Zaměstnavatelé zpracovávají při plnění uložené povinnosti zajišťovat testování zaměstnanců na přítomnost viru SARS-CoV-2 osobní údaje ke splnění právní povinnosti, která se na ně vztahuje dle obecného nařízení pro ochranu osobních údajů (GDPR) (dále jen „obecné nařízení“) a v souladu s příslušnými právními předpisy (zákon č. 258/2000 Sb., o ochraně veřejného zdraví, a zákon č. 94/2021 Sb., o mimořádných opatřeních při epidemii onemocnění COVID-19) a opatřeními z nich vyplývajícími.
Neopomenutelným principem zůstává, že zaměstnanec je i v průběhu testování slabší stranou pracovněprávního vztahu, nemá jinou možnost než dané opatření strpět, přičemž s ním při praktických opatřeních musí být v tomto ohledu zacházeno nanejvýš ohleduplným a šetrným způsobem, s respektem nejen k ochraně osobních údajů, ale celkově k jeho soukromí a lidské důstojnosti.
Je nutno připomenout, že povinnosti v souvislosti s ochranou osobních údajů nejsou zaměstnavatelům ukládány Úřadem pro ochranu osobních údajů (dále jen „Úřad“), nýbrž objektivně plynou ze zde citovaných právních předpisů. Povinnost vést evidenci, která obsahuje zvláštní kategorii osobních údajů, tj. údajů o výsledku testování na přítomnost viru SARS-CoV-2, je pro řadu zaměstnavatelů zcela novou oblastí zpracování osobních údajů, se kterou nemají předchozí zkušenosti.
Pokud je po zaměstnavateli ze strany příslušných orgánů vyžadována evidence takového údaje, jeví se jako praktické v této souvislosti vycházet z následujících nezávazných doporučení některých konkrétních opatření a postupů, jež mohou zaměstnavatelům pomoci splnit povinnosti vyplývající z obecného nařízení. Stanovení konkrétního rozsahu evidovaných osobních údajů či doby jejich uchování přitom není v působnosti Úřadu pro ochranu osobních údajů. Každý ze zaměstnavatelů musí zpracování osobních údajů v evidenci testování přizpůsobit konkrétním podmínkám a rozsahu jeho činnosti, ale následující informace by měly významnou měrou usnadnit všem zaměstnavatelům povinnosti při vedení evidence provedených testů na přítomnost viru SARS-CoV-2, které jsou jim uloženy mimořádným opatřením.
Upraveny jsou v zásadě dva způsoby, jak testování provádět. Za zaměstnance jsou považovány i další osoby pracující na pracovištích zaměstnavatele (dočasně přidělení zaměstnanci agentury práce a další osoby, které vykonávají práce nebo obdobné činnosti spolu se zaměstnanci zaměstnavatele).
Testování poskytovateli zdravotních služeb, kdy jsou testy prováděny a účtovány jako zdravotnické výkony. Zpracování osobních údajů je prováděno v rámci standardních postupů upravených zvláštními právními předpisy. V těchto případech je z hlediska zaměstnavatele nezbytné obdržet potvrzení o provedeném testu vystavené poskytovatelem zdravotních služeb. Zaměstnavatel a poskytovatel zdravotních služeb, který provádí testování na přítomnost viru SARS-CoV-2 zaměstnanců pro zaměstnavatele, jsou v postavení dvou samostatných správců. Poskytovatel zdravotních služeb, který provádí testování, zpracovává osobní údaje mimo možnou kontrolu zaměstnavatele; dochází při tom např. k předávání údajů do Informačního systému infekčních nemocí a vytváření zdravotnické dokumentace, která má, mimo dalšího, určený rozsah přístupu a dobu uchování. Ke smluvnímu ujednání mezi zaměstnavatelem a poskytovatelem zdravotních služeb dojít musí, aby byly předávány údaje nezbytné k plnění povinnosti stanovené zaměstnavatelům výše uvedeným mimořádným opatřením, nejde však o smlouvu o zpracování osobních údajů mezi správcem a zpracovatelem podle čl. 28 odst. 3 obecného nařízení.
Testování prováděné přímo zaměstnavatelem (samoodběr zaměstnanců pomocí testů poskytnutých zaměstnavatelem, testování prováděné určenými zaměstnanci, testování externími subjekty mimo poskytovatele zdravotních služeb apod.), kdy testy mají být hrazeny z jednotlivých Fondů prevence zdravotních pojišťoven. V tomto případě se při zpracování osobních údajů zaměstnavatel stává správcem osobních údajů se všemi povinnostmi vyplývajícími z obecného nařízení. Z důvodu veřejného zájmu v oblasti veřejného zdraví dle obecného nařízení je při testování zaměstnanců zpracovávána také zvláštní kategorie osobních údajů vypovídajících o zdravotním stavu. Samotné záznamy o provedení testů u jednotlivých zaměstnanců je možno využívat pouze v přímé souvislosti s plněním povinností uložených mimořádným opatřením.
Vlastní záznamy o provedení testů u zaměstnanců mohou obsahovat pouze základní identifikační údaje zaměstnance sloužící k identifikaci daného zaměstnance (jméno, příjmení, datum narození, které je možno nahradit identifikátorem, který zaměstnanci přidělil zaměstnavatel), údaje o přesném čase provedení testu (u většiny zaměstnavatelů postačí datum provedení testu, ve specifických provozech může být evidován i přesný čas) a výsledek testu na přítomnost viru SARS-CoV-2, a to v mezích oprávněných požadavků příslušných orgánů. Stejné omezení rozsahu pouze na nezbytné osobní údaje platí i pro případné dokumenty prokazující výjimku z povinného testování daného zaměstnance (identifikační údaje zaměstnance, důvod výjimky z testování jako je prodělání infekce COVID-19 ve lhůtě do 90 dní před provedením testu, provedení očkování, home office bez přítomnosti na pracovišti, pracovní neschopnost).
V případě, že bude zaměstnavatelem sjednán smluvní vztah s poskytovatelem zdravotních služeb, aby pro zaměstnavatele…