Všechno má svá pravidla, i samo testování ve firmách. Víte jaká jsou z pohledu GDPR?

Pro správné zpracování osobních údajů u nové povinnosti samo testování COVID-19 a evidenci těchto testů, je nutné se z pohledu obecného nařízení (GDPR) řídit následujícím:

1. Správce (zpracovatel) je povinen vést evidenci o realizovaných testech. Zpracovávané osobní údaje v této evidenci jsou považovány za osobní údaje zvláštní kategorie (článek 9 Zpracování zvláštních kategorií osobních údajů GDPR) a proto podléhají zpřísněnému režimu zpracování.

2. Podléhají-li testované osoby mimořádnému opatření Ministerstva zdravotnictví jako zaměstnanci podniků, nebo zaměstnanci státní správy je zpracování výsledku testů na základě nezbytného splnění právní povinnosti (článek 6 Zákonnost zpracování GDPR).

3. V případě, že chce zaměstnavatel, jako správce osobních údajů (resp. jím pověřený zpracovatel), testovat osoby, které nespadají pod vyhlášená mimořádná opatření, lze zpracování provést pouze na základě výslovného souhlasu (článek 9 Zpracování zvláštních kategorií osobních údajů GDPR).

4. Veškeré osobní údaje zpracovávané v rámci provedených testů je možné využívat pouze v přímé souvislosti s plněním povinností uložených mimořádným opatřením. Toto se týká i osobních údajů zpracovávaných na základě souhlasu, kde jejich zpracování nesmí přesáhnout rozsah zpracování na základě plnění právní povinnosti a tento rozsah musí být uveden v souhlasu.

5. Doba uchování evidence nebyla stanovena, ale lze dovodit, že je nutné vést evidenci minimálně po dobu platnosti mimořádného opatření, resp. po dobu nutnou k prokázání daňových úlev v souvislosti s realizovaným testováním.

6. Protože se jedná o zpracování osobních údajů zvláštní kategorie (informace o zdravotním stavu) je správce (zpracovatel) povinen zajistit, aby osobní údaje byly zpracovávány s co nejvyšší ochranou soukromí, tedy aby standardně nebyly zpřístupněny neomezenému počtu osob. Osobní údaje v evidenci provedených testů zaměstnanců musí být náležitě zabezpečeny a přístup k ní by měly mít pouze osoby pověřené plněním úkolů k dodržování mimořádného opatření.

7. Proto je správce (zpracovatel) povinen, s přihlédnutím ke svým organizačním a technickým dispozicím, aby evidenci provedených testů řádně zabezpečil před možnou ztrátou, zneužitím nebo zpřístupněním neoprávněným osobám (řízení přístupů k datům, vyčleněné prostory pro analogová data, určení osob zpracovávajících osobní údaje a poučení těchto osob).

8. Správce (zpracovatel) má rovněž povinnost poskytnout testovaným osobám tyto informace:

• o druhu a povaze testů a o zvoleném způsobu testování
• o konkrétní informace o zpracování osobních údajů za účelem testování
• o právním základu tohoto zpracování
• o případném předání údajů orgánům ochrany veřejného zdraví jako příjemcům
• o době uložení údajů.

9. Správce (zpracovatel) musí vést záznamy o zpracování osobních údajů testovaných osob za účelem testování jako součást záznamů o činnostech zpracování (článek 30 Zpracování zvláštních kategorií osobních údajů GDPR).

Pro vlastní realizaci procesu testování doporučuji průvodce, který vydalo Ministerstvo průmyslu a obchodu.