Úrad na ochranu osobných údajov SR (Úrad) sa v tomto konaní zaoberal i) otázkou zverejnenia zdravotných údajov zamestnanca zamestnávateľom, ktorým bola obec, a tiež ii) otázkou ne/porušenia povinnosti odpovedať na žiadosť zamestnanca o odstránenie údajov.
Kontrola začala na podnet dotknutého zamestnanca, ktorý sa domáhal práva na ochranu svojich osobných údajov. K porušeniu malo dôjsť tým, že primátor mesta v televíznom prenose zo zasadnutia mestského zastupiteľstva prečítal SMS správu, ktorú mu zamestnanec zaslal za účelom oznámenia jeho hospitalizácie a následnej liečby. Prečítaním SMS správy mal primátor spraviť verejnou informáciu, že zamestnanec bol hospitalizovaný na neurologickom oddelení vrátane dátumu a času zaslania predmetnej SMS. Následne sa mal primátor opakovane vyjadrovať k otázke zdravotného stavu zamestnanca. Zamestnanec zároveň namietal, že zamestnávateľ nevymazal jeho osobné údaje, a to napriek tomu, že ho o ich odstránenie požiadal.
Čo zisťoval Úrad?
Navrhovateľ (zamestnanec) zaslal Úradu nahrávku zo zasadnutia mestského zastupiteľstva, ktorá bola zverejnená na youtebe kanáli mesta. Z nahrávky mal Úrad za preukázané, že k zverejneniu osobných údajov zo strany zamestnávateľa došlo, keď zamestnávateľ prečítal SMS správu s obsahom „z dôvodu hospitalizácie na neurologickom oddelení bojnickej nemocnice som od zajtra do vyliečenia PN“. Následne sa primátor k zdravotnému stavu zamestnanca vyjadril ešte 3x.
Zamestnanec Úradu rovnako poslal kópiu jeho žiadosti o odstránenie údajov, ktorú adresoval zamestnávateľovi. Úrad preto žiadosť zamestnanca považoval za preukázanú.
Nakoľko mal Úrad zverejnenie údajov a podanie žiadosti za preukázané, tak zamestnávateľa požiadal o súčinnosť s tým, aby:
- Preukázal, že spracúvanie zverejnením spĺňalo aspoň jednu podmienku zákonného spracúvania podľa článku 6 ods. 1 GDPR (pozn. právny základ) a aspoň jednu výnimku podľa § 9 ods. 1 GDPR (pozn. výnimky pri spracúvaní zdravotných údajov);
- Aby uviedol, či odpovedal na žiadosť zamestnanca o odstránenie osobných údajov a ak áno, tak aby predložil aj scan tejto odpovede.
Ako zákonnosť spracúvania ne/preukázal zamestnávateľ?
Zamestnávateľ svoju obranu (pozn. bez toho, aby bol právne zastúpený) postavil na nasledovných argumentoch:
- Zamestnanec nie je súkromná osoba, ale je hlavný kontrolór mesta. Je vo verejnej funkcii a platený z finančných prostriedkov daňových poplatníkov;
- Zamestnávateľ neoznámil zdravotný stav zamestnanca, len prečítal SMS, ktorú mu zamestnanec zaslal;
- Otázku vymazania údajov vyhodnotil tak, že zamestnancovi ústne odpovedal, že odmieta realizovať cenzúru a robiť nezákonný zásah do odvysielaného priameho prenosu z rokovania mestského zastupiteľstva.
Zamestnanec a zamestnávateľ sa následne k veci ešte raz vyjadrili.
Ako ne/zákonnosť spracúvania vyhodnotil Úrad?
Úrad vec posúdil nasledovne:
- Zamestnávateľ sa vo svojich vyjadreniach v podstate obmedzil len na tvrdenia, resp. na svoj subjektívny názor na zamestnanca a jeho pracovnú činnosť. Úrad sa však v konaní zaoberá len okolnosťami týkajúcimi osobných údajov. Zamestnávateľ v konaní nepreukázal právny základ a ani výnimku zo spracúvania zdravotných údajov;
- Úrad odkázal aj na rozsudok Súdneho dvora vo veci C-101/01 zo dňa 6.11.2003, podľa ktorého už len samotná informácia, že dotknutá osoba je práceneschopná je osobným údajom týkajúcim sa zdravia v zmysle čl. 9 ods. 1 Nariadenia;
- Zamestnávateľ sa dopustil aj porušenia čl. 12 ods. 3 GDPR, keď nevybavil žiadosť dotknutej osoby v lehote jedného mesiaca od doručenia žiadosti.
Aké boli poľahčujúce a priťažujúce okolnosti pri ukladaní pokuty?
V tomto konaní Úrad zamestnávateľovi uložil pokutu vo výške 1.600 EUR. Priťažujúcimi okolnosťami boli i) porušenie základnej zásady zákonnosti spracúvania údajov, ii) nevybavenie žiadosti dotknutej osoby, iii) to, že porušenie sa týkalo osobitnej kategórie osobných údajov, iv) to, že nebol anonymizovaný záznam zo zasadnutia, ako aj to, že v) zamestnávateľ sa porušenia na úseku ochrany osobných údajov v minulosti už dopustil. Poľahčujúcimi okolnosťami boli i) porušenie sa týkalo len jednej dotknutej osoby, ii) zamestnávateľ porušením nezískal majetkový prospech, iii) zamestnávateľom bola obec, ktorej hlavnou úlohou je výkon samosprávy vo verejných záležitostiach.
Myšlienka na záver:
V tomto prípade išlo o pomerne jednoznačné porušenie predpisov na ochranu osobných údajov. Na druhej strane za zaujímavé považujeme i) dopady neúplnej procesnej obrany osobou bez náležitej expertízy v oblasti ochrany osobných údajov, ii) vyššiu mieru animozity medzi stranami, ktorú sme identifikovali naprieč ich vyjadreniami citovanými v odôvodnení rozhodnutia Úradu, a ktorá môže byť vlastná aj iným pracovnoprávnym vzťahom (tzv. bad leavers), iii) použitie referencií na rozhodovaciu prax súdneho dvora EÚ zo strany Úradu.
Rozhodnutie sme získali na základe infožiadosti a stalo sa právoplatným dňa 23.6.2023. Ostatné články z našej série o pokutách Úradu nájdete na našom blogu, resp. hyperlinkoch. Pokuta za nezrušenie e-mailového konta zamestnanca (tu), za únik protokolu z Inšpektorátu práce (tu), a za zverejnenie informácií na firemnej nástenke (tu)