Čekejte, prosím...
A A A
[Právní rozhledy 8/2021, s. IIpc]
ÚOOÚ: Rozšířené vyjádření k povinnému testování zaměstnanců

Úřad pro ochranu osobních údajů rozšířil dne 26. 3. 2021 své vyjádření z 5. 3. 2021 k povinnosti zaměstnavatelů testovat zaměstnance na přítomnost viru SARS-CoV-2 na základě mimořádných opatření Ministerstva zdravotnictví (č. j. MZDR 47828/2020-16/MIN/KAN, MZDR 9364/2021-1/MIN/KAN, MZDR 47828/2020-22/MIN/KAN, MZDR 47828/2020-26/MIN/KAN, MZDR 47828/2020-25/MIN/KAN), z nichž vyplývá povinnost zaměstnavatele vést evidenci, která obsahuje zvláštní kategorii osobních údajů – o výsledku testování na přítomnost viru SARS-CoV-2.

ÚOOÚ připomenul, že stanovení konkrétního rozsahu evidovaných osobních údajů či doby jejich uchování není v jeho působnosti a je na každém zaměstnavateli přizpůsobit zpracování osobních údajů v evidenci testování svým podmínkám a rozsahu své činnosti. Nově přitom konstatoval, že zaměstnanec je i v průběhu testování slabší stranou pracovněprávního vztahu; nemá jinou možnost než dané opatření strpět, přičemž s ním musí být zacházeno nanejvýš ohleduplným a šetrným způsobem, s respektem nejen k ochraně osobních údajů, ale celkově k jeho soukromí a lidské důstojnosti. Za zaměstnance jsou považovány i další osoby pracující na pracovišti zaměstnavatele (dočasně přidělení zaměstnanci agentury práce a další osoby, které vykonávají práce nebo obdobné činnosti spolu se zaměstnanci zaměstnavatele).

Pokud jde o vlastní rozsah evidovaných osobních údajů, ÚOOÚ uvedl, že vlastní záznamy o provedení testů u zaměstnanců mohou obsahovat pouze základní identifikační údaje zaměstnance sloužící k jeho identifikaci (jméno, příjmení a datum narození, které je možno nahradit identifikátorem, jejž zaměstnanci přidělil zaměstnavatel), údaje o čase provedení testu (u většiny zaměstnavatelů postačí datum provedení testu, ve specifických provozech může být evidován i přesný čas) a výsledek testu na přítomnost viru SARS-CoV-2, a to v mezích oprávněných požadavků příslušných orgánů. Stejné omezení rozsahu pouze na nezbytné osobní údaje platí i pro případné dokumenty prokazující výjimku z povinného testování zaměstnance (kromě identifikačních údajů zaměstnance dále důvod výjimky z testování, jako je prodělání infekce COVID-19 ve lhůtě do 90 dní před provedením testu, provedení očkování, home office bez přítomnosti na pracovišti, pracovní neschopnost). Doba pro uchování evidence testování nebyla v rámci mimořádných opatření stanovena, avšak s ohledem na povinnosti, které jsou upraveny jinými právními předpisy, jeví se podle ÚOOÚ jako maximální doba uchování osobních údajů v evidenci testování tři roky od doby jejich pořízení. Tato doba se váže na nutnost prokázání plnění uložených povinností vůči orgánům ochrany veřejného zdraví, které jsou nadány kontrolou plnění uloženého opatření správcem, pokud nebude zjištěno, že pro uvedené účely postačuje doba kratší. Zaměstnavatelům, dle § 10 odst. 2 písm. c) zákona o mimořádných opatřenich při epidemii onemocnění COVID-19, mohou orgány ochrany veřejného zdraví uložit za neplnění příkazu testovat zaměstnance a jiné pracovníky sankci do výše 500 000 Kč. Uplatní se tedy § 30 písm. b) PřesZ, který stanoví promlčecí dobu u daného přestupku tři roky. K záznamům v evidenci testování vedené za účelem plnění dalších právních předpisů, např. z důvodů eventuální daňové uznatelnosti, není nutno uchovávat osobní údaje zaměstnanců.

V souvislosti se zpracováním osobních údajů ÚOOÚ upozornil na povinnosti správce vyplývající přímo z GDPR, zejména: a) poskytnout subjektům údajů konkrétní informace o zpracování osobních údajů související s testováním (účel/y a právní důvod/y zpracování, rozsah zpracovávaných údajů, doba uchování atd.), b) vést záznamy o činnostech zpracování podle čl. 30 GDPR, c) zajistit, aby osobní údaje byly zpracovávány s odpovídající ochranou soukromí; každý ze zaměstnavatelů musí s přihlédnutím ke svým možnostem přijmout technická a organizační opatření, aby osobní údaje řádně zabezpečil před možnou ztrátou, neoprávněným zpřístupněním nebo nepovolenými úpravami. Komplexní posouzení rizika a výběr opatření závisí na správci. Součástí povinnosti správce řídit rizika je i provedení posouzení vlivu (DPIA), pokud dojde k závěru, že je to nutné.