Povinné testování zaměstnanců a ochrana osobních údajů
V souvislosti s povinným testováním zaměstnanců ve firmách na přítomnost koronaviru musí zaměstnavatelé zpracovávat také osobní údaje zaměstnanců, které jsou k účelu daného testování nezbytné. Z uvedeného testování však zaměstnavatelům plyne další navazující povinnost, kterou je ochrana osobních údajů získaných při daném testování a správné zacházení s těmito informacemi. Je důležité si uvědomit, že s těmito citlivými údaji je vždy potřeba zacházet velmi obezřetně a v souladu s předpisy.
Při testování zaměstnanců ve firmách vzniká zaměstnavatelům dosud nepoužívaná kategorie osobních údajů, které mají zaměstnavatelé povinnost ze zákona chránit a v souladu s danou ochranou je třeba při testování a zacházení s údaji postupovat
Povinnosti testovat nejen kmenové zaměstnance, ale i všechny ostatní pracovníky firmy na přítomnost viru SARS-CoV2, který způsobuje onemocnění Covid-19 se v současné době nevyhne už žádný zaměstnavatel. A pokud by se některý zaměstnavatel této povinnosti přece jen pokoušel vyhnout, hrozí mu ze zákona o ochraně veřejného zdraví pokuta až 500 000 Kč za neplnění příkazu testování.
Jenže, jak je naznačeno výše, je povinnost testování neodmyslitelně spjata s povinností další, kterou si zaměstnavatelé musí hlídat neméně pečlivě a věnovat ji stejnou pozornost jako testům samotným. Danou povinností je ochrana osobních údajů zaměstnanců. Jedná se o ochranu údajů, které jsou k procesu testování nezbytné a které si zaměstnavatelé musí zpracovat, uložit a uchovat pro případnou kontrolu právě ze strany orgánů ochrany veřejného zdraví.
Je nutné podotknout, že nejen povinnost testování, ale i následné zpracování osobních údajů s testováním spjatých je pro zaměstnavatele novou nutnou povinností, kterou si žádá epidemická situace a při jejím plnění se nelze řídit žádnou předchozí zkušeností. Pro zaměstnavatele v dané souvislosti není žádný jednoznačně nastavený manuál jak s těmito citlivými údaji přesně zacházet shromažďovat je a uchovávat. Existují pouze doporučení a postupy jak povinnost splnit v souladu se zákony o ochraně osobních údajů GDPR zákonem o ochraně veřejného zdraví č 258/2000 i zákonem o mimořádných opatřeních při epidemii nemoci Covid-19.
Každý zaměstnavatel musí získávání a zpracování osobních údajů spojených s testováním přizpůsobit rozsahu své činnosti, počtu zaměstnanců a dalším individuálním podmínkám, přitom je však potřeba vycházet z výše uvedených zákonných norem.
Zaměstnavatelé se musí soustředit na to, aby zacházeli jen s údaji opravdu nezbytnými a tyto údaje následně ochránili před ztrátou, nepovolenou manipulací a zneužitím cizími osobami
Zásadní v daném procesu pro zaměstnavatele je zda testování zaměstnanců zařídí prostřednictvím poskytovatele zdravotních služeb nebo bude testování probíhat přímo ve firmě takzvaným samoodběrem vzorků samotnými zaměstnanci.
Podle toho, kterou variantu zaměstnavatel zvolí, musí uzpůsobit i zacházení s osobními údaji. Pokud zaměstnavatel zvolí testování zaměstnanců prostřednictvím poskytovatele zdravotních služeb, pak bude i zpracování příslušných údajů na daném poskytovateli a ten se také primárně stará o ochranu těchto údajů a musí tuto ochranu zajistit v souladu s právními předpisy, kterými je jako poskytovatel dané služby vázán. Testování i zpracovávání údajů v daném případě probíhá mimo možnou kontrolu zaměstnavatele a tedy zde zaměstnavatel nemá tak velkou tíži na svých bedrech. Zaměstnavatel si musí pouze smluvně s poskytovatelem vyjednat, aby mu byly předány zpracované údaje, které potřebuje k doložení splnění povinnosti testování, ale na to jaké přesně údaje budou respektive, v jakém rozsahu vliv zaměstnavatel nemá. Ochrana citlivých údajů zde tedy na zaměstnavatele přechází až v okamžiku převzetí a musí zajistit především jejich uložení a archivaci.
Větší práci a odpovědnost bude zaměstnavatel s ochranou citlivých údajů mít, pokud zvolí testování zaměstnanců přímo ve firmě nebo se budou zaměstnanci testovat dokonce doma a zaměstnavateli předávat výsledky.
V daném případě se zaměstnavatel stává nejen správcem poskytnutých citlivých údajů, ale musí si zařídit, aby dostával ty správné údaje, aby byly odpovídajícím způsobem zaznamenávány, aby s údaji zacházeli a měli k nim přístup jen osoby daným úkolem pověřené a také, aby údaje byly náležitě uchovávány po dobu nezvykle nutnou.
Záznamy o testování by vždy měly obsahovat jen skutečně nezbytné identifikační údaje o zaměstnanci jméno, příjmení, rodné číslo, případně identifikační kód zaměstnance. Dalším nezbytným údajem je datum testování případně i čas a klíčovým údajem je samozřejmě výsledek testu.
Každý zaměstnavatel musí v rámci dané povinnosti vést i záznamy o zaměstnancích, kteří mají z testování výjimku. Výjimka znamená, že se daný zaměstnanec nemusí povinně testovat, protože je ve lhůtě 90 dnů po prodělání Covidu, je plně očkován, pracuje pouze z domova nebo je v pracovní neschopnosti. Také uvedené záznamy o výjimce z povinného testování musí obsahovat identifikační údaje zaměstnance, datum a důvod výjimky.
Všechny uvedené záznamy musí zaměstnavatel následně zabezpečit takovým způsobem, aby nemohlo dojít k jejich ztrátě, nepovoleným úpravám či nepovolené manipulaci s nimi. Na straně druhé musí mít zaměstnavatel záznamy vždy dosažitelné pro předložení kontrolním orgánům.
Doba uchovávání záznamů o testování je doporučena 3 roky od pořízení
Jak je zmíněno výše celý proces testování i záznamy údajů o něm, jsou pro zaměstnavatele a nejen pro ně nutnou novinkou vzniklou ze situace s epidemií Covidu a neexistuje žádná obdobná minulá situace, kde by se dalo inspirovat. Veškerá pravidla jsou tedy nově tvořena a není vyloučeno, že se budou ještě v bližší či vzdálenější budoucnosti přizpůsobovat a platí to i ohledně uchovávání záznamů.
Že je nutné záznamy o testování zaměstnanců ve firmách po určitou dobu uchovávat je jasné, ale doba pro toto uchovávání nebyla zatím pevně stanovena. Jako maximální doba pro uchovávání záznamů o testování se zatím jeví a jsou doporučovány 3 roky od pořízení záznamu. Uvedená lhůta se může ještě v budoucnu změnit a třeba i zkrátit, pokud by orgány ochrany zdraví na základě dalších budoucích poznatků a vývoje zjistily, že stačí záznamy uchovávat po kratší dobu.
Podobné články
Práci s umělou inteligencí je vždy nutné sladit s pravidly GDPR
V dnešní době je technologie umělé inteligence (AI) považována za jeden z nejvýznamnějších průlomů, který…
Více informací
Zprávu o udržitelnosti musí velké firmy od roku 2024 vykazovat povinně a pečlivě
Od roku 2024 se pro velké podniky a obchodní společnosti stává klíčovou povinností zpracování zprávy…
Více informací
Třinácté platy a odměny se budou ve firmách rozdávat i v roce 2023
Jak se blíží konec roku, je zvykem, že společnosti obdarovávají své zaměstnance. Mezi nejoblíbenější formy odměn…
Více informací
Směrnice NIS2 ukládá firmám i úřadům ostřeji střežit kyberbezpečnost již v roce 2024
Manažery větších firem s počtem zaměstnanců přesahujícím padesátku a ročním obratem v přepočtu kolem 10…
Více informací
