posouzení vlivu na ochranu osobních údajů podle čl. 35 Nařízení GDPR a nedodržení postupu dle čl. 36 odst. 4 Nařízení GDPR, tedy neprojednání s ÚOOÚ.
- Celé vyjádření ÚOOÚ k návrhu zákona o covid pasech je zveřejněno na stránkách ÚOOÚ https://www.uoou.cz/k-vladnimu-navrhu-zakona-o-covid-pasech/d-50514.
Zveřejňování záběrů z očkovacích center
- Při očkování proti nemoci COVID-19 si někteří lidé pořizují fotografie z očkovacích center a poté je zveřejňují na sociálních sítí. Tyto fotografie ale mnohdy zachycují nejen dotyčnou očkovanou osobu, i další očkované, což je problém z hlediska ochrany osobních údajů, protože tyto osoby nedaly ke zveřejnění aktivní souhlas.
- Dle vyjádření ÚOOÚ zveřejňování fotografií návštěvníků očkovacích center na osobním profilu dotyčné osoby nespadá pod Nařízení GDPR, ale řadí se spíše pod režim ochrany osobnosti dle občanského zákoníku (podle § 85 odst. 1 občanského zákoníku je možné rozšiřovat podobu člověka jen s jeho svolením). Pokud klient očkovacího centra zveřejní svou fotografii z očkování a nejsou na ni zachyceny podoby jiných osob, tak je vše v pořádku. Pokud jsou na fotografii zveřejněny podoby jiných osob, pak podle § 82 odst. 1 občanského zákoníku má člověk, jehož osobnost byla dotčena, právo domáhat se nápravy (odstranění fotografie ze sociální sítě) a příp. odškodnění.
- Záběry z očkovacích center publikované na speciálně vytvořené stránce, či na ilustračních a opakovaných záběrech v TV (tj. záběry pořízené pro novinářské účely, nebo pro účely akademické), se posuzují na základě okolností daného konkrétního případu, nicméně v obecnosti lze uvést, že ve většině případech spadají do působnosti Nařízení GDPR (jedná se o oprávněný zájem správce).
Vedení evidence testovaných či očkovaných zaměstnanců
- Informace o zdravotním stavu, mezi které patří údaje o testování či očkování, se dle Nařízení GDPR řadí do kategorie zvláštních / citlivých osobních údajů. Tyto údaje může zaměstnavatel zpracovávat pouze na základě:
- zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva;
- zpracování je nezbytné z důvodu významného veřejného zájmu;
- či je možné zpracování provádět na základě mimořádného opatření Ministerstva zdravotnictví č. j. MZDR 47828/2020-27/MIN/KAN, které zaměstnavatelům, jež pro své zaměstnance zajišťují antigenní testy k použití laickou osobou, nařizuje vést evidenci provedených testů. V případě evidence očkovaných zaměstnanců je pak možné se odkazovat na mimořádné opatření Ministerstva zdravotnictví č. j. MZDR 47828/2020-16/MIN/KAN, které nepřímo tuto povinnost zaměstnavateli ukládá.
- V případě, že provádí testování poskytovatel lékařských služeb, jedná se o postavení dvou samostatných správců osobních údajů, tedy poskytovatel lékařských služeb není v roli zpracovatele. Poskytovatel, který testování provádí, následně předává zaměstnavateli potvrzení o provedeném testu k jeho interní evidenci. Tito správci mají mít mezi sebou uzavřenou běžnou obchodní smlouvu (nikoliv smlouvu o zpracování osobních údajů mezi správcem a zpracovatelem).
- Evidence testovaných a očkovaných zaměstnanců zaměstnavateli přináší novou agendu, kterou je nutné z hlediska GDPR náležitě ošetřit. Je tedy nezbytné:
- informovat zaměstnance o takovém zpracování, o účelu, právním základu, rozsahu zpracovávaných osobních údajů, době uchovávání atp.;
- vést pro tuto novou agendu záznam o činnosti zpracování osobních údajů;
- evidenci dostatečně zabezpečit.
- Je nutné mít na paměti, že zaměstnavatel má právo od zaměstnance vyžadovat a tím evidovat informace o testování, neboť tato povinnost je uložena mimořádným opatřením, ale informace o očkování z důvodu dobrovolnosti podstoupit očkování již není zaměstnanec povinen sdělit.
Testování žáků ve školách
- S návratem žáků do škol přišla nová povinnost netestovat pouze své zaměstnance, ale nově i žáky prezenční výuky. Stejně jako v případě ostatních osobních údajů, i zde je nutné zajistit jejich ochranu. Vždy by měly být evidovány pouze takové osobní údaje, které jsou nezbytné k naplnění mimořádného opatření. Dále dbát na to, aby nebyly předávány informace o pozitivních výsledcích neoprávněně – např. informace o pozitivním testu je sdělována pouze zákonnému zástupci daného žáka, nikoliv ostatním rodičům.
- Údaje by škola měla uchovávat pouze do konce školního roku 2020/2021, resp. do 30 dnů po skončení platnosti mimořádného opatření nařizujícího provádění testování. Následně by měla proběhnout řádná skartace jak fyzické, tak elektronické evidence. Po dobu uchovávání evidence je nutné zajistit dostatečné zabezpečení těchto osobních údajů. V případě elektronické i fyzické verze záznamů by mělo mít k datům přístup jen omezené množství osob. Dále by měla být elektronická data pravidelně zálohována a neměly by vznikat kopie pro jiné potřeby, než je samotný účel této činnosti. Fyzická forma by měla být uložena na zabezpečeném místě, např. v uzamčené kartotéce, neboť bude obsahovat citlivá data v podobě zdravotního stavu osob.
- V případě pozitivního antigenního testu škola vydá žákovi potvrzení, na základě kterého zákonný zástupce kontaktuje praktického lékaře pro další postup. Pokud je žák znovu testován a konfirmační RT-PCR test vyjde negativní nebo absolvuje povinnou izolaci (a předloží ke kontrole od praktického lékaře potvrzení), může se vrátit do prezenční výuky. Pokud se u některého žáka potvrdí nákaza (konfirmační RT-PCR test vyjde pozitivní), zákonný zástupce informuje o této skutečnosti školu. Ta následně předá krajské hygienické stanici seznam všech žáků, kteří přišli s daným nakaženým do kontaktu a to v rozsahu jméno a příjmení, telefonní číslo a datum kontaktu s pozitivním. Těmto osobám bude hygienickou stanicí nařízena okamžitá karanténa a izolace podle mimořádného opatření Ministerstva zdravotnictví ČR.
- V rámci interní evidence by měly být zpracovávány pouze tyto údaje:
- Identifikační údaje – jméno, příjmení, třída.
- Datum provedení testu.
- Výsledek testu.
- Informace, proč se daný žák nemusí testovat spolu s datem, do kdy tato výjimka platí. V tomto případě doporučujeme nepořizovat a neuchovávat kopie dokladů o prodělání onemocnění COVID-19.
- Jestliže z důvodu karantény „chybí“ více jak polovina třídy, přejde výuka z prezenční formy do distanční.
- Testování se neprovádí v případě, že:
- se jedná o individuální konzultace nebo individuální prezenční výuky;
- žák prodělal COVID-19, podstoupil plná karanténní opatření a není tomu déle než 90 dnů od prvního pozitivního RT-PCR testu;
- žák je minimálně 14 dnů plně naočkovaný a může předložit certifikát;
- žák předloží negativní POC antigenní test nebo RT-PCR test, který není starší než 48 hodin a byl proveden poskytovatelem zdravotnických služeb;
- se jedná o školy zřizované Ministerstvem spravedlnosti ČR a školy zřízené při zařízení pro výkon ústavní nebo ochranné výchovy a mateřské / základní školy při zdravotnickém zařízení.
- Škola je oprávněna údaje shromažďovat pouze na základě právního důvodu „zákonná povinnost“ a „veřejný zájem v oblasti ochrany veřejného zdraví“, a informace z testování používat pouze v souvislosti s plněním povinností uložených mimořádným opatřením. Dále je každá škola jakožto správce osobních údajů povinna vytvořit a vést záznam o činnosti zpracování této nové agendy. V neposlední řadě je škola také povinna zajistit informovanost zákonných zástupců testovaných žáků o druhu a povaze testů, o zvoleném způsobu testování a samozřejmě o tom, jak budou jejich osobní údaje zpracovávány.
Evidence testovaných zaměstnanců
- V minulých novinkách jsme Vám poskytli informace ohledně evidence testovaných zaměstnanců na COVID-19 a nyní bychom rádi tyto informace rozšířili:
- I když je zaměstnanec během testování na slabší straně pracovněprávního vztahu a musí se nechat testovat, musí s ním být stále zacházeno s nanejvýš ohleduplným a šetrným způsobem a respektovat nejen jeho osobní údaje, ale celkově jeho soukromí a lidskou důstojnost.
- Testování zaměstnanců se neprovádí na základě jimi uděleného souhlasu, ale na základě vyhlášených mimořádných opatření, která zaměstnavateli dávají dostatečnou právní oporu.
- Každý zaměstnavatel musí zpracovávané osobní údaje v rámci evidence testovaných přizpůsobit konkrétním podmínkám a rozsahu jeho činnosti, neexistuje jedna podoba pro všechny.
- Stále platí, že evidence testovaných by měla obsahovat pouze: jméno, příjmení, datum narození, které je možno nahradit identifikátorem zaměstnance, datum provedení testu, výsledek testu na přítomnost viru a případně důvod výjimky z testování (prodělání infekce COVID-19 ve lhůtě do 90 dní před provedením testu, provedení očkování, home office bez přítomnosti na pracovišti, pracovní neschopnost).
- Jestliže testování provádí přímo zaměstnavatel a bude docházet k proplácení od zdravotních pojišťoven, bude evidence obsahovat i údaje potřebné pro zdravotní pojišťovnu (např. číslo pojištěnce a kód pojišťovny).
- Pokud je testování zajištěno externě poskytovatelem zdravotních služeb vystupují z pohledu GDPR v celé činnosti dva správci, přičemž každý z nich může vést jinou podobu evidence. V případě poskytovatele zdravotních služeb může docházet např. k předávání údajů do Informačního systému infekčních nemocí a samozřejmě vytváření nové zdravotnické dokumentace ke každému testovanému zaměstnanci, která může mít určený jiný rozsah a dobu uchování.
- K výsledkům testů musí mít přístup jen nezbytné množství osob a musí být zajištěno dostatečné zabezpečení.
- Doba pro uchování evidence testování sice nebyla v rámci mimořádného opatření stanovena, ale jako maximální doba uchování osobních údajů v evidenci testování ÚOOÚ doporučilo tři roky od doby pořízení testu.
- Pokud nebude zaměstnavatel své zaměstnance testovat, je možné, že mu orgány ochrany veřejného zdraví udělí pokutu až půl milionu korun za nesplnění povinnosti.
Zpracování osobních údajů Policií ČR
- ÚOOÚ začal prošetřovat, jakým způsobem je nakládáno s osobními údaji lidí, kterým byla udělena karanténní opatření v rámci pandemie COVID-19. Během ledna a února 2021 začala totiž dostávat Policie ČR od Krajských hygienických stanic a České správy sociálního zabezpečení informace o lidech v karanténě bez jejich vědomí.
- ÚOOÚ nyní místním šetřením kontroluje, jak jsou data Policií ČR uchovávána a dále používána, tedy zda dochází k fyzické kontrole těchto osob a v jaké souvislosti, dále jak jsou osobní údaje zabezpečeny, zda a jak je přístup k těmto datům nastaven a řízen a zda jsou vytvořeny k této nové činnosti potřebné záznamy o činnostech zpracování osobních údajů.
- I v této nelehké situaci stále platí, že ministerstva a ostatní úřady musí připravit a nastavit zpracování osobních údajů takovým způsobem, aby vždy byla dodržena pravidla a principy Nařízení GDPR a zákona o ochraně osobních údajů.
Firemní testování zaměstnanců na Covid-19
- Z důvodu nutnosti testovat zaměstnance na přítomnost nákazy Covid-19, která vyplývá z mimořádného opatření Ministerstva zdravotnictví (MZDR 47828/2020-16/MIN/KAN), začínají nyní zaměstnavatelé z pohledu GDPR a zákona o zpracování osobních údajů realizovat novou činnost. Jelikož bude při této činnosti zaměstnavatel o svých zaměstnancích evidovat nové osobní údaje a zejména pak citlivé údaje – informaci o zdravotním stavu, musí začít plnit povinnosti ochrany osobních údajů. Je nezbytné se zaměřit na následující body:
- Zaměstnavatel je oprávněn údaje shromažďovat pouze na základě právního důvodu „zákonná povinnost“ a „veřejný zájem v oblasti ochrany veřejného zdraví“.
- Vést záznamy o činnosti zpracování této nové agendy.
- Informace z testování používat pouze v souvislosti s plněním povinností uložených mimořádným opatřením.
- Záznamy o provedení testů mohou obsahovat pouze nezbytné osobní údaje – jméno a příjmení, číslo pojištěnce, údaje o zdravotní pojišťovně, přesný čas provedení testu a výsledek testu.
- Pokud má některý zaměstnanec z testování udělenou výjimku, je nutné o takové osobě vést pouze identifikační údaje a důvod výjimky z testování.
- Doba uschování záznamů by měla být minimálně do zrušení mimořádného opatření a dále k nezbytné kontrole zpracování plateb a nároků, které mohou v důsledku testování vzniknout.
- Maximálně zabezpečit tyto zpracovávané osobní údaje.
- Zpřístupnit osobní údaje pouze těm zaměstnancům, kteří jsou k tomu oprávnění – např. osobě, která byla pověřena k plnění úkolů k dodržování mimořádného opatření.
- Zajistit informovanost testovaných zaměstnanců o druhu a povaze testů, o zvoleném způsobu testování a samozřejmě o tom, jak budou jejich osobní údaje zpracovávány.
- Testování není nutné provádět v následujících případech:
- Jestliže zaměstnanec prodělal laboratorně potvrzené onemocnění Covid-19, uběhla potřebná doba izolace, nejeví žádné příznaky nemoci Covid-19 a od prvního pozitivního PCR testu nebo antigenního testu neuplynulo více než 90 dní. Vše je povinno doložit lékařskou zprávou.
- Dále pokud zaměstnanec předloží negativní výsledek PCR testu nebo profesionálně provedeného antigenního testu.
- A také, pokud je daný zaměstnanec plně naočkovaný a od poslední dávky uplynulo alespoň 14 dnů.
- Pokud zaměstnanec testování odmítne, je možné se domluvit na výkonu práce z domova, čerpání dovolené, poskytnutí neplaceného volna nebo na změně harmonogramu rozvržení směn. Jestliže se zaměstnanec a zaměstnavatel nedohodnou, půjde podle § 199 odst. 1 zákoníku práce o jinou důležitou osobní překážku v práci na straně zaměstnance, za kterou zaměstnanci však nepřísluší náhrada mzdy nebo platu. Zaměstnanci také podle zákona č. 94/2021 Sb. (pandemický zákon) hrozí finanční sankce.
Registrační systém na antigenní testování
- Během uplynulých týdnů bylo možné se v souvislosti s Covid-19 objednat na tzv. antigenní testování přítomnosti viru v těle. Na takové testování bylo a je nutné se předem objednat pomocí rezervačních systémů jednotlivých testovacích míst. Velké množství nemocnic využívá k registraci rezervační systém Reservatic, který je součástí centrálního státního rezervačního systému.
- Tento systém, provozovaný ostravskou společností Reservatic, však kromě vytvoření rezervace posílal některé získané osobní údaje společnostem jako je Seznam, Facebook či Google, které následně zacílí zobrazovanou reklamu. V současné době jsou již některé skripty odstraněny, ne ovšem plně.
- V souvislosti s tímto zjištěním byla zahájena kontrola Úřadem pro ochranu osobních údajů, která zahrnuje také prošetření rezervačního systému na očkování, jež dle zjištění obsahuje zásadní nedostatky a pochybení z hlediska ochrany osobních údajů.
- Dále je vhodné upozornit, že rezervační systémy velice často sbírají některé osobní údaje neoprávněně. Jedná se např. o rodné číslo, které je možné získávat až při dané návštěvě z kartičky pojištěnce či v případě antigenních testů bydliště a telefon. Tyto údaje testovací místo nepotřebuje, neboť výsledek se dozvíte okamžitě na místě.
Nedostatečné zabezpečení seznamu testovaných na COVID-19
Jedna z českých laboratoří nedostatečně zabezpečila osobní údaje žadatelů o test na COVID-19. Pouhým přepsáním adresního řádku mohl kdokoliv nahlížet na žádanku obsahující kromě jména, příjmení a adresy také další choulostivé údaje, jako je rodné číslo, číslo občanského průkazu a kontaktní údaje. Dle ÚOOÚ se jedná o jisté pochybení. Vedení laboratoře problém obratem začalo řešit.
SMS s aplikací eRouška
- V říjnu 2020 dostali tři největší operátoři v České republice pokyn od hygieničky Jarmily Rážové k rozeslání sedmi milionů SMS zpráv obsahující informaci ke stažení aplikace eRouška. Podle expertů na kyberbezpečnost je však zvolená forma zaslaného sdělení vysoce riziková, neboť hrozí možné zneužití hackery. Důvodem je skutečnost, že uvedená webová stránka na stažení aplikace není dostatečně zabezpečena protokolem HTTPS a je tedy velice snadné odkaz přesměrovat na nebezpečné servery.
- O2 zároveň sledoval, kdo z příjemců SMS na odkaz ve zprávě klikl, avšak účel tohoto sběru dat nevysvětlil.
Osobní údaje a koronavirus
- V současné koronavirové krizi se začaly sbírat nové osobní údaje. Dle ÚOOÚ je zaměstnavatel oprávněn zjišťovat teplotu zaměstnanců při vstupu na pracoviště, neboť takovéto monitorování je možné opřít o oprávněné zájmy zaměstnavatele. Měření teploty návštěvníků na sportovních či kulturních akcích však ÚOOÚ neschvaluje. Zároveň dle ÚOOÚ nemá zaměstnavatel právo zjišťovat o svých zaměstnanců informace o destinaci dovolené či navštívených akcích.
eRouška vs. zákon č. 110/2019 Sb.
- ÚOOÚ bude na žádost předsedy Rady vlády pro informační společnost Vladimíra Dzurilly ověřovat soulad projektu eRouška se zákonem č. 110/2019 Sb., o zpracování osobních údajů a obecným nařízením o ochraně osobních údajů.
Často kladené otázky k ochraně osobních údajů v rámci opatření proti šíření koronaviru
- ÚOOÚ průběžně na svých webových stránkách zveřejňuje často kladené otázky ke zpracování osobních údajů v rámci opatření proti šíření koronaviru: https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=6134&n=ke%2Dzpracovani%2Dosobnich%2Dudaju%2Dv%2Dramci%2Dopatreni%2Dproti%2Dsireni%2Dkoronaviru
Únik osobních údajů uživatelů Moje eZdravie
- Na Slovensku mohlo dojít k úniku osobních údajů až 390 tisíc uživatelů aplikace Moje eZdravie, kteří byli testování na přítomnost viru v souvislosti s Covid-19. Aplikace, která obsahuje formulář, pomocí kterého je možné požádat o vyšetření, je provozována státní příspěvkovou organizací Národné centrum zdravotníckych informácií (NCZI).
- NCZI použilo při vytváření aplikace nezabezpečené rozhraní, do kterého mohl kdokoliv vstoupit a zároveň nebylo zajištěno šifrování dat. Bezpečnostní společnost tedy získala veškeré osobní údaje testovaných osob – jméno, datum narození, adresu, klinické příznaky, informace o odběru s výsledkem testu.
Zpracování osobních údajů v rámci opatření proti šíření koronaviru
- Informace ke zpracování osobních údajů v rámci opatření proti šíření nakažlivé nemoci COVID-19 naleznete na webové stránce www.equica.cz/zpracovani-osobnich-udaju-v-ramci-opatreni-proti-sireni-koronaviru/.
- Shrnutí postoje ÚOOÚ k tématu na veřejném slyšení „Chytrá karanténa vs. bezpečnost osobních dat“, které se uskutečnilo v Senátu, je zveřejněno na webových stránkách ÚOOÚ https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=43029.
Termokamery u vstupu do škol
- V případě pořízení a umístění termokamer u vstupu do budovy školského zařízení se jedná o zpracování zvláštních kategorií osobních údajů, navíc údajů o dětech, proto je tedy nezbytné zajistit velmi dobrou ochranu / zabezpečení sbíraných dat. Zpracování těchto dat je zákonné – viz čl. 9, odst. 2, písm. i) Nařízení GDPR: zpracování je nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče a léčivých přípravků nebo zdravotnických prostředků, na základě práva Unie nebo členského státu, které stanoví odpovídající a zvláštní opatření pro zajištění práv a svobod subjektu údajů, zejména služebního tajemství.
- Prostřednictvím termokamer lze tedy měřit teplotu osob vstupujících do budovy školy a ukládat tyto záznamy, je však nutné:
- Všechny subjekty údajů (žáky, zákonné zástupce, zaměstnance školy, návštěvníky školy) o tomto informovat (např. na webových stránkách, v IS Bakaláři, na ceduli před vstupem do budovy atd.).
- Kamerové sledování nesmí nadměrně zasahovat do soukromí (šatny, toalety, sprchy, ale ani třídy atd.).
- Stanovit lhůtu pro uchovávání záznamů z pohledu ochrany osobních údajů a následně provést výmaz záznamu (i ze záloh).
- Je třeba řádně zajistit ochranu snímacích zařízení, přenosových cest a datových nosičů, na nichž jsou uloženy záznamy, před neoprávněným nebo nahodilým přístupem, změnou, zničením či ztrátou nebo jiným neoprávněným zpracováním. Interní postupy a pravidla pro provoz kamerového systému a nakládání se záznamy je vhodné upravit písemně, včetně jednoznačné definice přístupových oprávnění (kdo za jakých podmínek je může vidět).
- O provozu kamerového systému musí být veden Záznam o činnosti zpracování.
Zpracování zvláštní kategorie osobních údajů pří šíření nakažlivé nemoci
- V současné mimořádné situaci při šíření koronaviru, s přihlédnutím ke všem mimořádným opatřením vlády a jiných ústředních orgánů České republiky, dochází ve většině případů ke zpracování zvláštní kategorie osobních údajů, které je nutné chránit nad obecný rámec. Jedná se zejména o údaje o zdravotním stavu, včetně onemocnění nakažlivou chorobou (v tomto případě nemocí COVID-19). Zpracování těchto osobních údajů je založené na právních předpisech v oblasti veřejného zdraví za účelem ochrany před vážnými zdravotními hrozbami.
- Tato ochrana je právními předpisy uložena orgánům ochrany veřejného zdraví, kterými jsou typicky krajské hygienické stanice, Ministerstvo zdravotnictví ČR, Ministerstvo vnitra ČR a Ministerstvo obrany ČR. Tyto orgány ochrany veřejného zdraví jsou ke zpracování osobních údajů oprávněny v rozsahu a za účelem stanoveným zákonem č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů.
- Zákon o ochraně veřejného zdraví umožňuje příslušným orgánům České republiky přijímat opatření k tomu, aby se zabránilo šíření nakažlivé nemoci – takovými oprávněními mohou být např. i sběr dat a informací, nebo informování obyvatel České republiky prostřednictvím mobilních komunikačních sítí ve spolupráci s operátory těchto sítí.
- Stanovenými opatřeními jsou povinny se řídit veřejné i soukromé subjekty, tj. veřejné i soukromé subjekty musí plně dodržovat veškeré platné předpisy včetně aktuálních mimořádných opatření vlády ČR a dalších ústředních orgánů, a pouze v takto stanovených mezích případně i zpracovávat / předávat osobní údaje.
- Osobní údaje osob, které byly dle výše uvedeného titulu platně získány v době šíření nakažlivé nemoci, nelze v budoucnu použít za jiným účelem, aniž by tento účel byl podložený jiným platným právním titulem (kontaktní údaje osob a jejich blízkých získané pro účely mimořádných opatření v době šíření nakažlivé nemoci nelze automaticky zařadit do obecných databází pro zasílání nezbytně nutných sdělení v současnosti či obchodních sdělení v budoucnosti).
Anonymita sdělování informací o pozitivním výsledku testování na COVID-19
- Dle zákona o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů (zákon č. 258/2000 Sb.) jsou k získávání a zpracování osobních údajů v souvislosti s šířením nakažlivé nemoci oprávněny orgány ochrany veřejného zdraví, tj. takové zpracování osobních údajů může probíhat pouze na základě jejich pokynů.
- S ohledem na ochranu osobních údajů by se veřejné orgány měly snažit zpracovávat osobní údaje pro sledování, zvládání a tlumení šíření nakažlivé nemoci anonymizovaným způsobem, tj. zpracovávat údaje agregované tak, aby nebylo možno jednotlivce zpětně identifikovat. Pravidla ochrany osobních údajů se totiž nevztahují na řádně anonymizovaná data.
- Anonymita sdělování informací o pozitivním výsledku testování na COVID-19 je považována za vysoce žádoucí a důsledně na ni dbají i státní orgány ČR. Podmínky pro její zachování nejsou však na základě výzev některých subjektů (např. výboru společenství vlastníků bytů) vytvořeny, a proto státní orgány zveřejňují pouze anonymizované údaje.
Stanovisko Evropského sboru pro ochranu osobních údajů ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19
- Evropský sbor pro ochranu osobních údajů vydal v březnu 2020 stanovisko ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19: monitorování výskytu a šíření koronavirové nákazy za pomoci moderních technologií je v zájmu lidstva. Ve vydaném stanovisku je řešena:
- Zákonnost zpracování – obecné nařízení umožňuje příslušným orgánům veřejného zdraví a zaměstnavatelům zpracovat osobní údaje v souvislosti s epidemií, a to v souladu s národním právem a za podmínek v něm stanovených.
- Klíčové zásady zpracování osobních údajů – osobní údaje nezbytné pro dosažení sledovaných cílů by měly být zpracovány pro konkrétní a výslovně stanovené účely.
- Užití mobilních dat o poloze – jsou-li zavedena opatření dovolující zpracovávat údaje o poloze v neanonymizované podobě, je členský stát povinen uplatnit odpovídající záruky, jakým je poskytnutí práva nápravy soudní cestou uživatelům služeb elektronických komunikací.
- Oblast zaměstnávání – zaměstnavatel by měl požadovat zdravotní informace jen v rozsahu povoleném národním právem.
- Evropský sbor pro ochranu osobních údajů také ale zdůrazňuje, že i v této mimořádné době musí správci a zpracovatelé zajistit ochranu osobních dat subjektů údajů, tj. musí být všestranně zohledněny záruky zákonného zpracování osobních údajů a ve všech případech by mělo být pamatováno na skutečnost, že jakékoliv opatření v dané souvislosti musí respektovat obecné zákonné zásady a nesmí být nevratné. „Stav nouze je okolnost, která může legitimizovat omezení svobod ovšem jen za předpokladu, že tyto restrikce budou úměrné a omezené jen na dobu nouze.“
- Úřad pro ochranu osobních údajů na svých webových stránkách zveřejnil vlastní (neoficiální) překlad stanoviska Evropského sboru pro ochranu osobních údajů ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=40769.
Měření teploty při vstupu na pracoviště v době koronavirové pandemie
- Zákoník práce (zákon č. 262/2006 Sb., § 101 a § 102) upravuje problematiku předcházení ohrožení života a zdraví při práci a ukládá zaměstnavateli povinnost vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímáním opatření k předcházení rizikům. Tato povinnost se vztahuje na všechny fyzické osoby, které se s jeho vědomím zdržují na jeho pracovištích.
- Měření a zpracování tělesné teploty zaměstnance není výslovnou právní povinností, lze ho však s přihlédnutím k nutným hygienickým a protiinfekčním opatřením považovat za oprávněný zájem zaměstnavatele ve smyslu článku 6 odst. 1 písm. f) ve spojení s článkem 9 odst. 2 písm. b) Nařízení GDPR, který umožňuje zpracování údaje vypovídajícího o zdravotním stavu pro výkon zvláštních práv v oblasti pracovního práva, a napomůže zaměstnavateli dostát svým povinnostem při předcházení ohrožení zdraví ve stávajících výjimečných podmínkách, včetně kontaktování zdravotníků či hygieniků.
- Režim zpracování osobních údajů a působnost pravidel jejich ochrany nastává, pokud zaměstnavatel hodlá zaznamenávat prováděná měření a dále pracovat s údaji o zvýšené tělesné teplotě ve spojení s dalšími údaji umožňujícími identifikaci osoby, které byla tělesná teplota změřena.
Nové pokyny Evropského sboru pro ochranu osobních údajů v souvislosti s COVID-19
- Evropský sbor pro ochranu osobních údajů schválil dva nové dokumenty – pokyny týkající se zpracování a ochrany osobních údajů v čase koronavirové pandemie (COVID-19):
- Pokyny 03/2020 ke zpracování údajů o zdravotním stavu pro účely vědeckého výzkumu v souvislosti s rozšířením onemocnění COVID-19
- Pokyny 04/2020 k používání lokalizačních údajů a nástrojů k vysledování kontaktů v souvislosti s rozšířením onemocnění COVID-19
- Pokyny jsou zveřejněny na webové stránce ÚOOÚ: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=41930, český překlad pokynů je zveřejněn na webové stránce: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=42602.