Právne stanovisko: spracúvanie údajov o absolvovaní testu na COVID-19 zo strany zamestnávateľa

Právnická fakulta Univerzity Komenského v Bratislave zverejnila právne stanovisko k aktuálnej téme spracúvania údajov o výsledkoch testu na ochorenie COVID-19. Jeho úplné znenie si máte možnosť prečítať v článku nižšie. Autormi tohto diela sú JUDr. Matúš Mesarčík, PhD., LL.M Mgr. Denisa Nevická, PhD. Mgr. Andrea Szakács, PhD.

Redakcia 04. 11. 2020 13 min.

Na základe uznesenia vlády Slovenskej republiky č. 678 z 22. októbra 2020 došlo k zavedeniu zákazu vychádzania v období od 24. októbra 2020 do 01. novembra 2020. Predmetné uznesenie zakazuje cestu do a zo zamestnania pre tie osoby, ktoré sa nepreukážu potvrdením o negatívnom teste na COVID-19, pričom toto potvrdenie musí reflektovať štátom uznanú formu1.

Cieľom tohto stanoviska je odpoveď na nasledovnú otázku: „Je zamestnávateľ oprávnený od zamestnanca vyžadovať preukázanie sa testom na COVID-19 pri vstupe na pracovisko? Konkrétne, či má právo zamestnávateľ na to, aby sa mu zamestnanec po celoplošnom testovaní preukázal, že má negatívny test na COVID-19, či už z celoplošného testovania alebo z iného schváleného testovania.“ Tieto otázky analyzuje Právnická fakulta, Univerzity Komenského v Bratislave z pohľadu práva na ochranu osobných údajov a súvisiacich osobitných predpisov v oblasti pracovného práva, bezpečnosti a ochrany zdravia pri práci; ochrany, podpory a rozvoji verejného zdravia.

Právne východiská

Spracúvanie osobných údajov upravuje v právnom priestore Európskej únie („EÚ“) nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov, „GDPR“). Niektoré otázky, ktoré sa nevyriešili v legislatívnom procese EÚ boli ponechané na právnu úpravu jednotlivých členských štátov EÚ formou otvorených klauzúl. Tie čiastočne reflektuje slovenský zákon č. 18/2018 Z. z. o ochrane osobných údajov („Zákon o ochrane osobných údajov“), ktorý sa na analyzovanú situáciu bude vzťahovať iba minimálne vzhľadom na prednosť a priamu účinnosť nariadenia a komplikovanú pôsobnosť nášho zákona2, na základe ktorej sa väčšia časť zákona vzťahuje na spracovateľské operácie mimo regulácie práva EÚ (na tie sa nevzťahuje GDPR). Zákon č. 311/2001 Z. z. Zákonník práce („Zákonník práce“) neupravuje špecifiká spracúvania osobných údajov s výnimkou ustanovení § 13 a aplikuje sa preto všeobecný predpis v podobe GDPR. Totožné konštatovanie možno uviesť v súvislosti so zákonom č. 124/2006 Z. z. o bezpečnosti a ochrane zdravia pri práci a o zmene a doplnení niektorých zákonov („Zákon o BOZP“) aj v súvislosti so zákonom č. 355/2007 Z.z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov (,,Zákon oochrane zdravia“). Z tohto dôvodu budeme pri predkladanej analýze vychádzať zo znenia GDPR a poukážeme na relevantné ustanovenia v slovenskom právnom poriadku.

Zamestnávatelia sú vzmysle GDPR v postavení prevádzkovateľa podľa článku 4 bodu 7 GDPR a de facto zodpovedajú za súlad so spracúvaním osobných údajov vo svojej organizácii. Jednou zo základných požiadaviek GDPR na spracúvanie osobných údajov je jej zákonnosť (článok 6 GDPR), ktorá odzrkadľuje požiadavku disponovania vhodným právnym základom (právnym titulom) na spracúvanie osobných údajov. GDPR upravuje 6 právnych základov, a to konkrétne (i) súhlas, (ii) plnenie zmluvy, (iii) zákonnú povinnosť, (iv) životne dôležitý záujem, (v) verejný záujem a (vi) oprávnený záujem3. Okrem disponovania právnym základom podľa článku 6 GDPR musí prevádzkovateľ pri spracúvaní osobitných kategórií osobných údajov (tzv. citlivé osobné údaje)4 disponovať aj relevantnou výnimkou pre spracúvanie osobitných kategórií osobných údajov. Tieto výnimky sú uvedené v článku 9 ods. 2 GDPR.

Právny základ spracúvania osobných údajov musí byť zároveň vhodne previazaný s účelom (dôvodom) spracúvania osobných údajov vzmysle zásady obmedzenia účelu spracúvania osobných údajov podľa článku 5 ods. 1 písm. b) GDPR. Tieto účely si vymedzuje každý prevádzkovateľ sám, zamestnávateľov nevynímajúc.

Na splnenie zákonnosti vyžadovania preukázania negatívneho testu na COVID-19 od svojich zamestnancov je preto nevyhnutné predovšetkým upriamiť pozornosť na vymedzenie konkrétneho účelu, použitia vhodného právneho základu podľa článku 6 GDPR a výnimky podľa článku 9 ods. 2 GDPR (časť II. tejto analýzy). Toto vymedzenie však predstavuje iba základ spracúvania osobných údajov a preto si dovoľujeme poukázať aj na dodatočné povinnosti v súvislosti so spracúvaním údaju o negatívnom teste na COVID-19 (časť III. tejto analýzy).

Analýza oprávnenia zamestnávateľa vyžadovať od zamestnanca preukázanie negatívneho testu na COVID-19

Údaj o tom, že dotknutá osoba má alebo nemá diagnostikované ochorenie COVID-19 je osobným údajom v zmysle definície pojmu osobný údaj podľa článku 4 bodu 1 GDPR. Vzhľadom na to, že tento údaj zároveň odhaľuje informácie o zdravotnom stave dotknutej osoby, ide zároveň o citlivý osobný údaj v zmysle článku 9 ods. 1 GDPR. Už len pri rutinnej kontrole zamestnancov pri vstupe na pracovisko je možné z (ne)prítomnosti zamestnanca odvodiť jeho zdravotný stav (negatívny výsledok testu). Predpokladáme však, že zamestnávatelia budú musieť tento údaj uchovávať za účelom preukázania plnenia povinností. Z vyššie uvedených dôvodov je GDPR na danú situáciu plne aplikovateľné.

Ako bolo uvedené vyššie, zamestnávateľ v postavení prevádzkovateľa musí mať k dispozícií účel spracúvania, právny základ spracúvania a výnimku pre spracúvanie citlivých osobných údajov.

1. Vymedzenie účelu

Vymedzenie účelu by nemalo byť pre zamestnávateľov problematické, keďže táto povinnosť vymedzenia účelu nevznikla s účinnosťou GDPR a bola relevantná aj pri predchádzajúcej právnej úprave ochrany osobných údajov. V súvislosti s diskutovanými oprávneniami zamestnávateľa sa domnievame, že účel vymedzený ako „Plnenie zákonných povinností“ alebo „Bezpečnosť a ochrana zdravia“ či „Bezpečnosť a ochrana majetku a osôb“ je možné využiť aj v kontexte oprávnenia vyžadovať od zamestnancov preukázanie negatívneho testu na COVID-19.

2. Vymedzenie právneho základu podľa článku 6 GDPR

Čo s týka právneho základu na spracúvanie osobných údajov, podľa nášho názoru prichádza do úvahy predovšetkým plnenie zákonnej povinnosti v zmysle článku 6 ods. 1 písm. c) GDPR. Napriek tomu, že v slovenskom preklade sa vyskytuje výraz „zákonná“ povinnosť, v anglickom originály znenia GDPR ide o „legal obligation“ a teda právnu povinnosť, ktorá môže byť ustanovená v predpise vyššej alebo nižšej právnej sily ako je zákon. V zmysle článku 6 ods. 3 GDPR takáto právna povinnosť musí byť upravená v práve EÚ alebo právnom poriadku členského štátu. Základným právnym titulom pre spracúvanie informácie o teste zamestnanca na COVID-19 je predovšetkým vyhláška č. 16/2020 Úradu verejného zdravotníctva Slovenskej republiky zverejnená vo Vestníku vlády SR dňa 30. októbra 2020 v čiastke 12, ktorou sa nariaďujú opatrenia pri ohrození verejného zdravia k režimu vstupu osôb do priestorov prevádzok a priestorov zamestnávateľa.5 Ide o totožnú situáciu ako v prípade, keď v letných mesiacoch boli zamestnanci povinní informovať zamestnávateľa o návrate z tzv. červených krajín, pričom predmetnú povinnosť taktiež upravoval podzákonný právny predpis.6

Podzákonným právnym predpisom (kde zaraďujeme aj vyhlášku), je možné zasahovať do základných práv a slobôd, konkrétne uložením povinnosti, v zmysle čl. 13 Ústavy Slovenskej republiky č. 460/1992 Zb. ("Ústava SR") jedine za predpokladu, že sa tak deje "na základe zákona". Musí teda existovať zákonný podklad, ktorý vydanie vyhlášky zasahujúcej do základných práv a slobôd umožňuje. V tomto prípade ide o § 48 ods. 4 písm. e), s), x) a z) zákona o ochrane verejného zdravia. Aj takýto zásah do základných práv a slobôd realizovaný na základe zákona však v zmysle čl. 13 Ústavy SR musí byť primeraný.

Ak by z akéhokoľvek dôvodu nebolo možné vyhlášku Úradu verejného zdravotníctva SR považovať za dostatočný právny základ právnej povinnosti podľa článku 6 ods. 1 písm. c) GDPR, právny poriadok Slovenskej republike upravuje dostatočné množstvo ustanovení, ktoré môžu zamestnávatelia využiť na právnom základe verejného záujmu podľa článku 6 ods. 1 písm. e) GDPR, ktorý nemusí byť natoľko špecificky naformulovaný ako právna povinnosť. Ako príklady možno uviesť:

Článok 11 Zákonníka práce: „Zamestnávateľ môže o zamestnancovi zhromažďovať len osobné údaje súvisiace s kvalifikáciou a profesionálnymi skúsenosťami zamestnanca a údaje, ktoré môžu byť významné z hľadiska práce, ktorú zamestnanec má vykonávať, vykonáva alebo vykonával.“

§ 6 ods. 1 Zákona o BOZP: „Zamestnávateľ v záujme zaistenia bezpečnosti a ochrany zdravia pri práci je povinný

a) vykonávať opatrenia so zreteľom na všetky okolnosti týkajúce sa práce a v súlade s právnymi predpismi a ostatnými predpismi na zaistenie bezpečnosti a ochrany zdravia pri práci;

e) zabezpečovať, aby chemické faktory, fyzikálne faktory, biologické faktory, faktory ovplyvňujúce psychickú pracovnú záťaž a sociálne faktory neohrozovali bezpečnosť a zdravie zamestnancov;

f) odstraňovať nebezpečenstvo a ohrozenie, a ak to podľa dosiahnutých vedeckých a technických poznatkov nie je možné, vykonať opatrenia na ich obmedzenie a pripravovať opatrenia na ich odstránenie;

j) určovať a zabezpečovať ochranné opatrenia, ktoré sa musia vykonať, a ak je to potrebné, určovať a zabezpečovať ochranné prostriedky, ktoré sa musia používať;

o) zaraďovať zamestnancov na výkon práce so zreteľom na ich zdravotný stav, najmä na výsledok posúdenia ich zdravotnej spôsobilosti na prácu, schopnosti, na ich vek, kvalifikačné predpoklady a odbornú spôsobilosť podľa právnych predpisov a ostatných predpisov na zaistenie bezpečnosti a ochrany zdravia pri práci a nedovoliť, aby vykonávali práce, ktoré nezodpovedajú ich zdravotnému stavu, najmä výsledku posúdenia ich zdravotnej spôsobilosti na prácu, schopnostiam, na ktoré nemajú vek, kvalifikačné predpoklady a doklad o odbornej spôsobilosti podľa právnych predpisov a ostatných predpisov na zaistenie bezpečnosti a ochrany zdravia pri práci.“

§ 6 ods. 7 Zákona o BOZP: „Zamestnávateľ je povinný starať sa o bezpečnosť a ochranu zdravia všetkých osôb, ktoré sa nachádzajú s jeho vedomím na jeho pracoviskách alebo v jeho priestoroch.“

§ 8 ods. 1 Zákona o BOZP: „Na zaistenie bezpečnosti a ochrany zdravia zamestnancov pri práci v prípade vzniku bezprostredného a vážneho ohrozenia života alebo zdravia je zamestnávateľ po zohľadnení veľkosti organizácie, charakteru práce, charakteru nebezpečenstiev a veľkosti rizika povinný
a) vopred vykonať opatrenia a zabezpečiť prostriedky potrebné na ochranu života a zdravia zamestnancov a na poskytnutie prvej pomoci [...]
b) vopred vykonať opatrenia, aby sa zamestnanci mohli postarať o svoje zdravie a bezpečnosť, prípadne o zdravie a bezpečnosť iných osôb, a aby podľa svojich možností zabránili následkom tohto ohrozenia [...].“

§ 12 ods. 2 písm. a) Zákona o BOZP: „Zamestnanec je povinný dodržiavať právne predpisy a ostatné predpisy na zaistenie bezpečnosti a ochrany zdravia pri práci, pokyny na zaistenie bezpečnosti a ochrany zdravia pri práci, zásady bezpečnej práce, zásady ochrany zdravia pri práci a zásady bezpečného správania na pracovisku a určené pracovné postupy, s ktorými bol riadne a preukázateľne oboznámený.“

Podporne možno použiť aj ako právny základ samotné uznesenie vlády Slovenskej republiky č. 678 z 22. októbra 2020.

Súhlasíme s názorom Úradu na ochranu osobných údajov SR7, že pre vyššie uvedenú vyhlášku ÚVZ SR existujú pochybnosti o existencii právneho základu podľa článku 6 ods. 1 písm. c) GDPR, avšak právny poriadok Slovenskej republiky poskytuje dostatočné množstvo relevantných ustanovení v prospech spracúvania na právnom základe verejného záujmu podľa článku 6 ods. 1 písm. e) GDPR. Samotné GDPR v recitály č. 45 uvádza: „Týmto nariadením sa nevyžaduje, aby pre každé jednotlivé spracúvanie existoval osobitný právny predpis. Za dostatočný možno považovať právny predpis, ktorý je základom pre viaceré spracovateľské operácie založené na zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa, alebo ak je spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci.“ Takýto výklad je zároveň konformný s usmerneniami Výboru na ochranu údajov (ex Pracovná skupina čl. 29)8, ktorý je vedúcou autoritou pri interpretovaní pravidiel na ochranu osobných údajov.

Alternatívou je aj využitie právneho základu oprávneného záujmu podľa článku 6 ods. 1 písm. f) GDPR, ktorý predpokladá vypracovanie tzv. testu prevahy oprávneného záujmu, resp. testu proporcionality. Vzhľadom na krízovú situáciu a súčasný vývoj pandémie ako aj už prijaté uznesenia vlády Slovenskej republiky nepochybujeme o tom, že spracúvanie údajov o negatívnom teste zamestnancov na COVID-19 by testom vyvažovania oprávneného záujmu bez problémov prešlo.

Právny základ spracúvania osobných údajov je preto možné získať kombináciou zákonnej povinnosti podľa článku 6 ods. 1 písm. c) GDPR a verejného záujmu podľa článku 6 ods. 1 písm. e) GDPR s odkazom na vyššie uvedené ustanovenia a legislatívne akty. Alternatívne je možné využiť aj právny základ oprávneného záujmu podľa článku 6 ods. 1 písm. f) GDPR.

3. Vymedzenie vhodnej výnimky pre spracúvanie údaja o zdravotnom stave podľa článku 9 ods. 2 GDPR

Ako bolo uvedené vyššie, pre spracúvanie informácie o negatívnom teste zamestnanca na COVID-19 je nevyhnutné disponovať aj výnimkou pre spracúvanie citlivých osobných údajov podľa článku 9 ods. 2 GDPR, nakoľko ide o údaje o zdravotnom stave dotknutej osoby. Podľa nášho názoru do úvahy prichádzajú nižšie uvedené výnimky:

b) „spracúvanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie alebo právom členského štátu alebo kolektívnou zmluvou podľa práva členského štátu poskytujúcimi primerané záruky ochrany základných práv a záujmov dotknutej osoby;

g) spracúvanie je nevyhnutné z dôvodov významného verejného záujmu na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a stanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby;

i) spracúvanie je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie alebo práva členského štátu, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, najmä profesijné tajomstvo.“

Využitie daných výnimiek podporuje aj recitál č. 46 GDPR: „Niektoré typy spracúvania môžu slúžiť na dôležité účely verejného záujmu aj životne dôležité záujmy dotknutej osoby, napríklad ak je spracúvanie nevyhnutné na humanitárne účely vrátane monitorovania epidémií a ich šírenia alebo v humanitárnych núdzových situáciách, najmä v prípade prírodných katastrof a katastrof spôsobených ľudskou činnosťou.“

Je však nevyhnutné dodať, že všetky vyššie uvedené výnimky rátajú s tým, že právny poriadok členského štátu bude zároveň obsahovať „primerané záruky ochrany základných práv a záujmov dotknutých osôb,“ alebo „konkrétne opatrenia na zabezpečenie základných práv a slobôd“ resp. „konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby.“ Určitú formu takýchto opatrení na zabezpečenie práv a slobôd dotknutých osôb možno už teraz nájsť aj v pracovnoprávnych predpisoch. Ako príklad možno uviesť § 13 ods. 8 Zákonníka práce, ktorý ustanovuje: „Zamestnanec, ktorý sa domnieva, že jeho súkromie na pracovisku alebo v spoločných priestoroch bolo narušené nedodržaním podmienok podľa odseku 4 alebo že zamestnávateľ nedodržal podmienky podľa odseku 5, môže sa obrátiť na súd a domáhať sa právnej ochrany.“ Zároveň má v zmysle § 12 ods. 1 Zákona o BOZP zamestnanec „právo prerokúvať so zamestnávateľom všetky otázky bezpečnosti a ochrany zdravia pri práci súvisiace s jeho prácou; v prípade potreby možno po vzájomnej dohode prizvať na rokovanie aj odborníkov v danom odbore.“

Je preto možné z pohľadu zamestnávateľa využiť výnimky ustanovené v článku 9 ods. 2 písm. b), g) a i) GDPR pre spracúvanie údajov o negatívnom teste zamestnanca na COVID-19.

Dodatočné povinnosti zamestnávateľa

Regulácia ochrany osobných údajov nie je iba o vymedzení právneho základu, účelu a prípadne výnimky pre spracúvanie citlivých osobných údajov. GDPR obsahuje celý komplex právnych povinností, ktoré sú zamestnávateľom určite známe. V súvislosti so spracúvaním údaju o negatívnom teste zamestnanca na COVID-19 je preto nevyhnutné spomenúť aspoň niektoré dodatočné povinnosti, ktoré sa zamestnávateľov v postavení prevádzkovateľov v tejto súvislosti dotknú. Zamestnávateľom preto odporúčame:

  • Sledovať legislatívny vývoj a postupovať v zmysle vyhlášky ÚVZ SR;
  • Revidovať plnenie informačnej povinnosti podľa článku 13 GDPR voči zamestnancom a doplniť do nej informácie týkajúce sa diskutovaného spracúvania osobných údajov (právny základ, výnimku pre spracúvanie citlivých osobných údajov prípadne informáciu, že takéto údaje môže zamestnávateľ vyžadovať);
  • Organizačne podriadiť spracúvanie údajov o zdravotnom stave do špecifického režimu (najmä limitovať počet osôb, ktoré majú k danému údaju prístup, technicky zabezpečiť prístup k údajom o zdravotnom stave, nevyužívať daný údaj na iné účely);
  • Určiť limitovanú dobu uchovávania údaju o negatívnom teste zamestnanca na COVID-19 –zamestnávateľ by mal tieto údaje zničiť bezodkladne po uplynutí účinnosti uznesenia vlády, ktoré sa týka zákazu vychádzania; tým nie je dotknutá povinnosť tieto údaje uchovávať na splnenie iných účelov, ak je to potrebné v zmysle platných právnych predpisov;
  • Posúdiť povinnosť vypracovať posúdenie vplyvu na ochranu údajov podľa článku 35 GDPR, nakoľko článok 35 ods. 3 GDPR vyžaduje posúdenie vplyvu vypracovať ak prevádzkovateľ „spracúva vo veľkom rozsahu osobitné kategórie údajov podľa článku 9 ods. 1 GDPR“

Zhrnutie

Zamestnávateľ je oprávnený od svojich zamestnancov pri nástupe do práce v zmysle uznesenia vlády Slovenskej republiky č. 678 z 22. októbra 2020 a najmä v zmysle vyhlášky č. 16/2020 Úradu verejného zdravotníctva SR vyžadovať preukázanie sa negatívnym testom na COVID-19. Zamestnávateľ môže tento údaj spracúvať v súlade s právnym základom podľa článku 6 ods. 1 písm. c) GDPR alebo článku 6 ods. 1 písm. e) GDPR na účely plnenia svojich právnych povinností alebo úloh vo verejnom záujme. Alternatívne môžu zamestnávatelia využiť aj spracúvanie na právnom základe článku 6 ods. 1 písm. f) GDPR. Pri využití výnimky pre spracúvanie citlivých osobných údajov je možné využiť výnimky podľa článku 9 ods. 2 písm. b), g) a i) GDPR.

Zároveň upozorňujeme aj na dodatočné povinnosti týkajúce sa zabezpečenia osobných údajov, revidovania informačnej povinnosti, uchovávania údajov prípadne vykonania posúdenia vplyvu na ochranu údajov.

Zdroj: Univerzita Komenského v Bratislave, Právnická fakulta