Nařízené testování zaměstnanců z pohledu GDPR

Vzhledem k současné epidemiologické situaci (zvyšování počtů nakažených) celá řada zaměstnavatelů zvažuje opět zavedení testování zaměstnanců; někteří vlastně testování zaměstnanců ani nikdy nezrušili. V souvislosti s testováním pak bude pravidelně docházet ke zpracování osobních údajů, zejména pokud zaměstnavatel o testovaných nebo případně očkovaných (kteří se zpravidla testovat nemusí) zaměstnancích povede nějakou evidenci. Nabízí se tak otázka, zda je zpracování údajů zaměstnanců o testování nebo očkování v souladu s „GDPR“, tedy s nařízením (EU) 2016/679 (Obecné nařízení o ochraně osobních údajů).

Specifická právní úprava této otázky v současné době chybí a je tak třeba využít existující (pracovně)právní předpisy.

Je to osobní údaj?

Údaj o testování na onemocnění covid-19 nebo o očkování proti tomuto onemocnění lze bezpochyby řadit mezi osobní údaje související se zdravotním stavem jedince. Toto potvrzuje i nařízení GDPR, které za tyto údaje považuje veškeré údaje související se zdravotním stavem subjektu údajů, které vypovídají o minulém, současném či budoucím tělesném nebo duševním zdraví subjektu údajů. Údaje o zdravotním stavu přitom podle nařízení GDPR zahrnují informace získané během provádění testů nebo vyšetřování části těla nebo tělesných látek a jakékoliv informace například o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě nebo fyziologickém či biomedicínském stavu subjektu údajů nezávisle na jejich původu. Informace o očkování lze podřadit pod informace související s rizikem onemocnění.

Dle nařízení GDPR údaje o zdravotním stavu patří do zvláštní kategorie osobních údajů, jejichž zpracování je až na výjimky zakázáno. Pro zpracování údajů o zdravotním stavu zaměstnance zaměstnavatelem, tj. včetně údajů o testování nebo očkování, lze vzít v úvahu aplikaci především následujících výjimek:

  • zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva; a
  • zpracování je nezbytné z důvodu významného veřejného zájmu.

V případě zpracování v rámci pracovněprávního vztahu pak bude připadat v úvahu pouze první z těchto dvou důvodů.

Je to zpracování?

Pokud zaměstnavatel o testování (a případně očkování) zaměstnanců povede evidenci, o zpracování osobních údajů se bude bezpochyby jednat. V případě, kdy by zaměstnanci zaměstnavateli test pouze ukázali, ale zaměstnavatel by tyto údaje nijak neevidoval, o zpracování osobních údajů by se zřejmě vůbec nejednalo.

Jaký je právní titul zpracování osobních údajů?

Poté, co došlo ke zrušení mimořádných opatření Ministerstva zdravotnictví, kterými byla zaměstnavatelům uložena povinnost testovat své zaměstnance na přítomnost covid-19 (resp. povinnost umožnit osobní přítomnost na pracovišti pouze negativně testovaným zaměstnancům), odpadla zcela jednoznačná povinnost upravená v těchto mimořádných opatřeních, která zakládala právní titul pro zpracování osobních údajů ve smyslu článku 9 odst. 2 písm. b) GDPR.

Právo zaměstnavatele testování i nadále vyžadovat se tak v současné době dovozuje z ustanovení zákona č. 262/2006 Sb., zákoníku práce, týkajících se bezpečnosti a ochrany zdraví při práci (zejména § 102), podle kterých je zaměstnavatel povinen vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímáním opatření předcházet rizikům. Do této povinnosti lze zařadit přijetí opatření proti šíření nemoci covid-19.

Zaměstnavatel je povinen soustavně vyhledávat nebezpečné činitele a procesy pracovního prostředí, kterým v současné době výskyt nákazy covid-19 bezpochyby je. Na základě toho je zaměstnavatel povinen hodnotit rizika a přijímat opatření k jejich odstranění. Pokud není možné rizika odstranit, je zaměstnavatel povinen přijmout opatření k omezení jejich působení tak, aby ohrožení bezpečnosti a zdraví zaměstnanců bylo minimalizováno. Tuto svou činnost musí zaměstnavatel dokumentovat – důvody zavedení povinného testování by tudíž měl mít dostatečným způsobem zdokumentované a odůvodněné identifikovanými riziky.

Je ale stále třeba vycházet z toho, že zaměstnanec je i v průběhu testování slabší stranou pracovněprávního vztahu a nemá v zásadě jinou možnost než přijaté opatření strpět. Proto musí být pečlivě vyhodnoceno, zda takové opatření dává smysl s ohledem na stávající epidemiologické riziko a zda není možné podobného výsledku dosáhnout jinými, méně invazivními způsoby.

Zaměstnavatelé při nařizování povinného testování musí vyhodnocovat možnosti šíření nemoci covid-19 podle svých jednotlivých pracovišť a podle aktuální situace na daném pracovišti. Podle toho také budou moci zvolit nejvhodnější opatření k prevenci rizika šíření nemoci, anebo dokonce k nepřijetí žádných opatření, vyhodnotí-li, že riziko na jejich pracovištích je nízké. Pokud tedy např. je možné zajistit, aby zaměstnanci pracovali v režimu home office nebo každý v samostatné kanceláři a prakticky do styku s ostatními zaměstnanci nepřicházeli, pak by nařízení povinného testování zřejmě nebylo namístě. Jako argument pro plošné testování tak může zaměstnavateli sloužit např. i případ z minulosti, kdy při absenci plošného testování došlo na pracovišti k šíření nákazy, které tak jasně prokázalo, že dosavadní přijatá opatření nebyla dostatečná.

Na druhou stranu je třeba vzít v úvahu, že scházení zaměstnanců a opatření proti izolaci jsou rovněž důležitou součástí hygieny práce a úplná eliminace osobního kontaktu nevede k vytvoření bezpečného a vhodného pracovního prostředí. Zaměstnavatel ale musí pravidla stýkání zaměstnanců a zavedení jejich testování pro tyto účely dostatečně vyvážit.

Právním důvodem zpracování osobních údajů zaměstnanců tak po zjištění potřeby i nadále testování zajišťovat bude založeno na výše uvedeném článku 9 odst. 2 písm. b) GDPR, protože zpracování bude nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva, a to konkrétně povinností plynoucích z povinnosti zaměstnavatele zabezpečit ochranu a bezpečnost zdraví při práci.

Jak může zaměstnavatel testování provádět

Po zrušení mimořádných opatření Ministerstva zdravotnictví, která přesně upravovala, jakým způsobem může zaměstnavatel testování zaměstnanců provádět a jaké platí výjimky, zaměstnavatelé již nadále taková závazná pravidla k dispozici nemají, resp. jejich dodržování jim není uloženo jako povinnost. Je tedy nadále na zaměstnavatelích, aby s přihlédnutím k pravidlům bezpečnosti a ochrany zdraví při práci stanovili, jak budou testování zaměstnanců provádět.

V praxi jsme se setkali např. s tím, že zaměstnavatelé testování provádějí na pracovišti s využitím poskytovatele pracovnělékařských služeb. Takové ujednání snižuje náročnost pro zaměstnavatele i zaměstnance. Při výskytu pozitivního testu na covid-19 pak informační povinnosti vůči příslušným orgánům státní správy plní poskytovatel pracovnělékařských služeb.

K testování prostřednictvím poskytovatelů zdravotní péče nutno dodat, že zaměstnavatel a poskytovatel zdravotní péče jsou v postavení dvou samostatných správců osobních údajů se všemi povinnostmi z toho plynoucími. Dle Úřadu pro ochranu osobních údajů by zaměstnavatel měl informaci o provedeném testování obdržet prostřednictvím potvrzení o provedeném testu vystaveném daným poskytovatelem. K takovému předání údajů o zdravotním stavu zaměstnavateli musí dojít na základě smluvního ujednání mezi zaměstnavatelem a poskytovatelem zdravotní péče (nejde však o smlouvu o zpracování osobních údajů mezi správcem a zpracovatelem).

Někteří zaměstnavatelé dále ukládají svým zaměstnancům, aby se při vstupu na pracoviště prokazovali negativním testem a přisuzují testům určitou platnost, odvislou od toho, zda se jedná o antigenní test, nebo PCR test. Vyloučit nelze ani samotestování zaměstnanců nebo jejich testování laickým zaměstnancem, jak v minulosti zavedla právě mimořádná opatření. Potřebný postup ale musí v tomto případě stanovit příslušný pracovní řád, a to na základě výše popsaného vyhodnocení rizik z hlediska bezpečnosti a ochrany zdraví při práci a vytváření bezpečných pracovních podmínek.

Kdo testování platí

Pro všechny osoby, které jsou účastny veřejného zdravotního pojištění v České republice, platí, že se mohou nechat testovat antigenním testem jednou za 7 dní a PCR testem dvakrát do měsíce, a takové testování je hrazeno z prostředků veřejného zdravotního pojištění. U antigenních testů se počítají odběry provedené poskytovatelem zdravotních služeb – nezáleží na tom, zda testování proběhne na odběrovém místě či v zaměstnání. Na hrazený test má nárok i očkovaná osoba nebo osoba, která prodělala onemocnění covid-19 a je v ochranné lhůtě 180 dnů po prvním pozitivním testu. Na odběrovém místě předloží průkaz pojištěnce nebo náhradní doklad.

Vzhledem k tomu, že pro určité volnočasové a jiné aktivity se rovněž vyžaduje předložení negativních testů, narážíme rovněž na otázku, zda může zaměstnavatel po zaměstnanci vyžadovat, aby případně hradil testy, které již nebudou uhrazeny z prostředků veřejného zdravotního pojištění. Zde je namístě závěr, že náklady na testování musí v tomto kontextu nést výlučně zaměstnavatel. V souladu se zákoníkem práce je totiž zaměstnavatel povinen zaměstnanci hradit náklady vynaložené v souvislosti s výkonem práce. Toto se tak vztáhne i na situaci, kdy pro výkon práce zaměstnavatel požaduje po zaměstnanci předchozí negativní test.

V tomto směru je třeba rovněž upozornit, že pokud zaměstnavatel požaduje po zaměstnanci negativní test, a přitom testování zaměstnanců na pracovišti nezajistí, nemůže po zaměstnanci požadovat, aby test absolvoval mimo pracovní dobu. Jedná se tak o překážku v práci s náhradou mzdy.

Evidence testovaných zaměstnanců

Pokud bude u zaměstnavatele po právu a v souladu s GDPR zavedeno povinné testování zaměstnanců, považujeme vedení evidence testovaných zaměstnanců za ospravedlnitelné a v souladu s nařízením GDPR. Vedení takové evidence jako zpracování údajů o zdravotním stavu lze podřadit pod výjimku zahrnující plnění povinností v oblasti pracovního práva. V úvahu v tomto kontextu lze vzít i významný veřejný zájem spočívající v prevenci šíření onemocnění covid-19.

Evidence zaměstnanců by měla obsahovat pouze základní identifikační údaje zaměstnance, resp. ideálně pseudonymizované (např. zaměstnanecké číslo), údaje o čase provedení testu a jeho výsledku.

Evidence očkovaných zaměstnanců

Lze předpokládat, že v souladu se zrušenými mimořádnými opatřeními Ministerstva zdravotnictví nebudou zaměstnavatelé vyžadovat testování u zaměstnanců, kteří jsou očkováni proti nemoci covid-19. Pokud bude u zaměstnavatele po právu a v souladu s GDPR zavedeno povinné testování zaměstnanců, může po právu vést evidenci očkovaných zaměstnanců.

Podle mého názoru ale zaměstnavatel nemá právo od zaměstnanců vynucovat informaci, zda je očkován – pokud zaměstnanec informaci, zda je očkován, odmítne sdělit, bude na něj zaměstnavatel hledět jako na neočkovaného. Evidence očkovaných zaměstnanců by měla rovněž obsahovat pouze základní identifikační údaje zaměstnance, resp. ideálně pseudonymizované (např. zaměstnanecké číslo), a informaci, zda je očkován, není očkován, nebo informaci zaměstnavateli nesdělil.

Zpracování údajů a související povinnosti

V případě vedení evidence testovaných a očkovaných zaměstnanců je zaměstnavatel při zpracování takových údajů v pozici správce osobních údajů se všemi povinnostmi vyplývajícími z nařízení GDPR, a to zejména:

  • poskytnout subjektům údajů (zaměstnancům) konkrétní informace o zpracování osobních údajů souvisejících s vedením evidence testovaných a očkovaných zaměstnanců (účel a právní důvod zpracování, rozsah zpracovávaných údajů, doba uchování atd.);
  • vést záznamy o činnostech zpracování podle článku 30 nařízení GDPR; a
  • zajistit, aby osobní údaje byly zpracovávány s odpovídající ochranou soukromí (přijmout technická a organizační opatření, aby byly osobní údaje řádně zabezpečeny před možnou ztrátou, neoprávněným zpřístupněním nebo nepovolenými úpravami). Tato opatření musí zaměstnavatel jako správce vyhodnotit s ohledem na množství údajů, použité systémy, lokaci apod. Z hlediska ochrany je třeba mít na paměti, že se jedná o zvláštní kategorii osobních údajů, takže by tato opatření měla být přísnější;
  • v případě, že přijatá opatření nebudou postačovat a zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, je správce povinen provést posouzení vlivu na ochranu osobních údajů (DPIA) ve smyslu článku 35 GDPR.

Účel a rozsah zpracovávaných údajů

Údaje o testovaných a očkovaných zaměstnancích je možné zpracovávat a používat výhradně v souvislosti s plněním povinností zaměstnavatele, ze kterých vyplývá jeho právo tyto osobní údaje o zaměstnancích zpracovávat. Zaměstnavatel tyto osobní údaje pro jiné účely v žádném případě zpracovávat nesmí.

Doba pro uchování

V souladu se zásadou minimalizace zpracování osobních údajů by mělo být zpracování údajů o testovaných a očkovaných zaměstnancích přiměřené a uskutečněné pouze na nezbytně nutnou dobu. Dle stanoviska Úřadu pro ochranu osobních údajů, který se vyjádřil k době uchování evidence testování během doby, kdy zpracování bylo uloženo mimořádnými opatřeními Ministerstva zdravotnictví, se s ohledem na související povinnosti zaměstnavatelů jevila jako maximální doba uchování osobních údajů v evidenci testování tři roky od doby jejich pořízení.

Vzhledem k tomu, že tyto povinnosti odpadly a neuplatní se již nutnost prokázat plnění uložených povinností vůči orgánům ochrany veřejného zdraví, domníváme se, že doba zpracování takových údajů by měla být kratší a měla by odpovídat potřebě tyto údaje a seznamy prověřovat a kontrolovat. Podle našeho názoru by se mělo jednat o dobu několika měsíců. Nicméně i zde lze očekávat vývoj, jak konec konců předjímal i Úřad pro ochranu osobních údajů ve svém stanovisku k povinnému testování zaměstnanců.

Závěry

Stávající situace s probíhající pandemií covid-19 s sebou nese pro zaměstnavatele i orgány státní správy celou řadu výzev. Právní úprava v tomto směru v mnohých aspektech nenabízí efektivní řešení pro problematické situace. Přijímaná opatření často zasahují do osobních práv a svobod jednotlivců a jen obtížně se daří najít rovnováhu. Následný soudní přezkum přijímaných opatření pak ukazuje, že ne všechna přijatá opatření přitom z hlediska přezkumu jejich ústavnosti obstojí.

I z tohoto hlediska by zaměstnavatelé měli při zavádění povinného testování zaměstnanců v situaci, kdy to není stanovené jako povinnost mimořádnými opatřeními, postupovat spíše restriktivně a věcně hodnotit, zda epidemiologické riziko zavedení plošného testování zaměstnanců vyžaduje a zda nejsou k dispozici jiné, méně invazivní způsoby, jak dosáhnout podobného výsledku.

Zdroje

Klíčová slova

Související články