Zpět na časté otázky

Názor Spolku pre ochranu osobných údajov

Téma: Preukázanie negatívneho testu verzus GDPR

Spolok pre ochranu osobných údajov je združenie profesionálov zaoberajúcich sa spracovaním a ochranou osobných údajov v súkromnom podnikaní, samospráve a verejnej správe. Zároveň sa jedná o profesijnú organizáciu združujúcu zodpovedné osoby menované k naplneniu povinností podľa článku 37 Nariadenia Európskeho parlamentu a Rady (EÚ) č. 2016/679. Členmi spolku však môžu byť aj iné osoby zaujímajúce sa o ochranu osobných údajov.

 

Preukázanie negatívneho testu verzus GDPR

V súvislosti s nepriaznivou situáciou druhej vlny pandémie koronavírusu COVID-19 vláda SR, za účelom obmedzenia šírenia vírusu, prijala niekoľko opatrení prostredníctvom uznesenia vlády SR č. 678 z 22. októbra 2020, a následne uznesenia vlády č. 693 z 28.10.2020. Jedným z primárnych opatrení je obmedzenie zákazu vychádzania, teda obmedzenie slobody pohybu a pobytu. Zároveň, z uvedeného obmedzenia udelila niekoľko výnimiek.

 

V závere, v bode C/C1 uznesenia vlády SR č. 693/2020 sa odporúča hlavnému hygienikovi SR vydať vyhlášku, „ktorou uloží povinnosť relevantným subjektom (zamestnávateľom, prevádzkovateľom atď.) vyžadovať potvrdenie o negatívnom výsledku RT-PCR testu alebo certifikát vydaný Ministerstvom zdravotníctva SR s negatívnym výsledkom antigénového testu certifikovaného na území Európskej únie na ochorenie COVID-19 vykonaný subjektom podieľajúcim sa na celoplošnom testovaní „Spoločná zodpovednosť“ pri vstupe do ich objektov“.

 

Na základe uvedeného Úrad verejného zdravotníctva SR („ÚVZ“) dňa 30.10.2020 vydal vyhlášku č. 16/2020 („Vyhláška“), ktorou sa nariaďujú opatrenia pri ohrození verejného zdravia vrátane režimu vstupu osôb do priestorov prevádzok a priestorov zamestnávateľa. Vyhláška bola zverejnená dňa 30.10.2020 vo Vestníku Úradu vlády SR. V § 1 uvedenej Vyhlášky z dôvodu ochrany života a zdravia, nariaďuje  všetkým  prevádzkovateľom  zariadení   zakázať   vstup   osobám   do   vnútorných  a vonkajších priestorov ich prevádzok, a následne v § 2 nariaďuje všetkým zamestnávateľom zakázať  vstup   zamestnancom,   okrem  výnimiek   v   prípade  osôb  uvedených  v   §  1   ods.   2 a zamestnancov uvedených v § 2 ods. 2 uvedenej Vyhlášky. Predmetnou Vyhláškou sa zároveň značne rozširuje okruh subjektov oprávnených požadovať predloženie potvrdenia o negatívnom výsledku RT-PCR testu alebo certifikátu vydaného MZ SR s negatívnym výsledkom antigénového testu na ochorenie COVID-19.

 

K tomu, aby mohlo byť spracúvanie osobných údajov zákonné, musí byť takéto spracúvanie v prvom rade založené na jednom z právnych základov podľa článku 6 ods. 1 GDPR a ak má ísť zároveň

o spracúvanie osobitných kategórií osobných údajov, tak musí byť naplnená aj jedna z výnimiek upravených v článku 9 ods. 2 GDPR. Údaj o výsledku RT-PCR testu alebo antigénového testu môže byť považovaný za osobitnú kategóriu osobného údaju (údaj o zdraví).

 

Použitie právneho základu je priamo previazané s daným účelom spracúvania, preto je prevádzkovateľ povinný k príslušnému účelu priradiť zodpovedajúci právny základ. Podľa nášho názoru Vyhlášku ako právny základ považujeme za dostatočný na spracúvanie príslušných osobných údajov na príslušný účel plnenia povinnosti z dôvodu ochrany zdravia vyplývajúci z Vyhlášky, a to v rovine článku 6 ods. 1 písm. c) GDPR (splnenie zákonnej povinnosti) a komplementárne v rovine článku 6 ods. 1 písm. e) GDPR (verejný záujem).

 

Je možné diskutovať o tom, že predmetná Vyhláška síce upravuje iba „oprávnenie“ požadovať od osôb predloženie príslušného dokladu, avšak § 1 ods. 1 a § 2 ods. 2 Vyhlášky jasne udeľuje prevádzkovateľom zariadení a zamestnávateľom povinnosť zakázať vstup určeným osobám (na ktoré sa neuplatňuje výnimka podľa Vyhlášky), pričom uvedenú povinnosť je možné splniť výlučne (aspoň) nahliadnutím do daného dokladu s negatívnym výsledkom na ochorenie.

 

Vzhľadom na to, že môže ísť o spracúvanie osobitnej kategórie osobných údajov, zastávame názor, že je možné uplatniť výnimky podľa článku 9 ods. 2 písm. b), g) a i) GDPR.

 

ÚVZ je v rámci svojej kompetencie a pôsobnosti oprávnený nariaďovať opatrenia a podľa § 48 ods. 4 písm. z) zákona č. 355/2007 Z.z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov v znení neskorších predpisov ÚVZ nariaďuje aj ďalšie nevyhnutné opatrenia na

 

ochranu verejného zdravia, ktorými môže zakázať alebo nariadiť ďalšie činnosti v nevyhnutnom rozsahu a na nevyhnutný čas.“

 

Z uvedenej Vyhlášky je možné identifikovať účel spracúvania, prevádzkovateľov, kategóriu osobných údajov, vrátane spracovateľskej činnosti a takisto je Vyhláška obmedzená na dobu určitú.

 

Určite je vhodné spomenúť aj ďalšiu relevantnú úvahu o tom, že niektoré prípady spracúvania osobných údajov prostredníctvom nahliadania do potvrdení o negatívnom výsledku RT-PCR testu alebo certifikátu s negatívnym výsledkom antigénového testu, môže byť mimo rámca GDPR, resp. aj zákona č. 18/2018

Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov („ZoOOÚ“).

 

Je nepochybné, že predmetné potvrdenia a certifikáty obsahujú osobné údaje a už samotné

„nahliadanie“ je možné vo väčšine prípadov považovať za spracúvanie (spracovateľskú činnosť), avšak sme toho názoru, že pri bežnom nahliadaní do potvrdení a certifikátov nemusí byť dokonca naplnená pozitívna vecná pôsobnosť GDPR podľa článku 2 ods. 1 a ani ZoOOU podľa § 3 ods. 1. To znamená, že ak pôjde o manuálne spracúvanie (nahliadanie) do potvrdení alebo certifikátov a osobné údaje obsiahnuté v potvrdeniach a certifikátoch nebudú tvoriť súčasť informačného systému prevádzkovateľa zariadenia alebo zamestnávateľa, takéto spracúvanie bude mimo pôsobnosti GDPR a ZoOOÚ. Vychádzame z toho, že o takéto jednoduché manuálne spracúvanie pôjde najmä v prípadoch prevádzkovateľov zariadení (§ 1 Vyhlášky), ak už s tým nebude spojené ďalšie dokumentovanie, registrácia alebo iné spracúvanie osôb vstupujúcich do prevádzky.

 

Ak sa však prevádzkovateľ zariadenia alebo zamestnávateľ rozhodnú, že osobné údaje z potvrdení alebo certifikátov použijú aj iným spôsobom (napríklad na archiváciu potvrdení/certifikátov pre účely prípadnej  kontroly   zo strany   štátnych orgánov, prepojenie   údaja o negatívnom výsledku z   testov s dochádzkou zamestnanca alebo na identifikáciu existencie prekážky na strane zamestnanca) môže ísť o spracúvanie osobných údajov v rovine GDPR za iným účelom, na ktorý si musí prevádzkovateľ/zamestnávateľ priradiť príslušný právny základ, vrátane prípadnej výnimky podľa článku 9 ods. 2 GDPR.

Analogicky poukazujeme aj na stanovisko EDPS (European Data Protection Supervisor), ktorý vo svojom stanovisku z 01. septembra 2020 pre inštitúcie EÚ uviedol, že na základné kontroly telesnej teploty určené iba na meranie telesnej teploty, ktoré sa vykonávajú manuálne a po ktorých nenasleduje registrácia, dokumentácia alebo iné spracúvanie osobných údajov jednotlivca, by sa v princípe nemalo vzťahovať GDPR.

 

Pripomíname, že prevádzkovatelia zariadení a zamestnávatelia by nemali zabúdať aj na ostatné povinnosti, ktoré im z regulácie ochrany osobných údajov vyplývajú (ak sa táto regulácia na nich vzťahuje), a to najmä informačná povinnosť voči dotknutým osobám, prípadné posúdenie vplyvu na ochranu údajov a podobne.

 

Sme si zároveň plne vedomí skutočnosti, že zákonné a podzákonné predpisy nemôžu vždy pamätať na všetky špecifické situácie, ktoré každodenná prax prináša (v legislatívnej praxi to ani nie je vždy možné), a teda veríme, že ÚOOÚ, ÚVZ, prípadne ústredné orgány štátnej správy v najbližších dňoch v rámci vzájomnej spolupráce vydajú pre prevádzkovateľov zariadení a zamestnávateľov metodiku alebo usmernenia pre niektoré situácie, pre ktoré je potrebný praktický výklad ustanovení Vyhlášky, aby nedochádzalo k právnej neistote.