Úřad pro ochranu osobních údajů vydal před několika dny první stanovisko k testování zaměstnanců, které bude dle informací na webu dále upřesňovat. Kdo věřil, že ho snad slavné a svaté GDPR ochrání, tak ten konečně pochopí, že v dnešní době neplatí absolutně nic. Kdo si naopak myslel, že Úřad pro ochranu osobních údajů zločiny vlády pokryje, tak má aspoň satisfakci, že není naivní pitomec.
Já jsem věděla, že to bude všechno prostě a jednoduše ok a ve jménu zdravotnické diktatury a záchrany neidentifikovatelných cizích lidí (kteří jsou mi vážně naprosto ukradení, má-li za jejich pofidérní záchranu platit životem svým a svých dětí) bude možné cokoli. Nejsem tudíž zklamaná, jen absolutně vyděšená.
Abych nebyla úplný pesimista, připomínám jeden nález Ústavního soudu z doby, kdy jsem ještě byli lidmi a nikoli objekty, kdy ještě existovala lidská práva a žili příčetní soudci. Třeba vám pomůže se dívat do budoucnosti s nadějí, když si uvědomíte, že naše žití bývalo i krásné a může takové znovu být, když se nepodvolíme:
„Lidská důstojnost totiž představuje nejvyšší hodnotu stojící v základu celého českého právního řádu, jakož i ústavního pořádku… Tím se lidská důstojnost stává objektivní ústavní kategorií a působí ve vztahu k ostatním jinak nehierarchicky uspořádaným základním právům (klasickým a politickým) jako hodnota nadřazená. Pod zorným úhlem výše uvedeného je tak jakýkoliv zásah či snížení lidské důstojnosti skutečně nezbytné vnímat jako zásah velmi závažný, a tedy i stěží reparovatelný, neboť lidská důstojnost je hodnotou horizontálně neporovnatelnou s ostatními ústavními hodnotami či společenskými normami…“
STANOVISKO
„Zaměstnavatelé při plnění uložené povinnosti zajišťovat testování zaměstnanců na přítomnost nákazy COVID-19 zpracovávají osobní údaje ke splnění právní povinnosti, která se na ně vztahuje dle obecného nařízení. Pokud dochází ke shromažďování osobních údajů přímo ze strany zaměstnavatele, dostává se ve smyslu obecného nařízení do role správce osobních údajů. Z důvodu veřejného zájmu v oblasti veřejného zdraví dle obecného nařízení je při testování zaměstnanců zpracovávána také zvláštní kategorie osobních údajů vypovídajících o zdravotním stavu. Samotné záznamy o provedení testů u jednotlivých zaměstnanců je možno využívat pouze v přímé souvislosti s plněním povinností uložených mimořádným opatřením.
Vlastní záznamy o provedení testů u zaměstnanců mohou obsahovat pouze základní identifikační údaje zaměstnance (jméno, příjmení, číslo pojištěnce), údaje o zdravotní pojišťovně zaměstnance, údaje o přesném čase provedení testu a výsledek testu na nákazu COVID-19. Stejné omezení rozsahu pouze na nezbytné osobní údaje platí i pro případné dokumenty prokazující výjimku z povinného testování daného zaměstnance (identifikační údaje zaměstnance, důvod výjimky z testování).
Doba uchování evidence provedených testů zaměstnanců nebyla v tomto opatření stanovena. Lze dovodit, že zaměstnavatelé mají povinnost vést evidenci provedených testů zaměstnanců nejméně do zrušení mimořádného opatření k provádění povinného testování zaměstnanců a k nezbytné kontrole zpracování plateb a nároků, které mohou v důsledku testování vzniknout.
Zaměstnavatelé musejí zároveň zajistit, aby osobní údaje byly zpracovávány s co nejvyšší ochranou soukromí, tedy aby standardně nebyly zpřístupněny neomezenému počtu osob. Samotná evidence provedených testů zaměstnanců musí být náležitě zabezpečena a přístup k ní by měly mít pouze osoby pověřené plněním úkolů k dodržování mimořádného opatření. Každý ze zaměstnavatelů musí přihlédnout ke svým organizačním a technickým dispozicím, aby evidenci provedených testů řádně zabezpečil před možnou ztrátou nebo zpřístupněním neoprávněným osobám (například řízení přístupu do vyčleněných prostor, řízení přístupu k datům, určení osob zpracovávajících osobní údaje, poučení osob zpracovávající osobní údaje o práci s daty).
Upozornit je třeba i na povinnost poskytnout zaměstnancům, v rámci informace o druhu a povaze testů a o zvoleném způsobu testování, také konkrétní informace o zpracování osobních údajů za účelem testování, mimo jiné o právním základu tohoto zpracování, případném předání údajů orgánům ochrany veřejného zdraví jako příjemcům a době uložení údajů. Záznamy o zpracování osobních údajů zaměstnanců za účelem testování jsou vedeny jako součásti záznamů o činnostech zpracování podle článku 30 obecného nařízení.„