Mnohé firmy v týchto dňoch intenzívne riešia, ako správne spracúvať údaje týkajúce sa zdravia svojich zamestnancov. Prinášame vám podrobný prehľad o tom, ako by mal zamestnávateľ pristupovať k informáciám o zdravotnom stave zamestnanca bez toho, aby porušil právne predpisy. 

Pandémia COVID-19 priniesla zamestnávateľom nové výzvy týkajúce sa ochrany osobných údajov zamestnancov. Na jednej strane existuje prirodzená potreba chrániť zamestnancov voči riziku nákazy, na druhej strane stojí relatívne striktná právna regulácia spracúvania osobných údajov.

Medzi údaje o zamestnancoch, ktoré zamestnávateľ spracúva v súvislosti s COVID-19, môžu patriť:

  • údaje týkajúce sa práceneschopnosti zamestnanca v kontexte nákazy COVID-19,
  • údaje indikujúce pobyt zamestnanca v  oblastiach označených ako vysoko rizikové z pohľadu možnej nákazy vírusom,
  • údaje ohľadom možného kontaktu s osobou s podozrením na nákazu COVID-19,
  • údaje získavané v súvislosti s meraním telesnej teploty pri vstupe do priestorov zamestnávateľa.

Nakoľko sa jedná o informácie, ktoré sa týkajú konkrétneho zamestnanca, musia byť posudzované v zmysle GDPR ako osobné údaje. Zároveň tieto údaje majú potenciálnu väzbu na zdravotný stav zamestnanca, a preto ich možno radiť medzi  údaje týkajúce sa zdravia príslušnej dotknutej osoby.

Ako zákonne spracúvať údaje týkajúce sa zdravia zamestnanca

Údaje týkajúce sa zdravia patria medzi tzv. osobitnú kategóriu osobných údajov. GDPR ustanovuje všeobecný zákaz pre spracúvanie osobitných kategórií osobných údajov, zároveň však obsahuje aj katalóg výnimiek, v ktorých je možné spracúvať túto kategóriu.

Aby spracúvanie údajov týkajúcich sa zdravia zamestnanca mohlo byť považované za zákonné, musí zamestnávateľ:

  • definovať účel spracúvania osobných údajov,
  • zvoliť vhodný právny základ pre ich spracúvanie a
  • naplniť niektorú z výnimiek pre spracúvanie osobitných kategórií osobných údajov.

Právny základ spracúvania údajov o zdravotnom stave

Právne základy aplikovateľné pre spracúvanie údajov týkajúcich sa zdravia by mohli byť z pohľadu ich vhodnosti zoradené nasledovne:

  • splnenie zákonnej povinnosti zamestnávateľa (napr. ochrana zdravia a bezpečnosti pri práci),
  • plnenie úlohy realizovanej vo verejnom záujme (napr. boj proti šíreniu nákazlivých chorôb),
  • ochrana životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby,
  • realizácia oprávneného záujmu zamestnávateľa,
  • súhlas dotknutej osoby.

Samotné GDPR v recitáloch uvádza, že sa nevyžaduje, aby pre každé jednotlivé spracúvanie existoval osobitný právny predpis. Považujeme teda za dostačujúce, ak takéto spracúvanie osobitnej kategórie vyplýva zo zákonných povinností alebo z plnenia úloh vo verejnom záujme, ktoré zamestnávateľ v kontexte boja proti šíreniu COVID-19 plní. GDPR tiež nevyžaduje, aby takéto „zmocnenie“ vyplývalo zo zákona – môže sa teda jednať aj o podzákonné právne predpisy.

Aj keď sa v GDPR odkazuje na právny základ alebo legislatívne opatrenie, nemusí sa tým nevyhnutne vyžadovať legislatívny akt prijatý príslušným parlamentom bez toho, aby boli dotknuté požiadavky vyplývajúce z ústavného poriadku dotknutého členského štátu.

Podľa nášho názoru, úlohy vo verejnom záujme môže realizovať aj súkromno-právny subjekt, nakoľko takúto možnosť pripúšťa aj samotné GDPR priamo vo svojich recitáloch.

Využitie oprávneného záujmu alebo verejného záujmu ako právneho základu pre spracúvanie uvedených osobných údajov so sebou prináša nutnosť vykonania tzv. balančného testu. Dôvodom je, že oba právne základy umožňujú spracúvať osobné údaje iba spôsobom a v rozsahu, v ktorom prevažujú nad záujmami, právami a slobodami dotknutých osôb. Správne vykonanie balančného testu patrí z pohľadu GDPR medzi náročnejšie úlohy.

Súhlas ako právny základ pre spracúvanie uvedených osobných údajov môže byť považovaný za platne udelený len v prípade, ak boli dotknuté osoby vopred riadne informované o zamýšľanom spracúvaní a ak udelenie tohto súhlasu, najmä u zamestnancov, mohlo byť v kontexte všetkých okolností považované za dobrovoľné. Z uvedeného dôvodu je potrebné využitie tohto právneho základu u zamestnancov vždy dôsledne zvážiť.

Informačné povinnosti zamestnávateľa

Aktuálna situácia ohľadom COVID-19 nemá žiadny vplyv na povinnosť zamestnávateľa ako prevádzkovateľa informovať dotknuté osoby o spracúvaní ich osobných údajov na účely súvisiace s bojom proti COVID-19. Zamestnávateľ si teda musí splniť informačnú povinnosť rovnako, ako pri akomkoľvek inom spracúvaní osobných údajov.

Na druhej strane, GDPR nevyžaduje, aby zamestnávateľ v rámci informačnej povinnosti uviedol aj skutočnosť, akým spôsobom sa vysporiadal s výnimkami týkajúcimi sa všeobecného zákazu spracúvania osobitných kategórií osobných údajov.

Práva dotknutých osôb

Aktuálna situácia ohľadom COVID-19 žiadnym spôsobom neobmedzuje možnosti dotknutých osôb uplatňovať si svoje práva v zmysle GDPR. Zamestnávatelia ako prevádzkovatelia podľa GDPR by teda mali byť pripravení aj na žiadosti zamestnancov o informácie týkajúce sa spracúvania osobných údajov zamestnávateľom na účely súvisiace s bojom proti šíreniu COVID-19.

Ak vás zaujíma, aké výnimky možno aplikovať pri spracúvaní osobných údajov, čo by sa zamestnávateľ nemal pýtať zamestnanca a aké pravidlá platia pri meraní teploty zamestnancov, prečítajte si článok GDPR pre zamestnávateľov počas pandémie COVID-19 v praxi.

Autor článku

Martin Konvit, konzultant na oddelení poradenstva

V prípade, ak máte akékoľvek otázky k tejto téme, neváhajte ma kontaktovať – Martin Konvit, konzultant na oddelení poradenstva.

Spojte sa s nami