POVINNÉ TESTOVÁNÍ ZAMĚSTNANCŮ – ochrana osobních údajů
Právo a COVID | 3. 3. 2021
Vážení klienti,
v návaznosti na aktuální dění tohoto týdne a rovněž s ohledem na Vaše časté dotazy bychom Vám tímto rádi poskytli alespoň základní informace o tom, jaké má povinné testování (případně to dobrovolné) dopady na související povinnosti v oblasti ochrany osobních údajů.
Vážení klienti,
v návaznosti na aktuální dění tohoto týdne a rovněž s ohledem na Vaše časté dotazy bychom Vám tímto rádi poskytli alespoň základní informace o tom, jaké má povinné testování (případně to dobrovolné) dopady na související povinnosti v oblasti ochrany osobních údajů.
I. Evidence výsledků testování
Evidenci výsledků testování doporučujeme vést v rozsahu dle pokynů uvedených Ministerstvem průmyslu a obchodu, a to například v tabulce zveřejněné zde.
S evidencí výsledků testování souvisí rovněž nutnost evidování dokladů o nákupu testů pro případ uplatnění nákladů anebo dokladů dokládajících skutečnost, že určitou osobu není nutné testovat (například z důvodu výhradní práce z domu, tj. home office, anebo z důvodu prodělání nemoci COVID-19, přičemž tento důvod je dán pouze po dobu 90 dní od prvního pozitivního výsledku testu PCR či POC antigenního testu).
II. Zabezpečení dat
Každý zaměstnavatel musí řádně zabezpečit předávání informací o výsledcích testů (například při samotestech prováděných mimo pracoviště), jakož i jejich následné uchování. Nedoporučujeme uchování informací v e-mailových stránkách ani jejich uchování na místech přístupných širšímu okruhu osob, než je skutečně nezbytné.
Záznamy o výsledcích testů a také související dokumenty je nutné uchovat bezpečným způsobem bez přístupu nepovolaných osob.
III. Transparence
Základní povinností zaměstnavatele při zpracování osobních údajů zaměstnanců je to, aby stručným, transparentním, srozumitelným a snadno přístupným způsobem informoval zaměstnance o zpracování jejich údajů v souvislosti s testováním. V tomto případě je proto třeba zaměstnance informovat především o rozsahu nově vedené evidence, účelu jejího vedení, předpokládaných příjemcích a, je-li to možné, také o plánované době uchování a souvisejících bezpečnostních opatřeních, popř. je třeba poskytnout další povinné informace dle GDPR.
IV. Právní základ pro zpracování osobních údajů
Primárně je právním základem pro zpracování osobních údajů plnění právní povinnosti stanovené mimořádným opatřením, pokud jde o zaměstnavatele, na které toto opatření dopadá (50 a více, resp. 250 a více zaměstnanců). Podobně, jako tomu je u jiných opatření, která jsou činěna na dobrovolné bázi z důvodu prevence, je možné testování provádět i dobrovolně, v takovém případě však bude právním základem pro zpracování oprávněný zájem. Pro všechny zaměstnavatele platí prevenční povinnost. Ve všech případech bude nutné také nastavit oprávněný zájem na uchování dokumentace v budoucnu – pro případ kontroly ze strany orgánu dozoru anebo z důvodu uplatnění nákladů na pořízení testů a souvisejícího nezbytného vykazování.
V. Zanesení aktivity do záznamů o činnostech zpracování
- S ohledem na skutečnost, že se jedná o novou zpracovatelskou aktivitu, je nutné ji řádně zaznamenat v povinně vedených záznamech o činnostech zpracování.
- V souvislosti se zavedením nové aktivity je nutné učinit záznam o kontrole nutnosti zpracování posouzení vlivu na ochranu osobních údajů.
- Z důvodu nastavení oprávněného zájmu je nutné připravit balanční test, což je interní dokument vyžadovaný Úřadem pro ochranu osobních údajů při případné kontrole, obsahující vybalancování zásahů do práv zaměstnanců přijatými opatřeními a odůvodnění nutnosti uchování evidence ze strany zaměstnavatele nad rozsah stanovený právním předpisem.
VI. Řádné nastavení doby uchování evidence a souvisejících dokladů
Bohužel mimořádné opatření nenastavuje dobu uchování související evidence. Je nutné řádně a s ohledem na požadavky vyplývající z vykazování při uplatnění nákladů na testy a také pro případ kontroly orgánů dozoru nastavit odpovídající dobu uchování. Uložení evidence je zákonné pouze po nezbytně omezenou dobu nastavenou právním předpisem anebo obhájenou v balančním testu pro oprávněný zájem.
Se zajištěním všech povinností v oblasti ochrany osobních údajů Vám rádi pomůžeme.
