Covid-19
Pravidla stanovená obecným nařízením o ochraně osobních údajů (GDPR) na takovouto mimořádnou situaci pamatují v článku 9 odst. 2 písm. i), podle kterého lze zpracovávat údaje o zdravotním stavu osob, jestliže je to nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví a ochrany před vážnými přeshraničními zdravotními hrozbami. Konkrétní situace zahrnující zpracování osobních údajů, jejich rozsah a dobu ukládání upravuje zákon o ochraně veřejného zdraví.
Příslušné orgány ochrany veřejného zdraví jsou oprávněny provádět epidemiologická šetření zaměřená zejména na ověření diagnózy a zjištění ohniska nákazy. Osoby jsou povinny sdělit příslušnému orgánu na jeho výzvu okolnosti důležité v zájmu podobných šetření.
V současné době platí nouzový stav, který byl vyhlášen usnesením vlády. Jedná se o období, kdy je možné na nezbytně nutnou dobu a v nezbytně nutném rozsahu omezit některá práva a svobody. Tzv. trasování je umožněno usnesením vlády č. 250 (odkaz vede na pdf soubor) ze dne 18. března 2020 k zajištění zvýšené ochrany obyvatel.
Pokud je to nezbytné ke zjištění ohniska nákazy, mohou orgány ochrany veřejného zdraví požadovat u telekomunikačních operátorů údaje o pohybu osob vyplývající z lokalizačních údajů zjištěných z mobilního telefonu. Dotčené osoby však musí být o takovém opatření informovány.
Zároveň musí být respektovány obecné zásady shromažďování osobních údajů včetně přiměřenosti těchto opatření a omezení doby trvání takového opatření na nezbytnou dobu.
Aplikace eRouška je založena na dobrovolnosti. K jejímu používání nemůže být nikdo nucen, tedy ani zaměstnanec využívající služební mobilní telefon jako pracovní prostředek přidělený zaměstnavatelem. Zaměstnavatel nemůže bez zákonného zmocnění ukládat zaměstnanci povinnost stát se subjektem údajů ve zpracování, u kterého zaměstnavatel není správcem osobních údajů.
Povinné mobilní aplikace by ze zákona měly poskytnout záruky, že údaje umožňující identifikaci konkrétního uživatele aplikace jsou využity pouze k trasování možného šíření nákazy COVID-19, za důsledného dodržení zásady omezení uložení osobních údajů pouze po dobu nezbytně nutnou. K jinému účelu být využity nemohou.
Rozhodnutí o vedení evidence návštěvníků přísluší pouze orgánům ochrany veřejného zdraví, pokud by s ohledem na aktuální stav pandemické situace konstatovaly nezbytnost vedení evidence návštěvníků určitých podniků z důvodu veřejného zájmu v oblasti veřejného zdraví.
Evidence fyzických osob je zpracováním osobních údajů, ke kterému musí být právní důvod podle článku 6, v případě údajů o zdravotním stavu i článku 9 GDPR. Vedení takové evidence za účelem zjišťování osob pozitivních na COVID-19 nelze založit na souhlasu návštěvníků, neboť souhlas je svobodným a odvolatelným projevem vůle a jeho udělením nemůže být podmiňováno poskytnutí služby. Nelze tedy předpokládat, že by souhlas dali všichni návštěvníci.
Svévolnou evidenci návštěvníků nelze ospravedlnit ani ochranou práv majitele restaurace třetích osob ve spojení s povinností zaměstnavatele zajistit zaměstnancům bezpečnost na pracovišti podle zákoníku práce, neboť sběr a uchovávání údajů cizích osob nelze považovat za nezbytné a převažující nad právem na ochranu osobních údajů.
Jestliže by šlo o dobrovolný seznam účastníků jednorázově pořádané akce, který by nesloužil k vytváření stálé evidence fyzických osob, a byl by skartován po 14 dnech, což je odpovídající doba pro to, aby se nákaza projevila, nebyl by takový postup v rozporu se zásadami ochrany osobních údajů.
Obdobně mohou být přípustná jednotlivá písemná prohlášení např. návštěvníků určité instituce, že nepřišli do styku s nákazou, pokud jsou uchovávána pouze po odpovídající dobu 14 dnů a není z nich vytvářena žádná evidence, ani nejsou podrobována automatizovanému zpracování poskytnutých osobních údajů.
Zákoník práce obecně ukládá zaměstnavateli povinnost vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímáním opatření k předcházení rizikům.
V konkrétních situacích je zaměstnavatel povinen postupovat tak, aby předcházel rizikům, odstraňoval je nebo minimalizoval, mluví se o tzv. prevenční povinnosti. Zaměstnavatel je tedy v situaci ohrožení povinen přijmout potřebná ochranná opatření odpovídající daným okolnostem. Je přirozeně vhodné postupovat v součinnosti s orgány ochrany veřejného zdraví, kterým je také zaměstnavatel v některých situacích povinen ohlásit skutečnosti stanovené právní úpravou.
Zaměstnavatelé musí také v rámci preventivní povinnosti informovat o rizicích vhodným způsobem ostatní zaměstnance. Takové riziko může spočívat v tom, že na pracovišti se vyskytuje nebo vyskytovala nakažená osoba. Tehdy zaměstnavatel postupuje tak, že učiní veškerá nezbytná opatření. Skutečnosti o konkrétní osobě sděluje zaměstnavatel pouze v rozsahu nezbytném k ochraně zdraví, vždy tak aby nebyla dotčena důstojnost a integrita této osoby.
Takto široce kladený okruh otázek porušuje zásadu minimalizace údajů. Je nepřiměřený.
Odpovídající jsou například formulace typu, zdali země, ve které zaměstnanec strávil dovolenou, není aktuálně na seznamu zemí označených jako rizikové, zda byly plněny požadavky orgánů ochrany veřejného zdraví z toho případně vyplývající či jestli si není vědom toho, že by přišel do styku s nákazou.
Zároveň je třeba dodržet zásadu omezení uložení údajů na dobu nezbytně nutnou. Není důvod, aby údaje týkající se možné nákazy byly zaměstnavatelem evidovány dlouhodobě.
V úvahu je třeba brát i charakter pracoviště.
Pokud není k dispozici národní infrastruktura, je, i s ohledem na minimální rozsah osobních údajů a potřebu umožnit jednoduché rychlé spojení bezpečnostní rady se členy štábu, využití zahraničního cloudového řešení akceptovatelné.
Údaje osob, zařazených do krizového štábu města nebo městské části by měly být omezeny pokud možno jen na kontaktní údaje (jméno, funkce + pracovní e-mail, pracovní telefon). V tomto minimálním rozsahu není jejich zpracování rizikové.
Současně je třeba upozornit oprávněné osoby, které k údajům budou mít přístup, že některé informace, např. telefonní čísla policistů, jsou neveřejné.
Distanční výuka, jako provizorní forma vzdělávání, má co nejlépe kopírovat podmínky výuky ve třídě. Kontakt vyučujícího se žákem/studentem je jistě žádoucí a v některých případech patrně nezbytný.
Požadavek, aby měl žák zapnutou kameru, je důsledkem legitimního stanovení prostředků zpracování osobních údajů žáků nebo studentů při distanční výuce v nastalé situaci, pro splnění úkolu ve veřejném zájmu ve smyslu čl. 6 odst. 1 písm. e) obecného nařízení o ochraně osobních údajů (GDPR), kterým je škola jako správce osobních údajů pověřena na základě zákona č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon). Zároveň však škola pochopitelně musí přizpůsobit distanční výuku jak individuálním podmínkám jednotlivých žáků, tak také svým personálním a technickým možnostem.
Stanovení metodiky, podmínek i průběhu distanční výuky spadá do kompetence Ministerstva školství, mládeže a tělovýchovy. Metodické doporučení pro vzdělávání distančním způsobem vydalo Ministerstvo školství, mládeže a tělovýchovy 24. srpna 2020. Metodika shrnuje právní, organizační a pedagogické prvky distančního způsobu vzdělávání a má školám pomoci při nastavování pravidel při případném přechodu na distanční výuku. Vedení škol a vyučující zde najdou doporučení pro jednotlivé typy škol od mateřských, základních a středních až po vyšší odborné školy, konzervatoře a základní umělecké školy.