skip to Main Content
DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI REPUBBLICA CECA: Test Obbligatorio Dei Dipendenti

DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI REPUBBLICA CECA: Test obbligatorio dei dipendenti

This post is also available in: Español Français

L’Ufficio per la protezione dei dati personali ha esteso la sua raccomandazione del 5 marzo 2021 all’attuale obbligo di testare i dipendenti per la presenza del virus SARS-CoV-2. È ordinato ai datori di lavoro da nuove misure straordinarie del Ministero della Salute (MZDR 47828 / 2020-16 / MIN / KAN, MZDR 9364 / 2021-1 / MIN / KAN, MZDR 47828 / 2020-22 / MIN / KAN, MZDR 47828 / 2020-26 / MIN / KAN, MZDR 47828 / 2020-25 / MIN / KAN). I ministeri della sanità, dell’industria e del commercio sono stati informati della preparazione delle raccomandazioni.

Nell’adempiere all’obbligo di testare i dipendenti per la presenza del virus SARS-CoV-2, i datori di lavoro elaborano i dati personali al fine di adempiere all’obbligo legale loro applicabile ai sensi del Regolamento generale sulla protezione dei dati (GDPR) (il “Regolamento generale”) e in conformità con le normative legali pertinenti (Legge n. 258/2000 Coll., sulla protezione della salute pubblica, e Legge n. 94/2021 Coll., sulle misure di emergenza in caso di epidemia di COVID-19) e misure risultante da ciò. 


Resta un principio irrinunciabile che il dipendente è anche il lato debole del rapporto di lavoro durante il test, non ha altra scelta che tollerare la misura, e nelle misure pratiche deve essere trattato in questo senso nel modo più premuroso e attento, con rispetto non solo alla protezione dei dati personali, ma soprattutto alla sua privacy e dignità umana.


Va ricordato che gli obblighi in relazione alla protezione dei dati personali non sono imposti ai datori di lavoro dall’Ufficio per la protezione dei dati personali (di seguito “Ufficio”), ma derivano oggettivamente dalle norme di legge qui citate. L’obbligo di conservare registri che contengono una categoria speciale di dati personali, ovvero i dati sul risultato dei test per la presenza del virus SARS-CoV-2, è un’area completamente nuova del trattamento dei dati personali per molti datori di lavoro con cui si non ho esperienza precedente. 

Laddove le autorità competenti richiedano al datore di lavoro di registrare tali informazioni, sembra pratico in questo contesto basare le seguenti raccomandazioni non vincolanti su determinate misure e procedure specifiche che possono aiutare i datori di lavoro ad adempiere ai loro obblighi ai sensi del regolamento generale. 
La determinazione dell’ambito specifico dei dati personali registrati o del periodo di conservazione non è di competenza dell’Ufficio per la protezione dei dati personali. 
Ogni datore di lavoro deve adattare il trattamento dei dati personali nel record del test alle condizioni specifiche e all’ambito delle sue attività, ma le seguenti informazioni dovrebbero facilitare in modo significativo tutti gli obblighi dei datori di lavoro di conservare le registrazioni dei test SARS-CoV-2 eseguiti con misure di emergenza.

Esistono fondamentalmente due modi per eseguire i test. Sono considerate dipendenti anche altre persone che lavorano presso i luoghi di lavoro del datore di lavoro (dipendenti assegnati temporaneamente dell’agenzia di collocamento e altre persone che svolgono un lavoro o attività simili insieme ai dipendenti del datore di lavoro). 

Test effettuati da fornitori di servizi sanitari, dove i test vengono eseguiti e fatturati come servizi medici.Il trattamento dei dati personali è svolto nell’ambito di procedure standard disciplinate da apposite norme di legge. In questi casi, dal punto di vista del datore di lavoro, è necessario ricevere un certificato del test rilasciato dal medico. 
Il datore di lavoro e il fornitore di assistenza sanitaria, che verifica SARS-CoV-2 per i dipendenti per i datori di lavoro, sono nella posizione di due amministratori separati. 
Il fornitore di servizi sanitari che effettua il test elabora i dati personali al di fuori del possibile controllo del datore di lavoro; C’è, ad esempio, il trasferimento di dati al Sistema informativo delle malattie infettive e la creazione di documentazione medica, che ha, tra le altre cose, un ambito specifico di accesso e periodo di conservazione. 
Deve esserci un accordo contrattuale tra il datore di lavoro e il fornitore di assistenza sanitaria

Test eseguiti direttamente dal datore di lavoro (auto-raccolta dei dipendenti utilizzando test forniti dal datore di lavoro, test eseguiti da dipendenti designati, test da entità esterne esterne agli operatori sanitari, ecc.), Dove i test devono essere pagati dalla Prevenzione Assicurativa Sanitaria individuale Fondi. 
In tal caso, nel trattamento dei dati personali, il datore di lavoro diventa titolare del trattamento dei dati personali con tutti gli obblighi derivanti dal regolamento generale. A causa dell’interesse pubblico nel campo della salute pubblica secondo il regolamento generale, anche durante i test dei dipendenti vengono elaborate categorie speciali di dati personali riguardanti lo stato di salute. 
Le registrazioni delle prove eseguite sui singoli dipendenti possono essere utilizzate solo in connessione diretta con l’adempimento degli obblighi imposti dal provvedimento di emergenza. 

I propri record dei test eseguiti sui dipendenti possono contenere solo i dati identificativi di base del dipendente utilizzati per identificare il dipendente (nome, cognome, data di nascita, che può essere sostituito da un identificativo assegnato ai dipendenti dal datore di lavoro), dati sull’ora esatta del test (per la maggior parte dei datori di lavoro è sufficiente la data del test, l’ora esatta può essere registrata in operazioni specifiche) e il risultato del test per la presenza del virus SARS-CoV-2, entro i requisiti giustificati delle autorità competenti. 
La stessa limitazione dell’ambito solo ai dati personali necessari si applica anche a tutti i documenti che dimostrano un’esenzione dal test obbligatorio del dipendente dato (dati di identificazione del dipendente, motivo di esenzione dal test come l’infezione da COVID-19 entro 90 giorni prima del test , vaccinazione, 

Nel caso in cui il datore di lavoro negozia un rapporto contrattuale con un fornitore di assistenza sanitaria per eseguire i test dei dipendenti per il datore di lavoro, o le compagnie di assicurazione sanitaria prelevano i fondi direttamente dal datore di lavoro per pagare i test obbligatori dei dipendenti, altri dati necessari per identificare il dipendente possono essere trattati nella misura legittimamente richiesta dalla compagnia di assicurazione sanitaria. 
I dati trasmessi tra il datore di lavoro e il fornitore di servizi sanitari o compagnie di assicurazione sanitaria possono quindi essere dati sul numero degli assicurati e sulla compagnia di assicurazione sanitaria del dipendente in questione. I fornitori di servizi sanitari e le compagnie di assicurazione sanitaria possono trattare questi dati in conformità con le normative legali speciali nel settore della fornitura di servizi sanitari e di assicurazione sanitaria. 

È importante ricordare che gli operatori sanitari o le compagnie di assicurazione sanitaria possono registrare più di una persona con lo stesso nome e data di nascita, ed è necessario prevenire la possibile confusione delle persone e possibilmente i risultati del loro esame per la presenza di SARS -Virus CoV-2. 
Nel processo di trasferimento di tali dati tra entità, è necessario porre l’accento sulla loro sicurezza per impedire la loro divulgazione o perdita non autorizzata. 
È responsabilità della compagnia di assicurazione sanitaria determinare metodicamente o in altro modo per i datori di lavoro la gamma di dati necessari per questa procedura. 
Lo stesso vale per la determinazione della portata dei dati personali conservati ai fini di altri controlli ex post (da un’autorità sanitaria pubblica, ecc.).

Il periodo per la conservazione delle registrazioni dei test non è stato specificato nel provvedimento di emergenza, ma rispetto agli obblighi regolati dalla normativa sopra citata, il periodo massimo per la conservazione dei dati personali nei registri dei test risulta essere di tre anni dal momento della loro acquisizione. 
Questo periodo è legato alla necessità di provare il rispetto degli obblighi imposti alle autorità sanitarie pubbliche, che sono dotate del controllo del rispetto della misura imposta dall’amministratore, a meno che non si accerti che un periodo più breve è sufficiente a tali scopi. 
Ai datori di lavoro, secondo le disposizioni del § 10 comma 2 lett. c) della legge sulle misure straordinarie in caso di malattia COVID-19, le autorità sanitarie pubbliche possono sottoporre a test i dipendenti e altri dipendenti con una multa fino a 500.000 CZK per il mancato rispetto dell’ordine. Pertanto, le disposizioni del § 30 lettera b) della legge n. 250/2016 Coll., 

Lo stesso vale per la memorizzazione dei dati personali sui test dei dipendenti pagati dal datore di lavoro, utilizzati in futuro per i programmi di assicurazione sanitaria consigliati dal governo. Anche in questo caso, il periodo per la conservazione dei dati personali entro i limiti di legge deve essere specificato dalle autorità competenti (per finalità di controllo, ecc.), Già differenziate in relazione alle diverse finalità (es. Rispetto a diversi orientamenti di rendicontazione o controllo). 
Non è necessario conservare i dati personali dei dipendenti per le registrazioni nelle registrazioni dei test conservate ai fini della conformità con altre normative legali, ad esempio per motivi di possibile deducibilità fiscale.

In relazione al trattamento dei dati personali, l’Ufficio richiama l’attenzione sugli obblighi del titolare del trattamento derivanti direttamente dal regolamento generale, in particolare:
  1. Fornire agli interessati informazioni specifiche sul trattamento dei dati personali relativo ai test (finalità e motivi legali del trattamento, ambito dei dati trattati, periodo di conservazione, ecc.). Vedere l’Allegato 1 per un campione di informazioni sulla lavorazione.
  2. Conservare i registri delle attività di trattamento ai sensi dell’articolo 30 del Regolamento Generale. Vedere l’Allegato 2 per un campione di record. 
  3. Garantire che i dati personali siano trattati con un’adeguata protezione della privacy; ciascuno dei datori di lavoro deve, tenendo conto delle proprie capacità, adottare misure tecniche e organizzative per proteggere adeguatamente i dati personali da possibili perdite, divulgazioni non autorizzate o modifiche non autorizzate. La valutazione completa del rischio e la selezione delle misure dipendono dall’amministratore, la loro selezione e applicazione devono essere considerate dall’amministratore in relazione a parametri di elaborazione specifici come i siti, le TIC utilizzate, ecc. Parte della gestione generale del rischio dell’amministratore consiste nell’eseguire valutazioni di impatto ( DPIA): un’analisi per stabilire se il trattamento è soggetto a un obbligo di valutazione dell’impatto conclude che ciò è necessario. Vedere l’Appendice n. 3 per un’analisi del campione. 

A seconda dell’ulteriore sviluppo della situazione nell’applicazione delle misure e delle conoscenze pratiche acquisite, l’Ufficio adeguerà ulteriormente la propria dichiarazione. 

I parametri del trattamento dei dati personali dipendono dalla specifica portata degli obblighi imposti ai datori di lavoro nei limiti dell’ordinamento giuridico, che possono essere modificati o metodicamente specificati dagli organi dell’amministrazione centrale dello Stato e dalle compagnie di assicurazione sanitaria. 
In questo senso, l’Ufficio non ha (non ha la competenza per imporre) l’obbligo per i datori di lavoro di trattare i dati personali in misura specifica o per un certo periodo di tempo, risponde solo a una situazione in cui un certo tipo di obbligo è (sarà) imposto ai datori di lavoro. 

Si può ammettere che la fase iniziale di adempimento degli obblighi previsti dalle suddette misure di emergenza possa essere stata condizionata da una certa mancanza di chiarezza dal punto di vista dei datori di lavoro, mentre le relative procedure metodologiche sono ancora in fase di definizione e aggiornamento da parte delle autorità competenti.
Anche in questa situazione, l’Ufficio non può rinunciare all’esercizio dei suoi poteri di supervisione; tuttavia, è lecito attendersi che le attività di controllo dell’Ufficio in questo contesto si concentreranno sulle modalità e sulla portata successive della correzione di eventuali procedure difettose per aumentare gradualmente la consapevolezza.

I documenti del documento allegato rappresentano raccomandazioni non vincolanti e riflettono l’attuale gamma di informazioni disponibili.

Contorni:
  1. Informativa sul trattamento dei dati personali dei dipendenti 
  2. Registri delle attività di elaborazione 
  3. Analisi della necessità di eseguire la DPIA (non è necessario eseguire la DPIA) 

 

Informazioni sul trattamento dei dati personali dei dipendenti 

 

1. Informace o zpracování osobních údajů zaměstnanců

 

Registri delle attività di elaborazione

 

2. Záznamy o činnostech zpracování

 

Gli obblighi degli amministratori di eseguire la DPIA

 

3. K povinnostem správců provádět DPIA

 

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI REPUBBLICA CECA

Back To Top