IMPLEMENTATION GDPR DURING PANDEMIC
Jakub Juríčka
Abstract
The main goal of this paper is drescibe how organisations deal with personal data protection and implementing GDPR during pandemic.
Key words: Implementation, gdpr, pandemic
Abstrakt
Hlavným cieľom tejto semestrálnej práce je popísať ako organizácie dodržujú ochranu osobných údajom a implementujú GDPR počas pandémie
Kľúčové slová: Implementácia, gdpr, pandémia
Úvod
GDPR (General Data Protection Regulation) je všeobecné nariadenie na ochranu osobných údajov.[12] Je to nariadenie Európskej únie, ktoré nadobudlo účinnosť 25. mája 2018 a nahradilo vtedajší zákon o ochrane osobných údajov. GDPR sa dotýka každého, kto zhromažďuje a spracováva osobné údaje Európanov, vrátane spoločností a inštitúcií mimo EÚ, ktoré pôsobia na našom trhu. Nariadenie je platné pre firmy, inštitúcie, jednotlivcov – zamestnancov, zákazníkov, klientov aj dodávateľov naprieč všetkými odvetviami. Rovnako sa týka aj tých, ktorí analyzujú chovanie užívateľov webov a aplikácií.[1]
V roku 2020, s príchodom pandémie Covid 19, mnoho firiem začalo riešiť ako správne spracúvať údaje týkajúce sa zdravia svojich zamestnancov a ako by mal zamestnávateľ pristupovať k informáciám o zdravotnom stave zamestnanca bez toho, aby porušil právne predpisy.[3]
Prezenčný výkon práce
Mnoho ľudí náplň svojej práce musí vykonávať na sídle pracoviska[6]. Do tejto skupiny zamestnania patria napríklad gastro prevádzky, automobilky, priemyselná výroba atď. Tým pádom prichádza do styku väčšia skupina ľudí na pracovisku a je potreba chrániť zamestnancov voči riziku nákazy. Aby sa znížilo riziko nákazy zamestnávateľ môže vyžadovať od zamestnanca niekoľko údajov. Medzi údaje o zamestnancoch, ktoré zamestnávateľ spracúva v súvislosti s COVID-19, môžu patriť:[8]
- údaje týkajúce sa práceneschopnosti zamestnanca v kontexte nákazy COVID-19,
- údaje indikujúce pobyt zamestnanca v oblastiach označených ako vysoko rizikové z pohľadu možnej nákazy vírusom,
- údaje ohľadom možného kontaktu s osobou s podozrením na nákazu COVID-19,
- údaje získavané v súvislosti s meraním telesnej teploty pri vstupe do priestorov zamestnávateľa.
Nakoľko sa jedná o informácie, ktoré sa týkajú konkrétneho zamestnanca, musia byť posudzované v zmysle GDPR ako osobné údaje. Zároveň tieto údaje majú potenciálnu väzbu na zdravotný stav zamestnanca, a preto ich možno radiť medzi údaje týkajúce sa zdravia príslušnej dotknutej osoby.[8]
V krajinách, kde je vírus rozšírený najviac prijali opatrenia tamojšie DPA (Data protection authorities), ktoré konštatovali, že nie je vhodné, aby zamestnávatelia systematicky zbierali údaje o zdravotnom stave svojich zamestnancov[2]. Tento záver je logický, keďže k tomu sú poverené nemocnice, lekári, úrady verejného zdravia a pod.
Na druhej strane, zamestnanci môžu byť v rámci pracovnoprávneho vzťahu zaviazaní k tomu, aby informovali zamestnávateľa o rizikách týkajúcich sa ich zdravotného stavu. V každom prípade je však potrebné dbať na základné zásady spracúvania osobných údajov a ustanovenia čl. 9 Nariadenia GDPR, ktoré upravuje spracúvanie osobitných kategórií osobných údajov, ku ktorým patria údaje o zdravotnom stave.[5]
Írska DPA sa vyjadrila aj k získavaniu údajov o predchádzajúcich cestách zamestnancov a návštevníkov vstupujúcich do budovy. V rámci Írskeho právneho poriadku majú zamestnávatelia povinnosť chrániť svojich zamestnancov, preto sa v rámci ich jurisdikcie môže zamestnávateľ dopytovať na informácie o predchádzajúcich cestách, prípadne symptómoch.[8]
Podľa EPDS – Európskeho dozorného úradníka pre ochranu údajov je možné zamestnancom merať teplotu. „Základná kontrola telesnej teploty“ je určená iba na meranie telesnej teploty prostredníctvom neautomatizovaných prostriedkov, po ktorej nenasleduje registrácia, dokumentácia alebo iné spracúvanie osobných údajov jednotlivca. Takáto kontrola by v zásade nepodliehala rozsahu pôsobnosti nariadenia.“, vyplýva z usmernenia EPDS.[8]
Home Office
Boj proti epidémii COVID-19 spôsobil, že veľká väčšina podnikateľov, ktorí pôsobia v sektore IT, účtovníctvo, bankovníctvo, zaviedla aspoň do istej miery možnosť zamestnancom prácu z domu, tzv. Home Office. Home Office má zabrániť alebo obmedziť styk viacerých ľudí na pracovisku a tým znížiť mobilitu aby zabránili šírenie vírusu.
Home office ako inštitút nebol v zákone č. 311/2001 Z. z. Zákonníku práce v znení neskorších predpisov (ďalej len „Zákonník práce“) bližšie rozpracovaný, a to do času prijatia zákona č. 66/2020 Z. z., ktorým sa dopĺňa zákon č. 311/2001 Z. z. Zákonník práce v znení neskorších predpisov a ktorým sa dopĺňajú niektoré zákony (ďalej len „novela“). Novela Zákonníka práce bola prijatá s cieľom umožnenia flexibilnejšieho reagovania zamestnávateľov na dynamické zmeny, ktoré ovplyvňujú organizáciu práce, ale aj s cieľom ochrany zamestnancov pri niektorých úpravách v oblasti pracovného času.[4]
Novelou bol do Zákonníka práce včlenený § 250b, ktorý ustanovuje možnosť zamestnávateľa prikázať prácu z domu (z domácnosti) zamestnanca, ak:[7]
- ide o činnosť, u ktorej je to možné a
- ak práca na pracovisku nie je možná, nevyhnutná, prípadne je riziková z dôvodu prevencie šírenia prenosnej choroby a
- zamestnanec takýto výkon práce z domácnosti prípadne bezdôvodne odmieta (dohoda strán pritom nie je týmto ustanovením vylúčená).
Taktiež sa ustanovuje právo zamestnanca na výkon práce z domácnosti, a to za podmienky, že:
- povaha práce to umožňuje a
- nebránia tomu vážne prevádzkové dôvody (napr. potreba prítomnosti časti zamestnancov na pracovisku).[4]
Zavedenie home office pre viac zamestnancov, prípadne pre celú firmu, nie je také jednoduché a ide o určitý proces, ktorý so sebou prináša povinnosti pre zamestnávateľa i v oblasti ochrany osobných údajov a ich bezpečnosti. Pri práci z domu pritom hrozí vyššie riziko úniku, straty osobných údajov, či iné bezpečnostné incidenty, ktoré môžu mať dopad na ochranu osobných údajov. Zamestnávatelia by preto mali zvýšiť ochranu osobných údajov a poučiť zamestnancov o manipulácii s nimi v domácom prostredí.[9]
GDPR nezakazuje prácu z domu. GDPR a ani žiaden úrad priamo neruší možnosti prenášania pracovných notebookov a ani nezavádza zákazy narábania s osobnými údajmi v pracovných zariadeniach, ktoré sú mimo pracoviska. Tvrdí to skôr neznalosť zamestnávateľov, alebo náklady na dokumentáciu a stanovenie pravidiel. Je preto dôležité kontaktovať sprostredkovateľa GDPR dokumentácie, alebo Úrad pre ochranu osobných údajov, aby spoločnosti a zamestnávateľovi predostrel podoby pravidiel a dokumentácie pre prácu z domu, pokiaľ je potrebné v spoločnosti riešiť oprávnenia.[10]
Záver
Pri spracúvaní osobných údajov v súvislosti s ochoreniami a mimoriadnymi situáciami možno aplikovať aj právny základ, ktorí nie je bežne využívaný – ochrana životne dôležitých záujmov.[11] Je však dôležité plniť všetky povinnosti vyplývajúce z GDPR Nariadenia – od zásad, cez informačnú povinnosť až po bezpečnosť na všetkých úrovniach. K tomu je potrebné mať prijaté interné postupy a dokumenty k ochrane osobných údajov.
Pri home-office zamestnancov pomôžu k dodržiavaniu povinností, prípadne plneniu bezpečnostných opatrení napríklad návody pre zamestnancov – ako spracúvať osobné údaje a na čo si dať pozor – zabezpečiť listinné dokumenty a zariadenie, používať firemnú VPN, zálohovať na firemnom cloude a pod.
Tieto opatrenia zmierňujú riziká bezpečnostných incidentov alebo porušenia ochrany osobných údajov.[8]
Použitá literatúra
- [1] GDPR-SLOVENSKO.SK [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://gdpr-slovensko.sk/co-je-gdpr/>.
- [2] JURČÁK, V. et al. Evropská bezpečnost. 4. In Bezpečnostní vědy : úvod do teorie, metodologie a bezpečnostní terminologie . Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2019. s. 89–140. ISBN 978-80-7380-758-0.
- [3] KONVIT, M. GDPR pre firmy v čase koronakrízy COVID-19 – KPMG Slovensko. In KPMG [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://home.kpmg/sk/sk/home/insights/2020/05/gdpr-pre-firmy-v-case-koronakrizy-covid-19.html>.
- [4] MIČUDOVÁ, T. Verejná správa SR – Home office – v kontexte nariadenia GDPR + smernica. In vssr.sk [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://www.vssr.sk/clanok-z-titulky/home-office-v-kontexte-nariadenia-gdpr-2.htm>.
- [5] PAWERA, R. et al. Management of diversity and equal opportunities as an important element of healthy development of Slovak citizens. In Social and health aspects in the dimensions of human life situations : (scientific studies) . Brno: Tribun EU, 2020. s. 91–104. ISBN 978-80-263-1613-8.
- [6] PERÁČEK, T. GDPR in terms of data protection in the field of HRM. In RELIK 2020 [elektronický dokument] : Reproduction of human capital – mutual links and connections . Praha: Prague University of Economics and Business, 2020. s. 445–453. ISBN 978-80-245-2394-1.
- [7] PORADCA PODNIKATEĽA, A.C. S r o, S.-EPI Bezpečnosť a zdravie. In bezpecnostvpraxi.sk [online]. 2018. [cit. 2020-12-01]. Dostupné na internete: <http://www.bezpecnostvpraxi.sk/prolog-v-praxi/bezpecnost-a-zdravie.htm>.
- [8] RAVAS, F. Coronavírus a GDPR: zamestnávatelia a osobitné kategórie. In Securion [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://www.securion.sk/koronavirus-a-gdpr/>.
- [9] ROPOAOBCE.SK COVID-19 Bezpečnosť osobných údajov pri práci z domu | direktor.sk. In [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://www.direktor.sk/sk/aktuality/covid-19-bezpecnost-osobnych-udajov-pri-praci-z-domu.a-13467.html>.
- [10] TOMÁŠ, T. [online]. 2018. [cit. 2020-12-01]. Dostupné na internete: <https://zn.sk/strasiak-gdpr-praca-skonci-home-office/>.
- [11] VESELÝ, P. Manažment ochrany informácií. . Praha: TopSmart Business, 2020. ISBN 978-80-270-9014-3.
- [12] VESELÝ, P. Problém GDPR. In Ochrana osobných údajov [elektronický dokument] . 2017. .
Celé vydanie časopisu Manažérska Informatika ročník 1, 2020, číslo 2
Indexed : GOOGLE SCHOLAR