GDPR Academy

Zamestnávateľ a kontrola negatívnych certifikátov pri vstupe

Od pondelka 2. novembra 2020 zamestnávatelia požadujú od vstupujúcich zamestnancov certifikát o negatívnom výsledku z celoplošného testovania. Túto povinnosť ukladá organizáciám vyhláška Úradu verejného zdravotníctva Slovenskej republiky, ktorou sa nariaďujú opatrenia pri ohrození verejného zdravia k režimu vstupu osôb do priestorov prevádzok a priestorov zamestnávateľa. Režim vstupu zamestnancov na pracoviská a do iných priestorov zamestnávateľa je upravený v §2 vyhlášky. Podľa tohto je  zamestnávateľ za účelom overenia, či sa na zamestnanca nevzťahuje zákaz vstupu, od neho oprávnený požadovať predloženie príslušného dokladu. Týmto je napríklad certifikát s negatívnym výsledkom z celoplošného testovania, potvrdenie o negatívnom výsledku RT-PCR testu alebo potvrdenie o výnimke od poskytovateľa zdravotnej starostlivosti. Do certifikátov, alebo dokladov ktoré preukazujú výnimku, je zamestnávateľ oprávnený iba nahliadnuť. To znamená, že zamestnávateľ osobné údaje z týchto dokumentov nikde nezaznamenáva, ani neuchováva.

Stanovisko úradu

Úrad na ochranu osobných údajov na svojich stránkach však  v piatok zverejnil nasledujúcu správu: 

“Úradu bol pracovný návrh vyhlášky, ktorej vypracovanie ukladá uznesenie vlády 693/2020 v bode C.1 doručený. Úrad vykonal právnu analýzu s ohľadom na ochranu osobných údajov, ktorú zaslal UVZ SR. Na základe tejto analýzy dospel k tomu, že ustanovenia zákona č. 355/2007 Z. z., ktoré má vyhláška vykonávať, táto v navrhovanom znení nereflektuje. S ohľadom na uvedené úrad nateraz zotrváva na svojom stanovisku z 29/10/2020 „Uznesenia vlády č. 678, aj 693, z pohľadu ochrany osobných údajov, nepovažujeme k dnešnému dňu za dostatočný právny základ na spracúvanie údajov týkajúcich sa zdravia.“.

Zamestnávatelia tak ostali naozaj v nezávideniahodnej pozícii. Na jednej strane Úrad verejného zdravotníctva SR so svojimi opatreniami a na strane druhej Úrad na ochranu osobných údajov SR s postojom, že spracúvanie osobných údajov zamestnávateľmi nemá právny základ a tým je vlastne nezákonné. Popri tom všetkom aj veľká časová tieseň, keďže vyhláška bola zverejnená v piatok a už od pondelka je potrebné sa ňou riadiť.

Kontrolovať alebo nekontrolovať?

Od piatku sme si tak kládli otázku, či Úrad verejného zdravotníctva SR zapracoval pripomienky Úradu na ochranu osobných údajov SR, keďže tento sa na svojom webe vyjadroval len k pracovnému návrhu vyhlášky. Z nádejou sme tak dúfali, že dôjde k zverejneniu jednoznačného usmernenia, ktoré vnesie svetlo do tejto situácie… Žiaľ, zatiaľ k tomu nedošlo.

Keďže zastávame aj funkciu poverenej zodpovednej osoby, naši klienti sa na nás oprávnene obracali s otázkou, ako postupovať. Kontrolovať, či radšej nekontrolovať negatívne certifikáty z pohľadu ochrany osobných údajov?

Základná otázka ako východisko

Aby sme dodržiavali dôležité opatrenia Úradu verejného zdravotníctva SR a zároveň aj zásady spracúvania osobných údajov (či už sú tieto určené všeobecným nariadením o ochrane údajov alebo našim zákonom o ochrane osobných údajov), položili sme si základnú otázku, a síce, či budú zamestnávatelia plnením opatrenia spracúvať osobné údaje. Odpoveďou je, nie nebudú. Samotné nahliadnutie do dokumentov, ktoré osobné údaje obsahujú nie je považované za spracúvanie osobných údajov.

Spracúvanie osobných údajov v pôsobnosti nariadenia

Keďže sa vždy chceme pridŕžať jasných faktov,  ako príklad podobnej situácie nám môže poslúžiť vyjadrenie nášho kontrolného úradu –  Úradu na ochranu osobných údajov SR, a to v otázke overovania veku pri vstupe do obchodných prevádzok, ktoré je vykonávané nahliadnutím do občianskeho preukazu vstupujúcej osoby: “K oprávnenosti žiadať občiansky preukaz od fyzických osôb pri vstupe do prevádzok na overenie dodržiavania vyššie citovaného opatrenia, sme toho názoru, že obchodné prevádzky vykonávajú kontrolu veku  prostredníctvom fyzického preukázania dokladu s dátumom narodenia, čo nie je automatizovaným spracúvaním osobných údajov. Po takejto kontrole veku nenasleduje žiadna registrácia, dokumentácia alebo iné spracúvanie osobných údajov o osobách vstupujúcich do predajní, preto takáto kontrola v zásade nepodliehala rozsahu pôsobnosti všeobecného nariadenia o ochrane údajov…”

Podobne sa vyjadril aj český úrad na ochranu osobných údajov, a to v súvislosti s meraním teploty zamestnancom:  „Pokud není naměřená teplota zaznamenána ve spojení se jménem nebo jinými údaji umožňujícími identifikaci dané osoby, nejde o zpracování osobních údajů ve věcné působnosti obecného nařízení o ochraně osobních údajů (GDPR),“ vysvětlil vedoucí oddělení konzultací Ladislav Hejlík…”

Ak teda nahliadnutie do dokladov s cieľom overenia skutočnosti nie je považované za spracúvanie osobných údajov, z pohľadu pôsobnosti všeobecného nariadenia o ochrane údajov (GDPR), potom obyčajné nahliadnutie do certifikátu s negatívnym výsledkom bude hodnotené rovnako. Nejde o spracúvanie osobných údajov.

Spracúvanie osobných údajov mimo pôsobnosti nariadenia

Úrad vlády SR sa v reakcii na stanovisko Úradu na ochranu osobných údajov SR vyjadril, že všeobecné nariadenie o ochrane údajov sa nevzťahuje na činnosti, ktoré nepatria do pôsobnosti práva Európskej únie. V týchto prípadoch riadime spracúvanie osobných údajov našim národným zákonom a síce, zákonom č. 18/2018 Z. z.  Zo stanoviska Úradu vlády SR: ..že zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov sa vzťahuje len na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie osobných údajov inými než automatizovanými prostriedkami, ak ide o osobné údaje, ktoré tvoria súčasť informačného systému, alebo sú určené na to, aby tvorili súčasť informačného systému; preto sa pri dotknutej vyhláške Úradu verejného zdravotníctva nejedná o spracúvanie osobných údajov podľa zákona č. 18/2018 Z. z.

V pôsobnosti alebo mimo nej, záver je rovnaký

Či už by spracúvanie podliehalo pôsobnosti nariadenia alebo nášho zákona o ochrane osobných údajov, v oboch prípadoch je zrejmé, že nejde o spracúvanie osobných údajov.

Z tohto dôvodu nie je potrebné hľadať právny základ spracúvania osobných údajov. Samozrejme za predpokladu, že zamestnávateľ nebude osobné údaje zaznamenávať, vyhodnocovať alebo inak s nimi manipulovať.

A čo ostatné vstupujúce osoby?

Vyhláška vo svojom §2 ods. 1 nariaďuje zakázať vstup zamestnancom. Čo však s ostatnými vstupujúcimi osobami, ktorými sú napríklad obchodní partneri alebo uchádzači o zamestnanie? Je zamestnávateľ oprávnený kontrolovať aj tieto osoby a vyžadovať od nich napríklad certifikát o  negatívnom teste? Aj keď ods. 2 vyhlášky definuje osoby, na ktoré sa zákaz vstupu nevzťahuje, medzi ktorými je napríklad dieťa do desiatich rokov veku a je zjavné, že dieťa nie je zamestnancom, oprávnenie vyžadovať certifikát o negatívnom teste od všetkých vstupujúcich osôb nie je jednoznačné. 

Od ostatných vstupujúcich osôb odporúčame vyžadovať napríklad čestné vyhlásenie, prostredníctvom ktorého osoba prehlasuje, že plní požiadavky orgánov verejného zdravia. Uvedené je opodstatnené napríklad vtedy, ak by sa v podmienkach zamestnávateľa zistilo ohnisko nákazy a bolo by dôležité dohľadávať kontakty osôb, ktoré mohli s nákazou prísť do styku. V tomto prípade však už dochádza k spracúvaniu osobných údajov (čestné prehlásenie obsahujú identifikačnú údaje osob, ako je napríklad meno a priezvisko), je preto potrebné plniť si informačnú povinnosť v zmysle čl. 13 všeobecného nariadenia o ochrane údajov.

Pracovník, ktorý kontrolu vykonáva

Pracovníka, ktorý bude kontrolovať vstup zamestnancov “len” nahliadanín do dokumentov (napríklad certifikáty o negatívnych testoch) odporúčame zaviazať minimálne mlčanlivosťou a pokynom o vyžadovaní príslušných dokumentov. 

Ak sa však rozhodnete pre spracúvanie osobných údajov aj ostatných vstupujúcich osôb, potom je tento pracovník už tzv. oprávnenou osobu a okrem povinnosti mlčanlivosti musí byť zaviazaný pokynmi o spracúvaní osobných údajov, a to v zmysle čl. 32 ods. 4 všeobecného nariadenia o ochrane údajov. 

Už dnes máme na vstupe napríklad pracovníka súkromnej bezpečnostnej služby, či pracovníka recepcie, ktorí sú už v súčasnej dobe (teda za predpokladu, že organizácia ide v súlade s aktuálnymi pravidlami GDPR) na pozíciách oprávnených osôb (či už vo vzťahu k prevádzkovateľovi alebo sprostredkovateľovi). Vedú napríklad evidenciu návštev, sú náležite poučení (zaviazaný mlčanlivosťou, či ďalšími pokynmi na spracúvanie osobných údajov).  Tieto pokyny odporúčame prekontrolovať a prípadne ich doplniť.

Toto je len malá časť toho, čo môžete spraviť, aby spracúvanie osobných údajov u vás prebiehalo naozaj v súlade so zákonom a nariadením.

Ak vo vašej firme riešite aj iné, konkrétne situácie, a potrebujete dobre poznať, ako spracúvať osobné údaje bezpečne a bez chybičiek, prihláste sa do online kurzu “GDPR pre firmy a organizácie”. Ochutnávku celej prvej lekcie máte v nej úplne zdarma. A už za pár dní dokážete s prehľadom a úplne sami zvládať aj náročnejšie situácie v spracúvaní osobných údajov.

A ak sa časom rozhodnete, že chcete pre vašu firmu niekoho, kto vám bude pomáhať s ochranou osobných údajov, obráťte sa na nás a pustíme sa do toho spoločne. 

Potrebujete poradiť? Pomôžeme vám.

Lebo spracúvať osobné údaje a nepoznať GDPR, je ako šoférovať auto v hmle, bez svetiel a bez papierov. Neriskujte.

Scroll to Top

Odoslané

Vašu požiadavku spracujeme, a pokúsime sa Vám odpovedať čo najskôr.