Zpracování a poskytování osobních údajů zaměstnanců zaměstnavatelem ve snaze zabránit šíření nemoci COVID-19 na pracovišti

16. 02. 2026

Zákoník práce, resp. celé pracovní právo se často musí vypořádávat s protichůdnými zájmy a potřebami zaměstnavatele na straně jedné a zaměstnance na straně druhé, kdy ani oblasti upravující nakládání s citlivými informacemi o zaměstnancích zaměstnavatelem se tento problém nevyhnul. Do kolize se dostává zájem zaměstnavatele na řádném výkonu závislé práce zaměstnancem projevující se v jeho majetkových zájmech, na druhé straně zájem na ochraně soukromí zaměstnance.

Ochrana soukromí zaměstnance je promítnutím základního práva každé fyzické osoby na ochranu její důstojnosti a soukromí, rodinného a soukromého života, resp. práva na ochranu osobních údajů, tj. ústavně garantovaných lidských práv. Tato práva jsou předvídána především čl. 7, 10, 12 a 13 LZPS, kterým článek 112 Ústavy přiznává ústavněprávní rozměr.

V rovině sekundárního práva EU je stěžejní přímo použitelné GDPR společně s nahrazením zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, provádějící transpozici této směrnice do právního řádu České republiky.

Na úrovni vnitrostátní právní úpravy pak především ZP, který obsahuje právní úpravu osobních práv zaměstnance především v ustanovení § 316 uvozeného nadpisem: „ochrana majetkových zájmů zaměstnavatele a ochrany osobních práv zaměstnance“. Název této rubriky predikuje zájem právní úpravy u nadcházejících ustanovení. Pro účely článku je především významný odstavec 4 tohoto paragrafu, ze kterého je na první pohled patrno, že se jedná o generální ustanovení zákona, které bude užíváno za kooperace jiných ustanovení právního řádu, a ve své aplikaci spoléhá především na OZ, který tvoří subsidiární oporu pro ZP. OZ ve svém postavení lex generalis ^[1] bude na místě subsidiárně aplikovat v případě dodržení všech zákonných podmínek právní úpravy, a to především soulad se zásadami pracovního práva. OZ tvoří ucelenou koncepci ochrany osobnostních práv, na základě kterých se v souladu s ustanoveními § 81 až § 117 tohoto zákona lze domáhat opuštění od dalšího protiprávního zásahu a případné reparace již vzniklých následků v souvislosti s tímto zásahem.^[2] Ochrana těchto osobnostních práv je poskytována i prostřednictvím trestního deliktního práva (srov. ustanovení § 178 TZ) a správního deliktního práva (srov. ustanovení § 7 odst. 1 písm. a) zákona o některých přestupcích).

Je zřejmé, že ochrana osobnostních práv v podobě práva na soukromí a práva na ochranu osobních údajů není předmětem jednoho právního předpisu, tedy ZP nebo OZ, jak by se to mohlo na prvního pohled jevit, ale jedná se o vzájemnou souhru právních předpisů a jednotlivých právních norem, a to práva veřejného i soukromého.

Při zásahu do osobnostních práv zaměstnance proto nelze vyloučit například souběh trestněprávních následků a spolu s nimi řízení o náhradě škody, nebude-li tato přiznána v trestním řízení v rámci tzv. adhezního řízení.^[3] Hůrka^[4] například v této souvislosti uvádí příklad o možnosti vzájemného souběhu žaloby na ochranu osobnosti s právem žádat uveřejnění odpovědi a dodatečného sdělení podle tiskového zákona nebo zákona o provozování rozhlasového a televizního vysílání. Na poli pracovního práva by bylo vhodnější místo žádosti o uveřejnění odpovědi a dodatečného sdělení uvést příklad o udělení sankce dle GDPR, což je přiléhavějším případem k tématu článku.

Janečková^[5] dělí osobní údaje na ty, u kterých zpracování osobních údajů předpokládá speciální právní úprava explicitně, dále na ty, jejíž zpracování sice právní úprava bezprostředně nepředpokládá, ale tato potřeba plyne k naplnění účelu v jednotlivých ustanoveních předpokládaných, a pak na ty, které zaměstnavatel zpracovává z vlastního rozhodnutí, na což je vhodné brát zřetel především při hodnocení oprávnění zpracovávání osobních údajů, kdy případné zakotvení zpracovávání osobních údajů právním předpisem je klíčové pro rozhodování o samotné oprávněnosti tohoto zpracovávání zaměstnavatelem.

 

 

Získávání a nakládání s osobními údaji bez následného zpřístupnění třetím osobám

Základní terminologie a zásady zpracování osobních údajů

Osobními údaji dle článku 4 odst. 1 GDPR jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Pokud je v této kapitole článku pojednáváno o zaměstnanci, myslí se tím zároveň i subjekt údajů a naopak.

Problematiku zpracování osobních údajů dle GDPR je dále vhodné uvést zásadami, na kterých je zpracování osobních údajů vystavěno a které jsou stanoveny v článku 5 GDPR. První ze zásad, která všechny zásady symbolicky uvozuje, je zásada zákonnosti, korektnosti a transparentnosti, která zdůrazňuje, že zpracování osobních údajů je zásahem do základních práv subjektů osobních údajů, a proto je nutno striktně dodržovat zákonné úpravy a eliminovat případný protiprávní stav, byť i s tímto případně GDPR počítá.^[6] Zásada účelového omezení a minimalizace údajů nařizuje zpracovávat osobní údaje v nezbytné míře, pro kterou to vyžaduje účel tohoto zpracování a cíle GDPR. Nelze zpracovávat informace, které jsou nadbytečné a bezprostředně nesměřují k naplnění účelu pro které jsou osobní údaje zpracovávány. Z tohoto důvodu je zřejmě nadbytečná věta první v ustanovení § 316 odst. 4 ZP, dle které zaměstnavatel nesmí vyžadovat od zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce a se základním pracovněprávním vztahem uvedeným v § 3, což plyne i z přímo použitelného nařízení GDPR. Tento závěr o nadbytečnosti lze dovodit i z faktu, že nařízení GDPR poskytuje zaměstnancům vyšší míru ochrany. Ustanovení § 316 odst. 4 ZP hovoří toliko o vyžadování informací, kdy GDPR v této souvislosti poskytuje ochranu nejen v rámci vyžadování informací dle ZP, ale při veškerém nakládání s těmito údaji v souladu s definicí zpracování osobních údajů uvedené v nařízení GDPR. Správce údajů je dále povinen zpracovávat údaje správné a pro tyto účely osobní údaje v případě potřeby průběžně aktualizovat v souladu se zásadou přesnosti. Zásada omezení uložení souvisí se zásadou účelového omezení s rozdílem, že u této zásady je omezení časové, nikoliv účelové. V souladu s touto zásadou jsou osobní údaje umožňující osobní identifikaci zpracovávány pouze v délce nezbytně dlouhé pro účely zpracování těchto údajů. Osobní údaje je možno zpracovávat v rozporu s předchozí větou jen tehdy, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů. A konečně zásada integrity a důvěrnosti, která klade nejvyšší nároky na způsob zpracování, aby se minimalizovala šance na neoprávněný přístup či zneužití zpracovaných údajů.

Další zásadou dle článku 5 odst. 2 GDPR je zásada odpovědnosti, kde se spíše než o zásadu jedná o zdůraznění odpovědného subjektu z případného pochybení a jednání v rozporu s GDPR. Pro tento závěr svědčí i systematické zařazení do samotného odstavce 5 tohoto článku.

Je hodné podotknout, že tento výčet není taxativním, a tedy konečným. Z GDPR lze dovodit i další zásady, které článek 5 GDPR explicitně neuvádí. Z GDPR lze dále dovodit zásadu proporcionality, spočívající v nutnosti zvažování každého zásahu do základního práva subjektu údaje v souladu s jinými hodnotami, které mají typicky protichůdný zájem. Toto je vyjádřeno i v rozsudku ESD ze dne 12. 7. 2012, C-59/11, Graines Baumaux SAS. Zásada subsidiarity zpracování je taktéž vyjádřením povahy omezování základního práva subjektu údaje, kdy pro tyto účely je nutno zasahovat do základních práv pouze tehdy, nelze-li účelu dosáhnout jiným, méně invazivním způsobem. Zásada omezení převodu informací do třetích zemí je zásadou explicitně vyjádřenou v čl. 44 a násl. GDPR, která zakládá možnost zpracování osobních údajů mimo země vázané GDPR jen v případech, kdy je v těchto zemích zaručena dostatečná ochrana zpracovávaných osobních údajů srovnatelná s úpravou GDPR, tedy ochrana, která má minimálně stejný standard jak GDPR, popřípadě jsou poskytnuty vhodné záruky, které budou způsobilé naplnit ochranu zpracovávaných osobních údajů.^[7] Konečně zásada zvýšení ochrany osobních údajů dětí, která je vyjádřena již v recitálu 38 GDPR, ve kterém se hovoří především o zvýšené ochraně dětí z důvodu jejich nezkušenosti a nevědomosti rizik spojených s poskytováním osobních údajů, což odůvodňuje striktnější přístup pro zpracování těchto osobních údajů a nutnost větší ochrany.

 

 

Monitorování zdravotního stavu a nákazy nemoci COVID-19 jako osobní údaj

Tato část článku si klade za cíl pojednat především o shromažďování osobních údajů a následné práci s osobními údaji, aniž by byly následně zpřístupněny. Samotnému zpřístupňování osobních údajů se věnuje následná část, která se zaměří na určitá specifika spojená s touto činností. Pokud bude v této části pojednáváno o zpracování osobních údajů, myslí se tím zpracování v užším smyslu tak, jak je definováno v této větě bez ohledu na legální definici dle GDPR.

„Údaje o zdravotním stavu zaměstnanců patří mezi zvláštní kategorie osobních údajů (citlivé osobní údaje) a na jejich zpracování se uplatňují přísnější pravidla.“^[8]

Soudní dvůr EU ve věci Bodil Lindqvist proti Švédsku vykládal pojem předchozí právní úpravy „údaj týkající se zdraví“ velice široce, kdy konstatuje, že tento pojem: „zahrnuje informace týkající se všech stránek zdraví člověka, ať fyzických či duševních“, a z tohoto důvodu se jedná o osobní údaj týkající se zdraví ve smyslu č. 8 odst. 1 směrnice 95/46 (nyní citlivý osobní údaj o zdravotním stavu dle čl. 9 odst. 1 GDPR).

Pojem citlivý osobní údaj zmiňuje ve svém úvodu recitál 10 GDPR, kdy je tento osobní údaj privilegován systematickým řazením mezi tzv. zvláštní kategorii citlivých údajů, kdy je současně explicitně vyjádřeno, že:  „nařízení nevylučuje, aby právo členského státu stanovilo okolnosti konkrétních situací, při nichž dochází ke zpracování, včetně přesnějšího určení podmínek, za nichž je zpracování osobních údajů zákonné“, čímž GDPR umožňuje diskreci členským státům, zda zachovají minimální standard požadovaný dle GDPR, či z vlastní iniciativy tuto ochranu ještě zpřísní.

Ve článku 9 odst. 1 GDPR je potom definice zvláštních kategorií citlivých údajů, kdy se jedná o údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby, kdy v souvislosti s tímto výčtem je apriori zakázáno zpracování těchto citlivých osobních údajů.

Hned v následujícím odstavci tohoto článku je omezena působnost výše uvedeného odstavce 1 na určité situace, kdy je stanoveno, za jakých situací zákaz zpracování těchto osobních údajů neplatí. Z tohoto rozsáhlého taxativního výčtu se pro účely zkoumané problematiky hodí zmínit především písm. a), písm. b), písm. h), popřípadě písm. i), kterým je věnováno bližší pojednání níže.

Omezení osobnostních práv předpokládá i ESD ve své rozsudku ze dne 17. 10. 2013, C-291/12, Michael Schwarz proti Městu Bochum, konstatuje, že právo dle čl. 7 a 8 LPEU není neomezené, a aplikující orgán má a musí přihlédnout k účelu těchto práv a jejich funkci ve společnosti. Toto vše podporuje odkazem na čl. 52 odst. 1 LPEU, který výslovně připouští omezení práv a svobod uznaných LPEU, zároveň však zdůrazňuje, že předmětný článek v sobě zahrnuje omezení, za kterých k tomuto dojde. Toto omezení musí být stanoveno zákonem a respektovat podstatu těchto práv a svobod. Při dodržení zásady proporcionality mohou být omezení zavedena pouze tehdy, pokud jsou nezbytná a pokud skutečně odpovídají cílům obecného zájmu, které uznává Unie, nebo potřebě ochrany práv a svobod druhého.

Jako primární právní titul k zpracování veškerých osobních údajů GDPR předpokládá souhlas jako první pojednávanou výjimku z obecného zákazu výše uvedené. Dle písm. a) je možné předmětné údaje zpracovávat v případě souhlasu zaměstnance, kdy na souhlas jsou kladeny speciální požadavky. Především je nutno, aby souhlas byl výslovný, což je první podmínkou tohoto souhlasu. „Tato kvalita je významný rozdíl oproti souhlasu podle čl. 6 odst. 1 písm. a), který je možné udělit i konkludentně (…), zatímco u citlivých osobních údajů je tato forma do jisté míry zjednodušujícího udělování souhlasu (či odvozování z jiných nesporných a jasných skutečností) vyloučena.“^[9] Písemná forma není obligatorní, je však v zájmu zaměstnavatele tuto formu zvolit pro případné lepší důkazní postavení. Stejně tak textová forma, u které však bude obtížnější prokázat, že právní jednání v textu obsažené lze přiřadit k jednajícímu z důvodu absence jeho podpisu, což výrazně podkopává důkazní funkci dokumentu v textové podobě. Evropský sbor pro ochranu osobní údajů ohledně kvality souhlasu již dříve varoval, že tato výjimka umožňující zpracování citlivých osobních údajů je fakticky omezena vztahem závislosti zaměstnance a zaměstnavatele, což narušuje věrohodnost projevu svobodné vůle. V tomto případě lze tento důvod zaměstnavatelem užít jen pro případy, že bude schopen prokázat svobodnou vůli při udělování tohoto souhlasu.^[10] Toto pravidlo však jistě nelze chápat absolutně, kdy toto by ad absurdum znamenalo povinnost prokazovat všechny potřebné náležitosti vůle jednajícího. Lze tedy uvažovat o racionalizovaném důkazním břemeni zaměstnavatele, který prokáže, že zaměstnanec měl možnost projevit svou svobodnou vůli, do kterého nebylo ze strany zaměstnavatele nijak zasahováno a následně by bylo případně na zaměstnanci, aby prokázal, že tomu tak nebylo.

Druhou podmínkou pro to, aby souhlas vyvolával právní následky, je ta, že zaměstnanec nemůže svým souhlasem zrušit zákaz podle čl. 9 odst. 1 GDPR, což lze zjednodušeně vyjádřit i tak, že udělení souhlasu je v souladu s právní úpravou vnitrostátní či unijní,^[11] čímž GDPR nechává prostor i pro případnou úpravu pro konkrétní případy zákony speciálními. Tímto může být v úpravě pracovního práva například ustanovení § 316 odst. 4 zákoníku práce, které zakazuje zaměstnavateli po zaměstnanci požadovat údaje v tomto odstavci uvedené, některé vždy, některé pouze za situace, kdy k tomuto nebude věcný důvod spočívající v povaze práce.

Dle článku 9 odst. 2 písm. b) GDPR je zpracování osobních údajů dle článku 9 odst. 1 GDPR možné v případech, kdy je zpracování nezbytné pro účely plnění povinností nebo výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva.

Toto má za cíl udržet soulad jednotlivých právních předpisů členských států s právem EU, kdy není možné zakázat zpracování osobních údajů právem EU v případech, kdy zpracování těchto osobních údajů je povinností dle vnitrostátní právní úpravy členského států, popřípadě je tato povinnost založena rozhodnutím orgánu veřejné moci.^[12] Jedná se tedy o pravidlo speciální, které zaručuje neaplikovatelnost pravidla aplikační přednosti práva EU před právem vnitrostátním.^[13] Jako příklad lze uvést situaci, kdy dle ustanovení § 105 ZP se předpokládá objasnění vzniku pracovního úrazu zaměstnance zaměstnavatelem.  Bez výjimky výše uvedené, by byl zaměstnavatel vystaven povinnosti řádně objasnit vznik pracovního úrazu, což si vyžaduje mnohdy vědomost osobních údajů a na druhou stranu vystaven riziku porušení povinností dle GDPR. Speciální vnitrostátní úprava, která bude za pomoci nařízení 9 odst. 2 písm. b) GDPR aplikována však nemá vliv na další přímo použitelná ustanovení nařízení GDPR a je nutno i pro tyto situace dodržet při zpracování osobních údajů požadavky v nařízení uvedené.

Údaje o zdravotním stavu definuje GDPR jako zvláštní termín ve svém čl. 4 bodě 15. jako osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu.

Jak již bylo výše uvedeno, na osobní údaj o zdravotním stavu zaměstnance se může vztahovat výjimka ze zákazu zpracování těchto údajů, a to především z důvodu povinnosti sběru těchto informací uložené zaměstnavateli účinnou právní úpravou.

Tímto je i potřeba ochrany zaměstnanců na pracovišti a plnění povinností zaměstnavatele v oblasti bezpečnosti práce, kdy je povinností zaměstnavatele vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímáním opatření k předcházení rizik.^[14]

Tento závěr však nelze paušalizovat, kdy naplnění předpokladů pro legitimaci zpracování informací o zdravotním stavu zaměstnanců, v souladu s výjimkami výše uvedenými, bude nutno posuzovat vždy dle jednotlivých okolností případu.

Pokud nebude možné zákaz zpracování osobních údajů legitimovat formou souhlasu zaměstnance, je nutno posuzovat, zda není naplněna jiná výjimka ze zákazu, která by legitimovala tento postup. V této souvislosti dozorující orgán ÚOOÚ, který v souladu s ustanovením § 50 zákona č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů, vykonává dozor v této oblasti, konstatoval, že: „v konkrétních situacích je zaměstnavatel povinen postupovat tak, aby předcházel rizikům, odstraňoval je nebo minimalizoval, mluví se o tzv. prevenční povinnosti. Zaměstnavatel je tedy v situaci ohrožení povinen přijmout potřebná ochranná opatření odpovídající daným okolnostem. Je přirozeně vhodné postupovat v součinnosti s orgány ochrany veřejného zdraví, kterým je také zaměstnavatel v některých situacích povinen ohlásit skutečnosti stanovené právní úpravou“^[15], z čehož se dovozovalo právo zaměstnavatele zpracovávat osobní údaje o zdraví zaměstnance v souladu s výjimkou dle čl. 9 odst. 2 písm. b) GDPR.  Stejně tak Otevřel ^[16] považuje zdravotní stav zaměstnance jako typický příklad vhodný pro aplikaci čl. 9 odst. 2 písm. b) GDPR v případě splnění dalších předpokladů.

Již na první pohled je zřejmé, že v této souvislosti je zaměstnavatel vystaven nelehké situaci, kdy bude muset posoudit, zda sběr informací o zaměstnancích, ať už měření teploty těla termokamerami, či měření teploty manuálním způsobem, přes testy na pracoviště až po samotnou informaci o nákaze zaměstnance, ale i mnoho jiných, jsou nezbytné pro poskytování bezpečného a zdraví neohrožujícího pracovního prostředí.^[17] Toto vyžaduje po zaměstnavateli nelehké posouzení právní otázky ohledně přípustnosti zpracování osobních údajů, kdy předpoklady pro toto nejsou konstantní, jedná se o proměnné, na které musí zaměstnavatel neprodleně reagovat, kdy v případě pochybení je vystaven následkům předvídaných v GDPR, popřípadě jiných zákonech.

Ourodová ve svém článku uvádí jako kritéria posuzování nezbytnosti zpracování těchto citlivých osobních údajů pro udržení bezpečného a zdraví neohrožujícího pracovního prostředí. Mezi tyto kritéria řadí: „charakter pracoviště, počet a rozmístění pracovníků a na aktuální vývoj epidemiologické situace, a zda jej nelze nahradit jiným, méně invazivním opatřením“.^[18] K tomuto dodáváme, že tento výčet bezesporu není absolutní, kdy je nutno uvést, že dále je možné přihlédnout i k vykonávané činnosti, vzájemnému osobnímu kontaktu, užití ochranných pomůcek zaměstnanci na pracovišti, střídání jednotlivých zaměstnanců přidělených na jednotlivé směny, ale i k jiným faktorům ovlivňující možnost vzájemné nákazy mezi zaměstnanci, které budou ovlivněny především formou činnosti zaměstnavatele.

Nastalou situaci spojenou s epidemií předpokládá samotné GDPR, kdy v recitále 46 o epidemii explicitně pojednává, kdy je konstatováno, že: „zpracování osobních údajů by mělo být rovněž považováno za zákonné, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné fyzické osoby. Zpracování osobních údajů na základě životně důležitého zájmu jiné fyzické osoby by mělo v zásadě proběhnout pouze tehdy, pokud zjevně nemůže být založeno na jiném právním základě. Některé druhy zpracování mohou sloužit jak důležitým důvodům veřejného zájmu, tak životně důležitým zájmům subjektu údajů, například je-li zpracování nezbytné pro humanitární účely, včetně monitorování epidemií a jejich šíření nebo v naléhavých humanitárních situacích, zejména v případech přírodních a člověkem způsobených katastrof.“, čímž jednoznačně naznačuje, jak ke zpracování osobních údajů během pandemie přistupovat.

K ospravedlnění zásahu do osobnostních práv z důvodu pandemie spojené s nemocí COVID-19 se přiklání například i Mašek^[19] ve svém článku, který zároveň zdůrazňuje povinnost respektovat při zpracování těchto údajů principy a pravidla zpracování osobních údajů podle GDPR. Stejně tak Horecký^[20], který za legitimní důvod zpracování osobních údajů za epidemiologické situace považuje především plnění veřejného zájmu v oblasti veřejného zdraví. Co tím veřejným zájmem je, již neuvádí. Klíč k interpretaci tohoto neurčitého právního pojmu nestanoví ani zákon č. 94/2021 Sb., o mimořádných opatřeních při epidemii onemocnění COVID-19 a o změně některých souvisejících zákonů, a je tedy nutno toto dovodit výkladem v reakci na konkrétní okolnosti případu. Určit, co je veřejným zájmem může být mnohdy složité. Lze jej v jednoduchosti definovat jako hodnotu, která bude ku prospěchu veřejnosti. Toto však neznamená zájem většiny, kdy i zájem jednotlivce může v případě přesahujícího rozsahu jeho osobního zájmu při srovnání s jiným zájmem, reprezentující větší počet osob, obstát. Judikatura Nejvyššího správního soud razí tezi, že o veřejném zájmu se nerozhoduje v rámci legislativního procesu, ale až samotnou aplikací k tomu povolanými subjekty. V demokratickém právním státě je nežádoucí, s ohledem na dělbu moci, aby o tomto rozhodovala moc zákonodárná. „Veřejný zájem (…) musí být výslovně formulován ve vztahu ke konkrétní posuzované záležitosti a musí být přesvědčivě odlišen od zájmu soukromého či kolektivního“^[21]

K možnosti zpracování citlivých osobní údajů ohledně zdraví zaměstnanců se v souvislosti s epidemií vyjádřil i Evropský sbor pro ochranu osobních údajů, ve svém vyjádření Statement on the processing of personal data in the context of the COVID-19 outbreak ze dne 19. 3. 2020 ve kterém dovozoval oprávněnost zpracování citlivých osobních údajů s odkazem na článek 9 odst. 2 písm. i) GDPR, kdy epidemiologickou situaci podřazuje pod tuto výjimku. Z textace této výjimky plyne, že podmínkou pro aplikaci je veřejný zájem, který zde GDPR spojuje se zdravotními hrozbami a ochranou zdraví. Již na první pohled je zřejmé, že tato výjimka je formulována mnohem šířeji než ostatní výše uvedené. Je proto nutno vykládat toto ustanovení restriktivně, především pak pojem veřejný zájem, s odkazem na smysl ustanovení, a při výkladu a aplikaci této normy mít na paměti zásady GDPR, které se zde projeví neméně, jak u ostatních výjimek, a to s ohledem na abstraktnost pojmu veřejného zájmu budou tyto zásady plnit značný interpretační a aplikační účel. Soukromý zájem je v tomto případě irelevantní.

 

 

Možnost sdělování osobních údajů ohledně zdravotního stavu a nákazy nemocí COVID-19 zaměstnavatelem zaměstnancům

Když už byly v článku rozebrány předpoklady zpracování citlivých osobních údajů se zaměřením na zdraví zaměstnanců během pandemie, je žádoucí zkoumat, zda je možné po zpracování těchto údajů je následně distribuovat jiným zaměstnancům na pracovišti, a to ve snaze předejít dalšímu šíření nákazy.

I pro tyto případy se uplatňují zásady GDPR výše uvedené, z čehož lze dovodit, že zaměstnavatel obecně není oprávněn poskytovat informace o zdravotním stavu, ale i jiné informace rozhodné pro zdravotní stav mimo pracoviště zaměstnavatele, a to s ohledem na fakt, že bude pro zaměstnavatele obtížné odůvodnit potřebnosti takového sdělení vůči externím subjektům, a z tohoto důvodu se článek zaměří pouze na informace o zdravotním stavu poskytované zaměstnavatelem zaměstnancům o ostatních zaměstnancích sdílející totožné pracoviště, kde je otázka komplikovanější.

V této části bude pojednáno o možnosti zpřístupnit citlivé osobní údaje jiným zaměstnancům z pracoviště zaměstnavatele, kdy toto shledávám jako vážnější zásah do práv subjektu osobních údajů, než samotné shromažďování a práci s těmito údaji zaměstnavatelem, byť GDPR formálně shromažďování, zaznamenávání, uspořádávání, strukturování a distribuci osobních údajů a zpřístupnění nijak nerozlišuje, když tuto činnost v souladu s výše uvedenou definicí považuje za zpracování osobních údajů.

Z tohoto důvodu lze v této souvislosti odkázat na vše uvedené v předchozí části, protože pojednání v předchozí části vycházelo z právní úpravy GDPR, která jako zpracování osobních údajů považuje i zpřístupnění těchto údajů o zdravotním stavu i jiným subjektům, v souladu s definicí zpracování v tomto nařízení uvedené.

Je však nutno při zpřístupnění citlivých osobních údajů klást větší důraz na odůvodnění nakládání s těmito osobními údaji, kdy jednáním ze strany zaměstnavatele dochází k veřejnému zpřístupnění omezenému okruhu osob, mající vztah k pracovišti zaměstnavatele, což bude typicky větším zásahem do osobnostních práv zaměstnance, a s tím předpoklad vyšší míry potřeby takového postupu než samotné zpracovávání těchto údajů zaměstnavatelem.

Horecký^[22] v této souvislosti považuje zpřístupnění osobních údajů za tak závažný zásah do osobnostních práv subjektu údajů, že jednoznačně odmítá závěr o oprávněnosti tohoto postupu zaměstnavatelem. Na tento radikální závěr navazuje tvrzením, že předmětem zpřístupnění osobních údajů může být toliko sdělení počtu nakažených nebo například zveřejnění jednotlivých ohnisek pracoviště bez uvedení konkrétních jmen. Dostatečnost tohoto opatření odůvodňuje tak, že: „dostatečná informovanost zaměstnanců o počtu nakažených kolegů může vést k řádné obezřetnosti nenakažených zaměstnanců, tedy k naplnění jednoho ze zákoníkem práce vytyčených cílů – bezpečných a zdraví neohrožujících podmínek na pracovišti.“ Což je dle něj dostačující.

S těmito závěry se nemůžu ztotožnit, byť kvituji snahu o co nejvyšší míru ochrany citlivých osobních údajů na pracovišti tak, jak to předpokládají zásady GDPR, a to s ohledem na příliš rigidní závěr nezohledňující možné situace, které mohou na pracovišti nastat a které vyžadují flexibilní a bezprostřední reakci k zabránění šíření nemoci COVID-19 na pracovišti, což je bezpochyby veřejným zájmem, na který poukazuje i GDPR. Stejně tak může být pro ochranu života a zdraví zaměstnanců velice rozhodná informace o očkování jednotlivých zaměstnanců. Tato informace však nemusí být vždy zásadní tak, jako informace o nákaze u konkrétního zaměstnance. Je tedy povinností zaměstnavatele pečlivě, v souladu proporcionalitou zvažovat, zda i toto je nezbytným krokem pro nastolení bezpečného pracoviště. Otázku očkování lze považovat s ohledem na sociální situaci ve společnosti jako určitý názor, který polarizuje společnost. Může se tedy jednat v krajním případě o narušení práva na svobodné vyjádření názoru v souladu s článkem 11 odst. 2 LPZS. Jistě to může být i důvodem pro odlišné zacházení na pracovišti, což je především s ohledem na LZPS a zákona č. 198/2009 Sb. o rovném zacházení a o právních prostředcích ochrany před diskriminací a o změně některých zákonů, nepřijatelné.

Nesouhlasný názor s Horeckým zastává i ÚOOÚ, který možnost informovat zaměstnance o jiném zaměstnanci na pracovišti nakaženým nemocí COVID-19 za určitých situacích předpokládá. Zaměstnavatel je však i v těchto případech povinen respektovat důstojnost a integritu osoby, které se citlivý osobní údaj týká. ^[23]

 

 

Dílčí závěr

Citlivým osobním údajem je jakákoliv informace o zdravotním stavu týkající se všech stránek zdraví člověka, ať fyzických či duševních^[24]. Z tohoto důvodu nejen informace o nákaze zaměstnance nemocí COVID-19, popřípadě jakoukoli jinou nemocí, ale i kterákoliv jiná informace o zdravotním stavu, kterou zaměstnavatel zpracovává pro účely předcházení výskytu nemoci na pracovišti, a s tím spojeného bezpečného prostředí pro výkon závislé práce, je považována za informaci o zdravotním stavu. Zpracování osobních údajů o zdravotním stavu, jakožto citlivých osobních údajů, není komplikované v případě souhlasu zaměstnance. Pokud tento souhlas není dán, je nutno najít oporu v zákoně, na základě které by bylo možno souhlas zaměstnance nahradit. Výše bylo uvedeno několik výjimek, kterých se může zaměstnavatel dovolat při zpracovávání citlivých osobních údajů bez souhlasu zaměstnance, já se nejvíce přikláním k té dle článku 9 odst. 2 písm. b) GDPR, která předpokládá plnění zákonné povinnosti, kterou v tomto případě shledává v nutnosti zajištění zdravého pracovního prostředí, což dle mě je potřeba, která během pandemie a případně jiných vysoce infekčních nemocí převáží potřeby chránit citlivé osobní údaje o zdravotním stavu, především v době, kdy je nemoc COVID-19 považována jako součást života, která se může vyskytnout u kteréhokoliv jedince.

Vždy je však nutno naplnit konkrétní požadavky kladené na jednotlivé výjimky dle konkrétního ustanovení, a zároveň při poměřování protichůdných zájmů zohlednit i zásady GDPR, kdy bude na správci osobních údajů, aby prokázal, že zpracování těchto citlivých osobních údajů je nezbytné, a to s odkazem na jednotlivé okolnosti, které byly výše uvedeny. Na druhou stranu v situacích, kdy tomu tak nebude, například z důvodu, že je epidemiologická situace na ústupu, většina zaměstnanců je očkována, zaměstnanci nepřicházejí do osobního styku a jiných důvodů zpochybňující potřebu zpracování citlivých osobních údajů o zdraví zaměstnanců, bude prokázání legality a legitimnosti tohoto zpracování velice obtížné, kdy důkazní břemeno bude tížit správce osobních údajů.

 

Článek je sepsán dle právní úpravy k 1.1.2022.

 

---

Citace:

^[1]Zákoník práce opustil metodu vztah delegace mezi občanským zákoníkem a zákoníkem práce novelou č. 365/2011 Sb., která reaguje na nález ÚS č. 116/1998 Sb.

^[2] HŮRKA, Petr a kol. Pracovní právo. 3. vydání. Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2020, s. 357.

^[3] Ustanovení § 228 odst. 1 TŘ.

^[4] HŮRKA, Petr a kol. Pracovní právo. 3. vydání. Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2020, s. 360.

^[5] JANEČKOVÁ, Eva, BARTÍK, Václav. Ochrana osobních údajů v pracovním právu (Otázky a odpovědi). Praha: Wolters Kluwer Česká republika, 2016, s. 62.

^[6] Např. článek 33 a 34 GDPR.

^[7] European Data Protection Board. Guidelines 2/2018 on derogations of Article 49 under

Regulation 2016/679. Lucemburk: Publication Office of European Union, 2018. Dostupné z: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22018-derogations-article-49-under-regulation_cs.

^[8] SELUCKÁ, Markéta a kol. Covid-19 a soukromé právo. Otázky a odpovědi 1. vydání. Praha: C. H. Beck, 2020, s. 47.

^[9] OTEVŘEL, Richard. Zpracování zvláštních kategorií osobních údajů. In. UŘIČAŘ, Miroslav, RÁMIŠ, Vladan a kol. Obecné nařízení o ochraně osobních údajů. 1. vydání. Praha: C. H. Beck, 2021, s. 372.

^[10]  European Data Protection Board. Guidelines 3/2019 on processing of personal data through video devices. Lucemburk: Publication Office of European Union, 2019. Dostupné z: https://edpb.europa.eu/sites/default/files/consultation/edpb_guidelines_201903_videosurveillance.pdf.

^[11] OTEVŘEL, Richard. Zpracování zvláštních kategorií osobních údajů. In. UŘIČAŘ, Miroslav, RÁMIŠ, Vladan a kol. Obecné nařízení o ochraně osobních údajů. 1. vydání. Praha: C. H. Beck, 2021, s. 372.

^[12] MORÁVEK, Jakub. Ochrana osobních údajů v pracovněprávních vztazích. 1. vydání. Praha: Wolters Kluwer, 2013, s. 264.

^[13] Rozsudek ze dne 15. července 1964, Costa v. E.N.E.L, 6-64.

^[14] Ustanovení § 102 odst. 1 ZP.

^[15] Úřad pro ochranu osobních údajů. Ke zpracování osobních údajů v rámci opatření proti šíření koronaviru. Praha: Poradna, 2020. Dostupné z: https://www.uoou.cz/ke-zpracovani-osobnich-udaju-v-ramci-opatreni-proti-sireni-koronaviru/ds-6134/p1=6134.

^[16] OTEVŘEL, Richard. Článek 9 [Zpracování zvláštních kategorií osobních údajů]. In: UŘIČAŘ, Miroslav, RÁMIŠ, Vladan a kol. Obecné nařízení o ochraně osobních údajů. 1. vydání. Praha: C. H. Beck, 2021, s. 372 .

^[17] Ustanovení § 206 odst. 3 ZP.

^[18] OURODOVÁ, Nikola. Citlivé údaje zaměstnanců nejen v době covidové. Právní rádce 2021, č. 4, s. 40-42.

^[19] MÁLEK, Jakub. Dopady šíření koronaviru (COVID-19) na zaměstnavatele. pravniprostor.cz, 2. března 2020. Dostupné z: https://www.pravniprostor.cz/clanky/pracovni-pravo/dopady-sireni-koronaviru-covid-19-na-zamestnavatele.

^[20] HORECKÝ, Jan, BLAŽEK, Michal. Ochrana osobních údajů. In: SELUCKÁ, Markéta a kol. Covid-19 a soukromé právo. Otázky a odpovědi. 1. vydání. Praha: C. H. Beck, 2020, s. 47.

^[21] Rozsudek Nejvyššího správního soudu ze dne 10. 5. 2013, sp. zn.  6 As 65/2012 (č. 2879/2013 Sb.)

^[22] HORECKÝ, Jan, BLAŽEK, Michal. Ochrana osobních údajů. In: SELUCKÁ, Markéta a kol. Covid-19 a soukromé právo. Otázky a odpovědi. 1. vydání. Praha: C. H. Beck, 2020, s. 47.

^[23] Úřad pro ochranu osobních údajů. Ke zpracování osobních údajů v rámci opatření proti šíření koronaviru. Praha: Poradna, 2020. Dostupné z: https://www.uoou.cz/ke-zpracovani-osobnich-udaju-v-ramci-opatreni-proti-sireni-koronaviru/ds-6134/p1=6134.

^[24] Rozsudek ze dne 6. listopadu 2003, Bodil Lindqvist v. Švédsko, C-101/01.

Všechny články