Bez ohledu na současnou složitou situaci totiž není dotčena právní odpovědnost obchodních společností jako správců osobních údajů za jejich zákonné a řádné zpracování podle požadavků GDPR.
Obchodní společnosti jsou aktuálně vystaveny extrémnímu právnímu i faktickému tlaku, který je na jedné straně nutí přijímat mimořádná opatření k ochraně svých zaměstnanců, zákazníků i dodavatelů před virovou infekcí, ale současně je nezbavuje povinnosti všechna tato opatření provádět v souladu s požadavky obecného nařízení o ochraně osobních údajů (GDPR) a s respektováním soukromí a osobnostních práv dotčených fyzických osob.
V tomto směru přitom jde o celou řadu oblastí zpracování a ochrany osobních údajů, které mohou být příslušnými vnitropodnikovými opatřeními přímo či nepřímo dotčeny. Zásadní význam má skutečnost, že s těmito opatřeními je velmi často spojeno i zpracování takzvaných zvláštních kategorií osobních údajů (dříve „citlivé osobní údaje“) dle článku 9 GDPR, a to zejména informací o zdravotním stavu jak zaměstnanců, tak i zákazníků, dodavatelů anebo návštěv. Preventivní i následná opatření, jež jsou v rámci krizového řízení podniku přijímána, jsou totiž často zaměřena na zjišťování a shromažďování informací o aktuálním zdravotním stavu těchto osob, a to ať již přímou formou (například měřením teploty) anebo nepřímo, jako shromažďování, uchovávání a předávání informací o zdravotních problémech a onemocnění konkrétních osob.
Podstatné přitom je, že obchodní společnosti tato interní opatření přijímají a provádějí na základě povinností, které jim ukládají nejen výchozí právní předpisy, jako je zákon o ochraně veřejného zdraví anebo krizový zákon a na jejich základě vydaná krizová opatření vlády či krajů, ale že ve vztahu k zaměstnancům vycházejí i ze zákoníku práce, zejména z jeho ustanovení § 102.
Ačkoliv je velká část těchto informací zpracovávána obchodními společnostmi jakožto správci na základě právního důvodu „plnění právních povinností správce“ anebo „oprávněné zájmy správce“ a tedy v souladu s požadavkem na zákonnost zpracování podle článku 6 GDPR, tak nelze podceňovat některá další rizika s tím spojená. Tato rizika přitom vycházejí z toho, že i když jsou v souvislosti s krizovým řízením zpravidla splněny požadavky GDPR na stanovení účelu a na existenci právního důvodu zpracování osobních údajů, tak tím nejsou dotčeny i další základní povinnosti správce, zejména povinnost k zabezpečení údajů ve smyslu článku 32 GDPR a speciálně pak k technickému zabezpečení automatizovaně zpracovávaných údajů v informačních systémech.
Vedle plnění klíčového požadavku na zabezpečení zpracování osobních údajů je třeba dbát ve vztahu k informacím získaným a dále zpracovávaným v souvislosti s epidemií koronaviru rovněž na otázku poskytování těchto údajů třetím osobám. Problém v tomto směru přitom ani tak není v plnění oznamovacích povinností vůči orgánům veřejného zdraví (zejména hygienickým stanicím) a dalším příslušným státním orgánům, ale především v poskytování údajů osobní povahy pojišťovnám, externím poskytovatelům služeb a podobným subjektům, které mohou, ale nemusí být, v postavení zpracovatele osobních údajů zajišťujícího potřebný standard ochrany.
V těchto souvislostech je třeba vždy postupovat přísně individuálně a při jakémkoli nakládání s informacemi osobní povahy zohledňovat i požadavky GDPR na zpracování a ochranu osobních údajů. Základním vodítkem přitom nadále zůstává zejména právní úprava GDPR a zákona o zpracování osobních údajů, když dosud vydané stanovisko Evropského sboru pro ochranu osobních údajů (EDPB) anebo vyjádření českého Úřadu pro ochranu osobních údajů mají zatím jen obecné zaměření.
Pavel Koukal, Rödl & Partner Praha
Zdroj: Newsletter Česká republika, Rödl & partner Consulting, s.r.o., www.roedl.com/cz