GDPR Academy

GDPR Academy
Blog / Od

Zamestnávateľ a spracúvanie výsledkov COVID testov

Ak ste zamestnávateľom a týka sa vás povinnosť spracúvania negatívnych Covid testov, dnes si povieme, čo spraviť, aby ste pri tom neporušovali GDPR a zároveň nemuseli dlho hľadať v nariadení. Poďme na to.

Od 1. septembra majú prevádzkovatelia – aj zamestnávatelia novú povinnosť. Táto im vyplýva z opatrení úradu verejného zdravotníctva. Podľa nich je každý zamestnávateľ povinný pri vstupe na pracovisko vyžadovať od pracovníkov preukázanie splnenia povinnosti absolvovať izoláciu v domácom prostredí. A to:

  • ukončenú negatívnym výsledkom RT-PCR testu na ochorenie COVID-19,
  • alebo potvrdením o prekročení štátnej hranice Slovenka.

Pokiaľ sa pracovník nie je schopný uvedeným preukázať, je zamestnávateľ povinný to oznámiť príslušnému regionálnemu úradu verejného zdravotníctva a odoprieť tejto osobe vstup.

Povinnosť preukazovania sa, sa netýka všetkých pracovníkov. Iba tých, o ktorých má prevádzkovateľ vedomosť alebo podozrenie, že sa vrátili z tzv. rizikových krajín.

Oboznámenie pracovníkov

Ak chcete ako zamestnávateľ uvedené požiadavky plniť, v prvom rade musíte mať vôbec informáciu o tom, že váš pracovník navštívil krajinu, ktorá je považovaná za zdravotne rizikovú. Predpokladá sa, že vyviniete všetku náležitú snahu o zistenie skutočnosti, že pracovníkovi takáto povinnosť vznikla.

Odporúča sa preto, oznámiť pracovníkom, že sú povinný vás informovať o tom, že navštívili takúto krajinu alebo, že ju plánujú navštíviť. Napríklad na pracovnej porade , vyvesením dokumentu na nástenke, prostredníctvom ktorej oznamujete pracovníkom dôležité informácie, alebo samostatných interným predpisom.

Vymedzenie osobných údajov

Z pohľadu osobných údajov tak máme novú situáciu, ktorej súčasťou je aj spracúvanie osobných údajov. Dokonca osobitnej kategórie osobných údajov, keďže v podmienkach zamestnávateľov pribudnú osobné údaje v rozsahu negatívnych testov (údaje týkajúce sa zdravia).

Okruh dotknutých je vymedzený na vašich “pracovníkov”. Nemáte preto oprávnenie na spracúvanie osobných údajov osôb, ktoré s ním žijú v jednej domácnosti.  Napríklad, keď by ste vyžadovali negatívny test od manžela vašej zamestnankyne.

V súvislosti s navštívenou krajinou, taktiež nie ste oprávnený vyžadovať od pracovníkov, aby vás informovali o presnom názve krajiny, ktorú navštívili alebo o presnom mieste kde povedzme trávili dovolenku alebo boli ubytovaní. Bolo by to v rozpore so zásadou minimalizácie spracúvaných osobných údajov. Zostaňte preto len v rovine všeobecnej informácie o tom, či pracovník navštívil krajinu, ktorá sa nenachádza v zozname menej rizikových krajín.

Právny základ spracúvania

Samozrejme pri každom spracúvaní osobných údajov je nevyhnutné aby ste disponovali právnym základom. Vyplýva to zo zásady zákonnosti spracúvania. Môžete tak uviesť čl. 6 ods. 1 písm. c) všeobecného nariadenia o ochrane údajov, keďže je toto spracúvanie osobných údajov vašou zákonnou povinnosťou, a to v súvislosti so zákonom:

  • č. 124/2006 Z. z., ktorým je zákon o bezpečnosti a ochrane zdravia pri práci, podľa ktorého ste ako zamestnávateľ povinný uplatňovať všeobecné zásady prevencie pri vykonávaní opatrení nevyhnutných na zaistenie bezpečnosti a ochrany zdravia pri práci
  • alebo zákonom č. 355/2007 Z. z.  o ochrane, podpore a rozvoji verejného zdravia, podľa ktorého ste povinný prijímať opatrenia na predchádzanie vzniku a šírenia prenosných ochorení.

V súvislosti so spracúvaním osobitnej kategórie osobných údajov – v tomto prípade údajov, ktoré sa týkajú zdravia, opriete spracúvanie o príslušnú výnimku z článku 9 ods. 2 všeobecného nariadenia. 

Povinnosť informovania pracovníkov

A prečo sa venujeme takto podrobne zákonom a právnym základom? Získavate totiž osobné údaje, ste v pozícii prevádzkovateľa – teda nesiete prioritnú zodpovednosť za zákonné spracúvanie údajov. Musíte preto plniť informačnú povinnosť voči pracovníkom. Keďže osobné údaje získavate priamo od dotknutých osôb, pri informačnej povinnosti postupujete podľa čl. 13 všeobecného nariadenia. 

Áno, existuje výnimka, kedy nemusíte pracovníkov informovať o tom, ako budú ich údaje spracúvané. Táto však platí iba vtedy, keď dotknutej osobe už boli informácie poskytnuté. Toto však musíte vedieť preukázať, čo môže byť problém. Práve z tohto dôvodu sa táto výnimka v praxi príliš neuplatňuje. 

Takže späť k informačnej povinnosti. Pracovníkovi oznámte napríklad: váš názov a kontaktné údaje, účel spracúvania a príjemcu. Ním môže byť príslušný regionálny úrad verejného zdravotníctva. Ďalej, dobu uchovávania. Pri nastavovaní obdobia, počas ktorého budete tieto údaje spracúvať majte na pamäti zásadu minimalizácie uchovávania. Dlhodobé uchovávanie, napríklad počas celého trvania pracovného pomeru by určite nebolo správne.

Ďalej poskytnite pracovníkovi informácie o tom, aké má práva. Že má aj právo podať sťažnosť na náš kontrolný úrad, ktorým je úrad na ochranu osobných údajov. 

Túto informačnú povinnosť si môžete zakomponovať priamo do toho dokumentu, ktorý ste vyvesili na nástenke, a prostredníctvom ktorého ste pracovníkom oznámili povinnosť predkladania negatívnych testov alebo potvrdení o prekročení štátnej hranice. Nezabudnite, že informácia o spracúvaní osobných údajov by  mala byť jednoduchá, dostupná a zrozumiteľná. Pamätajte na to, keď si budete túto informáciu do dokumentu dopĺňať. 

Aby bola vaša dokumentácia stále aktuálna

Nezabudnite ani na vašu povinnú dokumentáciu. Otvorte si napríklad záznam o spracovateľskej činnosti (podľa čl. 30 všeobecného nariadenia). Túto novú činnosť spracúvania si do neho jednoducho doplňte. U našich klientov sa nám sa osvedčil samostatný záznam, ktorý máme zameraný na tzv. mimoriadne udalosti.  Ide akoby súbor činností v  mimoriadnych situáciách, ktoré v podmienkach každej organizácie môžu nastať. Pre lepšiu predstavivosť, jeho súčasťou je aj spracovanie kontaktných údajov blízkej osoby pre informovanie v  prípade núdze – napríklad pri úraze alebo nehode zamestnanca.

A ak máte aj riadne vypracovanú bezpečnostnú smernicu, ktorou oboznamujete vaše oprávnené osoby, potom si nové spracúvanie osobných údajov doplňte aj do nej. Ako prevádzkovateľ ste totiž zodpovedný za to, že vaše oprávnené osoby spracúvajú osobné údaje len na základe vašich pokynov.

S GDPR vám radi pomôžeme

Toto je len malá časť toho, čo môžete spraviť, aby spracúvanie osobných údajov u vás prebiehalo naozaj v súlade so zákonom.

Ak vo vašej firme riešite aj iné, konkrétne situácie, a potrebujete dobre poznať, ako spracúvať osobné údaje bezpečne a bez chybičiek, prihláste sa do online kurzu “GDPR pre firmy a organizácie”. Ochutnávku celej prvej lekcie máte v nej úplne zdarma. A už za pár dní dokážete s prehľadom a úplne sami zvládať aj náročnejšie situácie v spracúvaní osobných údajov.

GDPR Academy - kurz

A ak sa časom rozhodnete, že chcete pre vašu firmu niekoho, kto vám bude pomáhať s ochranou osobných údajov, obráťte sa na nás a pustíme sa do toho spoločne. 

Potrebujete poradiť? Pomôžeme vám.

Lebo spracúvať osobné údaje a nepoznať GDPR, je ako šoférovať auto v hmle, bez svetiel a bez papierov. Neriskujte.

Scroll to Top

Odoslané

Vašu požiadavku spracujeme, a pokúsime sa Vám odpovedať čo najskôr.

Rozumiem