Ne. Evropský sbor pro ochranu osobních údajů zdůrazňuje, že i v této mimořádné době musí správci a zpracovatelé zajistit ochranu osobních údajů subjektů údajů. Měly by být všestranně zohledněny záruky zákonného zpracování osobních údajů a ve všech případech by mělo být pamatováno na skutečnost, že jakékoliv opatření v dané souvislosti musí respektovat obecné zákonné zásady a nesmí být nevratné.

Stav nouze je okolnost, která může legitimizovat omezení svobod všem jen za předpokladu, že tyto restrikce budou úměrné a omezené jen na dobu nouze.

Zpracovávat osobní údaje může být nezbytné např. při:

• trasování pohybu nakažené osoby pro dohledání dalších možných nakažených,
• informování obyvatel prostřednictvím mobilních komunikačních sítí (zasílání varování a výzev ve formě SMS zpráv).

Zpracovávat osobní údaje v souvislosti s koronavirem je možné především na základě článku 6 odst. 1 písm. e) Nařízení GDPR, tzn. pokud je zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce.

Zpracování zvláštní kategorie osobních údajů (údajů o zdravotním stavu) je možné na základě článku 9 odst. 2 písm. i) Nařízení GDPR, tj. zpracování nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče a léčivých přípravků nebo zdravotnických prostředků, na základě práva Unie nebo členského státu, které stanoví odpovídající a zvláštní opatření pro zajištění práv a svobod subjektů údajů, zejména služebního tajemství.

Na nezbytnost zpracování osobních údajů v době pandemie upozorňuje i recitál 46, který ve své druhé části obsahuje tvrzení, že některé druhy zpracování mohou sloužit jak důležitým důvodům veřejného zájmu, tak životně důležitým zájmům subjektu údajů, např. je-li zpracování nezbytné pro humanitární účely, včetně monitorování epidemií a jejich šíření.

Zpracování osobních údajů umožňujících předchozí lokalizaci osob je nezbytné pro dohledání dalších osob, které mohly být s šiřitelem nákazy ve styku.

K získávání a zpracovávání osobních údajů v souvislosti s šířením nákazy jsou podle zákona o ochraně veřejného zdraví oprávněny orgány ochrany veřejného zdraví. Takové zpracování osobních údajů může probíhat pouze na základě jejich pokynů.

Mezi orgány veřejného zdraví lze zařadit:

• krajské hygienické stanice,
• Ministerstvo zdravotnictví,
• Ministerstvo vnitra,
• Ministerstvo obrany,
• apod.

Pravidla stanovená Obecným nařízením o ochraně osobních údajů (Nařízení GDPR) upravují takovou mimořádnou situaci v článku 9 odst. 2 písm. I), podle kterého lze zpracovávat údaje o zdravotním stavu osob, jestliže je to nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví a ochrany před vážnými přeshraničními hrozbami. Recitál 46 Nařízení GDPR výslovně zmiňuje monitorování pandemií. Konkrétní situace zahrnující zpracování osobních údajů, jejich rozsah a dobu ukládání upravuje zákon o ochraně veřejného zdraví.

Příslušné orgány veřejného zdravá jsou oprávněny provádět epidemiologická šetření zaměřená zejména na ověření diagnózy a zjištění ohniska nákazy. Osoby jsou povinny sdělit příslušnému orgánu na jeho výzvu okolnosti důležité v zájmu podobných šetření.

Pokud je to nezbytné ke zjištění ohniska nákazy, mohou orgány ochrany veřejného zdraví požadovat u telekomunikačních operátorů a bank údaje o pohybu osob vyplývající z lokalizačních údajů zjištěných z mobilního telefonu nebo platebních karet. Dotčené osoby musí být o takovém opatření informovány. Vždy by mělo být upřednostněno zpracování anonymizovaných údajů.

Zároveň musí být respektovány obecné zásady shromažďování osobních údajů včetně přiměřenosti těchto opatření a omezení doby trvání takového opatření na nezbytnou dobu. Vždy by měla být upřednostněna nejméně vtíravá řešení s ohledem na konkrétní sledovaný účel.

V současné době (ke dni 20. dubna 2020) stále platí nouzový stav, který byl vyhlášen usnesením vlády. Jedná se o období, kdy je možné na nezbytně nutnou dobu a v nezbytně nutném rozsahu omezit některá práva a svobody. Tzv. trasování je umožněno usnesením vlády č. 250 ze dne 18. března 2020 k zajištění zvýšené ochrany obyvatel.

Zákonnou povinností správců je zpracovat analýzu rizik požadovaných operací zpracování osobních údajů a při zavádění zpracování postupovat transparentně, tedy řádně vysvětlit potřební opatření. Tím mimo jiné odstraní případné pochybnosti o probíhajícím zpracování údajů a neodůvodněnosti zásahů do soukromí.

Další postup je shodný s běžnými činnostmi zpracování osobních údajů, to je např. vypracování záznamů o činnostech zpracování, definování právního titulu a účelu zpracování, informování subjektů údajů apod.

Zvláštní uplatnění zde naleznou hlavně zásady proporcionality a minimalizace údajů. Zaměstnavatel by měl požadovat zdravotní informace jen v rozsahu povoleném národním právem.

Ano, v konkrétních situacích je zaměstnavatel povinen postupovat tak, aby předcházel rizikům, odstraňoval je nebo minimalizoval – mluví se o tzv. prevenční povinnosti. Zaměstnavatel je tedy v situaci ohrožení povinen přijmout potřebná ochranná opatření odpovídající okolnostem.

Zaměstnavatel musí také v rámci preventivní povinnosti informovat o rizicích vhodným způsobem ostatní zaměstnance. Takové riziko může spočívat v tom, že se na pracovišti vyskytuje nebo vyskytovala nakažená osoba. Tehdy zaměstnavatel postupuje tak, že určí veškerá nezbytná opatření. Skutečnosti o konkrétní osobě sděluje zaměstnavatel pouze v rozsahu nezbytném k ochraně zdraví, vždy tak, aby nebyla dotčena důstojnost a integrita této osoby.

Zaměstnavatelé by měli informovat personál o případech nákazy COVID-19 a přijmout ochranná opatření, neměli by však sdělit více informací, než je nutné. V případech, kdy bude nezbytné uvést jména nakažených zaměstnanců (např. kvůli prevenci) a národní právo to dovoluje, musí být dotčení zaměstnanci předem informováni a je třeba chránit jejich důstojnost a integritu.