Poznatky
COVID-19 vo svetle GDPR: Vplyv pandémie na spracúvanie osobných údajov
V súvislosti s prepuknutím pandémie a opatreniami prijatými proti šíreniu nákazy koronavírusu (COVID-19) narazili mnohé spoločnosti na praktické problémy týkajúce sa ich každodenného fungovania a spracúvania osobných údajov, ktoré nemuseli nikdy predtým riešiť. Tieto problémy sa týkajú nielen spracúvania osobných údajov ich zamestnancov, ale aj návštev, zmluvných partnerov a iných osôb v priestoroch spoločnosti.
Spracúvanie informácií o zdravotnom stave
Pre zamestnávateľa môže byť spracúvanie tohto typu osobných údajov často nevyhnutné na splnenie zákonných povinností, ako sú povinnosti týkajúce sa ochrany zdravia a bezpečnosti pri práci alebo ochrana verejného záujmu (napr. kontrola chorôb a iné ohrozenia zdravia). Ide však o veľmi špecifické prípady a spracúvanie tohto typu osobných údajov podlieha mnohým obmedzeniam.
Vo všeobecnosti platí, že spoločnosti, či už ako zamestnávatelia, alebo pri výkone svojich podnikateľských aktivít voči akejkoľvek tretej strane, nesmú spracúvať osobitné kategórie osobných údajov, medzi ktoré patria aj údaje o zdravotnom stave. Tak ako väčšina pravidiel, aj toto má výnimku, resp. niekoľko. Jednou z výnimiek uplatniteľnou v momentálnej situácii je prípad, ak je takéto spracúvanie potrebné z dôvodu významného verejného záujmu v oblasti verejného zdravia alebo ak existuje potreba chrániť základné životné záujmy dotknutej osoby.
Napriek tomu, že existuje táto vyššie spomínaná výnimka, sa spracúvanie údajov o zdravotnom stave dostáva do potenciálneho konfliktu so základnými zásadami primeranosti a minimalizácie spracúvaných údajov. Spoločnosti by teda mali vyžadovať informácie o zdravotnom stave iba v rozsahu, v akom im to právne predpisy povoľujú. Momentálne by spoločnosti podľa nášho názoru nemali plošne spracúvať napr. údaje o telesnej teplote osôb prítomných v jej priestoroch, zdravotných záznamoch alebo dotazníky s tým spojené. V zmysle informácií publikovaných na webovej stránke zriadenej Úradom vlády Slovenskej republiky a Národným centrom zdravotných informácií zameranej na monitorovanie situácie v súvislosti s koronavírusom by od 30. marca 2020 povinnosť merania teploty mala existovať pre nemocnice a priemyselné podniky, a teda nie plošne pre všetky spoločnosti. Avšak, v tejto mimoriadnej situácii podľa nášho názoru prijatie takejto možnosti/povinnosti nie je vylúčené.
Spoločnosti by mali svojich zamestnancov informovať o prípadoch nákazy koronavírusom v rámci spoločnosti a zároveň by mali prijať dostatočné bezpečnostné opatrenia, avšak mali by sa vyhnúť poskytovaniu informácií väčšieho rozsahu, ako je nevyhnutné. Aj v tejto situácii je potrebné myslieť na ochranu dôstojnosti a integrity zamestnancov a základné zásady spracúvania osobných údajov, aj keď sú v tejto situácii indikované výnimky zo sankcionovania porušení v súvislosti s oznamovaním prípadov nákazy a predchádzaním jej šíreniu.
Home Office, využívanie technológií práce na diaľku a monitorovanie
Pri práci z domu a využívaní technológií práce na diaľku sa do konfliktu často dostáva právo zamestnanca na súkromie so záujmami zamestnávateľa (napr. detekcia/prevencia straty osobných údajov, včasná identifikácia bezpečnostných hrozieb, ale aj preventívna kontrola zamestnancov a tlak na zvýšenie ich produktivity a výkonnosti).
S ohľadom na základné princípy GDPR a súvisiacej legislatívy je potrebné nastaviť interné systémy a technológie tak, aby sa minimalizovalo množstvo a citlivosť spracúvaných osobných údajov, resp. aby boli dáta získavané a uchovávané cielene. Pri využívaní technológií práce na diaľku, pri ktorých dochádza k spracúvaniu osobných údajov zamestnancov, musia byť zamestnanci oboznámení s účelom, rozsahom a použitím dát. V momentálnej situácii často dochádza k pokusom o kontrolu zamestnancov prostredníctvom zariadení, systémov a programov využívaných zamestnancami na prácu, o ktorých zamestnanci často ani nevedia a na ktoré zamestnávatelia často nemajú relevantný právny základ ani účel.
Na zabezpečenie kontinuity podnikania aj v takejto situácii, vo svetle spracúvania osobných údajov v legislatívou stanovenom rámci a zákonným spôsobom, máme pre Vás zopár odporúčaní.
Tak ako pri každom spracúvaní, aj v tejto situácii by prvým krokom malo byť definovanie účelu a právneho základu spracúvania. Často používaným právnym základom je v takejto situácii súhlas s takýmto spracovaním. Súhlas však podľa nás nie je najvhodnejším spôsobom riešenia tejto situácie, keďže je zamestnancom kedykoľvek odvolateľný a „sloboda“ jeho udelenia je pomerne jednoducho rozporovateľná z dôvodu nerovnosti a finančnej závislosti vo vzťahu zamestnanec vs. zamestnávateľ.
Odporúčaným krokom je aj vydanie/aktualizácia interných predpisov, resp. zavedenie politiky v oblasti používania elektronických zariadení. Tieto dokumenty môžu napríklad upravovať, či je možné zariadenia používať aj na súkromné účely, prípadne obmedzenia či ustanovenia o iných právach a povinnostiach zamestnancov a zamestnávateľa.
V prípade, ak by dochádzalo k akejkoľvek forme monitorovania/kontroly zamestnancov prostredníctvom nimi využívaných zariadení a systémov, je potrebné klásť obrovský dôraz na neprekročenie právneho rámca spracúvania osobných údajov, dostatočne identifikovať a detailne špecifikovať primeraný právny základ a v neposlednom rade dbať na zásady primeranosti, nevyhnutnosti a minimalizácie spracúvaných osobných údajov. Jedným z najdôležitejších krokov je v každom prípade o takomto spracúvaní zamestnancov primerane informovať. Žiaden zamestnávateľ sa totiž nemôže svojvoľne rozhodnúť monitorovať svojich zamestnancov prostredníctvom mobilných a iných zariadení bez obmedzenia.
Spôsoby minimalizácie a odvrátenia rizika
Poskytovanie informácií
Spoločnosti by ani v tejto situácii nemali zabúdať na fakt, že osobné údaje je možné spracúvať iba na konkrétne účely na základe legitímneho právneho základu. Rovnako by nemali byť opomínané práva dotknutých osôb, ktoré by mali dostávať transparentné informácie o vykonávaných spracovateľských operáciách (napr. o spôsobe spracúvania, dobách uchovávania a účeloch spracúvania osobných údajov). Tieto informácie by mali byť dotknutým osobám ľahko prístupné a formulované dostatočne jasne a jednoducho. Forma a spôsob informovania sa samozrejme môže v jednotlivých spoločnostiach líšiť. Odporúčame preto neodchyľovať sa od bežne zaužívaného spôsobu a kanálov, ktorými sú dotknuté osoby spoločnosťou informované, aby tieto osoby mali prístup ku všetkým potrebným informáciám a vedeli ich v prípade potreby jednoducho dohľadať.
Zvyšovanie povedomia
V tejto situácii rovnako odporúčame zvyšovať povedomie o základných zásadách a princípoch spracúvania osobných údajov v rámci Vašej spoločnosti. Za ideálnu formu v tomto období možno považovať interné školenia prostredníctvom niektorej z mnohých digitálnych platforiem (napr. Skype alebo Zoom), prípadne formou online školení.
Vytvorenie alebo aktualizácia interného dokumentu popisujúceho procesy a zodpovednosti pri spracúvaní osobných údajov
Schopnosť správne a dostatočne rýchlo reagovať na vzniknutú situáciu môže byť momentálne kľúčová. Je preto vhodné si vytvoriť, resp. aktualizovať interné predpisy alebo smernice popisujúce zodpovednosti v oblasti spracúvania osobných údajov tak, aby tieto reflektovali vzniknutú situáciu a opatrenia, ktoré boli na jej základe prijaté a o týchto dostatočným spôsobom informovať zamestnancov.
Využívanie nástrojov práce na diaľku
Keďže je väčšina z nás momentálne doma a pracuje v tzv. home office režime, je vhodné na spoluprácu využívať nástroje práce na diaľku, ktoré umožňujú zdieľať a sledovať vykonanú prácu. V tejto súvislosti sa z dôvodov bezpečnosti neodporúča používať tzv. voľné softvéry, keďže tie nemusia zaručovať dostatočnú mieru ochrany pre údaje spracúvané Vašou spoločnosťou. Je dôležité zamerať sa na prijatie primeraných bezpečnostných opatrení a dodržiavať zásady politiky dôvernosti, aby sa predišlo akýmkoľvek bezpečnostným incidentom a prípadným stratám alebo neoprávneným prístupom k osobným údajom dotknutých osôb.
Čo robiť v prípade porušenia ochrany osobných údajov?
V prípadoch, keď dôjde k porušeniu ochrany osobných údajov, napr. zamestnanec stratí dokumenty pri presune, dôjde k narušeniu siete, útoku a pod., je odporúčané dodržiavať postupy stanovené legislatívou v oblasti ochrany osobných údajov, vyhodnotiť rizikovosť takéhoto incidentu a v prípade potreby ho oznámiť Úradu na ochranu osobných údajov (prostredníctvom elektronického formulára umiestneného na jeho webovej stránke). Porušenia by sa mali, v prípade potreby, úradu oznamovať do 72 hodín od ich zistenia. V niektorých prípadoch môže byť rovnako potrebné upovedomiť aj dotknuté osoby.
Dátum: 31. 3. 2020