Prevence nákazy COVID-19 na pracovišti a zpracování osobních údajů
V současné vypjaté situaci řeší podnikatelé především zcela zásadní problémy související s omezováním poptávky či ochranou zdraví zaměstnanců. Ani v této době by se ale nemělo zcela zapomínat na povinnosti související s ochranou osobních údajů.
Osobní údaje související s ochranou zdraví zaměstnanců
Povinnost vytvářet pro zaměstnance bezpečné a zdraví neohrožující pracovní podmínky je jednou ze základních povinností každého zaměstnavatele. V tuto chvíli musí především přijímat adekvátní opatření k předcházení šíření nákazy na pracovišti a zajistit informovanost zaměstnanců o možných rizicích.
Z pohledu zpracování osobních údajů mohou být problematická preventivní opatření spočívající například ve zjišťování zdravotního stavu, jako je měření teploty při vstupu zaměstnanců do prostor zaměstnavatele, nebo zjišťování pohybu zaměstnanců v předcházejících dnech a týdnech. Takové informace představují osobní údaje, které zaměstnavatel dříve zpravidla nezpracovával.
Jako vždy při zahájení jakéhokoliv nového zpracovávání osobních údajů je nutné provést standardní posouzení, tedy především určit účel zpracování (zde ochrana zdraví zaměstnanců). S ohledem na zásadu minimalizace osobních údajů je třeba stanovit potřebný rozsah jejich zpracování, dobu jejich uchování a zvolit nejvhodnější právní titul pro zpracování.
Údaje o zdravotním stavu zaměstnanců patří mezi zvláštní kategorie osobních údajů (citlivé osobní údaje) a na jejich zpracování se uplatňují přísnější pravidla. Právním základem pro zpracování těchto osobních údajů může být vedle oprávněného zájmu zaměstnavatele za stávající situace též plnění právní povinnosti (zmíněná bezpečnost a ochrana zdraví zaměstnanců) nebo veřejný zájem v oblasti veřejného zdraví. Tento právní titul je ostatně v souvislosti s protiepidemickými opatřeními uveden přímo v preambuli k samotnému nařízení GDPR. Doporučujeme však, aby zaměstnavatelé postupovali pokud možno v součinnosti s příslušnými orgány ochrany veřejného zdraví.
O jakémkoli nově zavedeném zpracování osobních údajů musí zaměstnavatel všechny zaměstnance informovat a reflektovat jej v záznamech o činnostech zpracování v souladu s článkem 30 GDPR.
Osobní údaje klientů a dalších osob
V souladu s doporučeními vlády se rovněž v aktuální situaci přesunulo velké množství zaměstnanců do režimu tzv. home-office. Na ochranu osobních údajů je v tomto ohledu nutné pamatovat zejména, pokud zaměstnanci nepoužívají zaměstnavatelem poskytnuté a zabezpečené pracovní pomůcky (kupříkladu pracovní počítač či mobilní telefon), ale mohou při výkonu práce používat svá vlastní zařízení (tzv. BYOD režim).
Je vhodné nastavit pravidla pro práci tak, aby bylo možné rozlišit, kdy je přístroj využíván k pracovním a kdy k soukromým účelům. Nastavení zabezpečení by tak například měla rozlišovat mezi různými disky pro ukládání souborů, aby se znemožnilo zneužití osobních údajů. Řešením ovšem nemůže být neomezené monitorování těchto zařízení, které by nepřiměřeně zasahovalo do soukromí zaměstnanců.
Doporučujeme zaměstnavatelům, aby zavedli přiměřená bezpečnostní pravidla a vytvořili interní předpis, který je zaměstnancům srozumitelně vysvětlí, a případně provedli i posouzení vlivu na ochranu osobních údajů. Konkrétní povinnosti zaměstnanců doporučujeme sjednat v dohodě o výkonu práce z domova.