trikolora

Je shromažďování osobních údajů o zaměstnancích ze zdravotních důvodů (onemocnění COVID-19) zaměstnavateli na základě nařízení vlády či MZ z hlediska GDPR možné a povolené?

GDPR v čl. 6 stanovuje, že zpracování (tzn. i uchovávání) osobních údajů je zákonné, jestliže je nezbytné pro splnění právní povinnosti, která se na správce, resp. společnost vztahuje. Takovou právní povinnost zavádí zákoník práce ve spojitosti s mimořádnými opatřeními ministerstva zdravotnictví v souvislosti s testováním na COVID-19 na pracovištích. To znamená, že shromažďování informací o testování na COVID-19 na pracovištích je v souladu s platnou právní úpravou.

 

Doba pro uchování evidence testování v souvislosti s COVID-19 nebyla v rámci mimořádných opatření stanovena. Stanovisko ÚOOÚ předpokládá celou dobu trvání mimořádného opatření jako minimální dobu uchovávání údajů, každopádně s ohledem na povinnosti, které jsou upraveny právními předpisy uvedenými výše, se jeví jako maximální doba uchování osobních údajů v souvislosti s testováním na COVID-19 tři roky od doby jejich pořízení. Tato doba se váže na nutnost prokázání plnění uložených povinností vůči orgánům ochrany veřejného zdraví, které jsou nadány kontrolou plnění uloženého opatření správcem, pokud nebude zjištěno nebo dodatečně stanoveno, že pro uvedené účely postačuje doba kratší. 

 

Zaměstnavatelům, dle ustanovení § 10 odst. 2 písm. c) zákona o mimořádných opatřeních při epidemii onemocnění COVID-19, mohou orgány ochrany veřejného zdraví za neplnění příkazu testovat zaměstnance a jiné pracovníky uložit sankci do výše 500 000 Kč. Uplatní se tedy ustanovení § 30 písm. b) zákona č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich, který stanoví promlčecí dobu u daného přestupku tři roky. 

 

Je však stále dobré připomenout, že záznamy o provedení testů a jakékoliv dále s tím související údaje by měly být minimalizovány na nezbytné minimum, tzn. na údaje, které budou v případě kontroly vyžadovány hygienickou stanicí, pojišťovnou či jiným orgánem, tzn. pouze základní identifikační údaje zaměstnance sloužící k identifikaci daného zaměstnance (jméno, příjmení, datum narození, které je možno nahradit identifikátorem, který zaměstnanci přidělil zaměstnavatel), údaje o přesném čase provedení testu a výsledek testu na nákazu COVID-19.

 

Mimořádná opatření (MZDR 47828/2020-22/MIN/KAN a MZDR č. j.: MZDR 14592/2021-2/MIN/KAN, MZDR 47828/2020-27/MIN/KAN), která nařizují testování zaměstnanců a vedení evidence provedených testů zaměstnanců, jsou zrušena.

 

Zaměstnavatel by tedy měl primárně při kontrole požadovat pouze předložení certifikátu/testu. Při kontrole a příp. uchovávání informací také musí dodržovat zásadu minimalizace dle čl. 5 Nařízení GDPR a zpracovávat pouze nezbytný nutný obsah osobních údajů, např.:

 

Zaměstnavatel se také může pro případ kontroly odkazovat na Očkovací portál občana, kde jsou certifikáty evidovány.

 

12. 08. 2021

 

Nenašli jste co hledáte? Zeptejte se nás.

Zeptejte se

Partneři projektu

potravinarska-komora-logo
peyton-legal-logo
smartly-logo
babacek-logo