Při zajišťování BOZP a PO se nelze vyhnout nakládání s osobními údaji nejen zaměstnanců, ale i dalších osob. Proto je nezbytné zohledňovat požadavky na zajištění souladu s Nařízením Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, zkráceně nazývaným GDPR.
Nařízení je postaveno na stejném základě jako
BOZP, tedy na stanovení opatření na základě kvalifikovaného odhadu míry předpokládaných
rizik spojených s nakládáním s osobními údaji. Ochrana je pojata
abstraktně, obdobně jako v BOZP (lze oprávněně předpokládat, že
v konkrétním případě míra nebezpečí bude takto a takto vysoká, a proto je
nutné v konkrétním případě přijmout takováto a takováto opatření).
Z uvedených důvodů GDPR neobsahuje
konkrétní pravidla pro nakládání s osobními údaji. Proto nemá být
prokázáno plnění požadavků GDPR, ale soulad s ním. Každý správce (fyzická
nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám
nebo společně s jinými určuje účely a prostředky zpracování osobních
údajů) si musí vytvořit svá pravidla na základě konkrétních podmínek nakládání
s osobními údaji, která poté musí dodržovat, a tak zajišťovat soulad
s GDPR. Ten musí být schopen kontinuálně prokázat.
GDPR se vztahuje na zcela nebo částečně
automatizované a neautomatizované zpracování osobních údajů, které jsou
obsaženy v evidenci nebo do ní mají být zařazeny. Přičemž evidencí je míněn
jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních
kritérií, až již centralizovaný, decentralizovaný, nebo rozdělený podle
funkčního či zeměpisného hlediska. Za osobní údaj jsou považovány veškeré
informace o identifikované nebo identifikovatelné fyzické osobě, tedy o
fyzické osobě, kterou lze přímo nebo nepřímo identifikovat (subjekt údajů).
Je-li osoba identifikována, všechny údaje o ní jsou osobními údaji. Může se tak
jednat např. o e-mailovou adresu v zaměstnání, jež obsahuje jméno
zaměstnance, o velikost bot nebo oblečení zaměstnance, nebo o počet
odpracovaných hodin při výkonu rizikové práce u identifikované nebo
identifikovatelné fyzické osoby.
Nařízení se vztahuje pouze na osobní údaje o živých fyzických osobách. Proto například při šetření smrtelného pracovního úrazu se neuplatní. To však neznamená, že se neuplatní ochrana osobních údajů podle jiných právních předpisů, například podle občanského zákoníku.
Základními „stavebními kameny“ GDPR (vodítky
pro zajištění souladu) jsou zásady zpracování osobních údajů. Jejich
dodržováním se vytváří soulad s nařízením. K legálnímu nakládání
s osobními údaji musí být alespoň jeden z právních důvodů uvedených
v GDPR. Právní důvody úzce souvisí s účelem zpracování, neboť účel
ovlivňuje možný právní důvod. Proto je primárně nezbytné stanovit účel, za
kterým je s jednotlivým osobním údajem nakládáno. Právní důvody lze
rozdělit do dvou základních skupin – bez souhlasu subjektu údajů a se
souhlasem (souhlas je nutný). Všechny právní důvody jsou si rovny. Neplatí, že
souhlas je nadřazen ostatním. V případě právního důvodu k nakládání
s osobním údajem bez souhlasu subjektu údajů se souhlas nepožaduje.
GDPR kromě zajištění obecné ochrany osobních
údajů definuje i ochranu pro zvláštní kategorii osobních údajů (dříve
„citlivé údaje“). Jedná se o údaje vypovídající o rasovém či etnickém původu,
politických názorech, náboženském vyznání či filozofickém přesvědčení nebo
členství v odborech, a zpracování genetických údajů, biometrických údajů za
účelem jedinečné identifikace a údaje o zdravotním stavu či sexuálním životě
nebo sexuální orientaci fyzické osoby. Jejich zpracování je, až na stanovené
výjimky, zakázáno.
Pro zajišťování BOZP a PO je v drtivém
případě právním důvodem, že „zpracování je nezbytné pro plnění právní povinnosti“.
Je-li však zájem nakládat s osobním údajem z důvodu, který nesplňuje,
že zpracování je nezbytné pro plnění právní povinnosti, např. umístění
fotografie znázorňující porušení požadavku k zajištění BOZP, na které je možné
identifikovat konkrétní fyzickou osobu, na nástěnce nebo její prezentace
v rámci školení zaměstnanců, je nutné si od této osoby vyžádat souhlas
splňující požadavky GDPR (jakýkoliv svobodný, konkrétní [k jakému účelu,
jaký údaj, na jakou dobu], informovaný a jednoznačný projev vůle, který
subjekt údajů dává prohlášením nebo jiným zjevným potvrzením své svolení ke
zpracování svých osobních údajů). Souhlas nesmí mít podobu generálního
prohlášení. Musí být dobrovolný, doložitelný, odlišitelný od ostatních údajů a
odvolatelný. Odvolání musí být stejně snadné jako jeho poskytnutí.
Při nakládání s osobními údaji při zajišťování BOZP a PO je tedy zcela nezbytné rozlišovat, zda se jedná o plnění zákonné povinnosti (drtivá většina případů), či nikoliv.
Dále je nutné mít na vědomí, že osobní údaje je možné zpracovávat pouze za předem jasně definovaným účelem (není možné je zpracovávat s tím, že se to může někdy k něčemu hodit apod.).
Při zajišťování BOZP lze předpokládat i
nakládání se zvláštní kategorií osobních údajů. Jedná se o případy nakládání
s údaji o členství v odborech a s údaji o zdravotním stavu. Jak již
bylo zmíněno, tyto údaje nesmí být zpracovávány, vyjma povolených případů.
Z hlediska zajištění BOZP jím je případ: „zpracování je nezbytné pro účely
plnění povinností a výkon zvláštních práv správce nebo subjektu údajů
v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a
sociální ochrany“. K jejich zpracovávání není nutné vyžadovat výslovný
souhlas. Zároveň však nesmí být použity k jinému účelu, pokud nebudou
upraveny tak, aby již nebylo možné identifikovat konkrétní fyzickou osobu.
Při zajišťování BOZP a PO je nutné dodržet
pravidla stanovená správcem osobních údajů, např. nevyžadovat dokumenty
obsahující osobní údaje, které nejsou potřebné, zamezit přístupu nepovolaných
osob k dokumentům obsahujícím osobní údaje (uzamykání kanceláře
apod.), omezit přístup ke knize úrazů (přístup má pouze definovaný okruh osob),
fyzickou likvidaci vícetisků dokumentů obsahujících osobní údaje (uchovat
pouze potřebný počet výtisků), dodržovat mlčenlivost o zjištěných osobních
údajích (např. neprozrazovat datum narození či velikost spodního prádla [v
prostředí s nebezpečím výbuchu]) atd.
Zabezpečení osobních údajů má být provedeno s
přihlédnutím ke stavu techniky, nákladům na provedení, povaze a rozsahu
zpracování, jakož i jejich kategorii, kontextu a účelu zpracování a k různě pravděpodobným
a různě závažným rizikům pro práva a svobody subjektů údajů. Záleží na správci
údajů, jaká konkrétní zabezpečení příjme. To je jeho právo i povinnost.
Také by měla být přijata taková opatření, aby
osobní údaje zpracovávala pouze fyzická osoba, která je zpracovává na pokyn
správce nebo zpracovatele (fyzická nebo právnická osoba, orgán veřejné moci,
agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce [nejedná
se o zaměstnance správce!]). Jejich počet by měl být minimalizován.
Pro mnohé firmy je výhodné pro zajištění BOZP a
PO si sjednat externí firmu. Tato firma, pokud v rámci smluvně sjednané
činnosti nakládá s osobními údaji, což je pravděpodobné, je jejich
zpracovatelem. Mezi správcem a zpracovatelem musí být uzavřeno písemné smluvní
ujednání o způsobu zajištění ochrany osobních údajů (správce se tím nezbaví své
odpovědnosti). Zpracovatel je povinen řídit se požadavky správce údajů (údaje
zpracovávat jen na základě pokynů správce) a umožnit mu kontrolu plnění této
povinnosti. Bez písemného předchozího povolení správce, zpracovatel nesmí
řetězit zpracovatele osobních údajů, tedy předávat osobní údaje ke zpracování
dalšímu zpracovateli (týká se to např. osob, které pro něj pracují na živnostenský
list).
Subjekt údajů má mimo jiné právo na informace o
způsobu, jak je nakládáno s jeho osobními údaji. V rámci plnění této povinnosti
je především nutné při shromažďování údajů (např. při sepisování záznamu o
úrazu) informovat o tom, proč je potřeba je zpracovávat, kdo (název externí
firmy) a jakým způsobem je bude zpracovávat a komu mohou být údaje
zpřístupněny.
Právo na výmaz, které je dalším právem subjektu údajů, není právem absolutním. Netýká se případů plnění právní povinnosti, což při zajišťování BOZP a PO je drtivá většina případů.
Kdokoliv, kdo v důsledku porušení GDPR utrpěl
hmotnou či nehmotnou újmu, má právo od správce nebo zpracovatele obdržet
náhradu utrpěné újmy.
S osobními údaji se při zajišťování BOZP a PO nakládá zejména v případech:
Při zajišťování BOZP dochází i ke zpracování osobních
údajů ze zvláštní kategorie osobních údajů (dříve „citlivé údaje“), a to
z důvodu plnění povinnosti v oblasti pracovního práva. Jedná se o
nakládání s osobními údaji o zdravotním stavu, které jsou především
uvedeny v posudku o bolestném nebo o ztíženém společenském uplatnění.
Posudek o pracovnělékařské prohlídce neobsahuje údaje spadající do této
kategorie (neobsahuje údaj o zdravotním stavu, ale pouze o zdravotní
způsobilosti k výkonu práce). To též platí o evidenci poskytovaných
osobních ochranných pracovních prostředků – velikost oblečení a obuvi (jedná se
o obecné osobní údaje, pokud je možné přímo nebo nepřímo identifikovat fyzickou
osobu, což v tomto případě je).
Dalšími dokumenty obsahujícími osobní údaje,
které se řadí do zvláštní kategorie, jsou kniha úrazů (údaje o zdravotním
stavu – druh zranění, zraněná část těla), záznam o úrazu a záznam o úrazu
– hlášení změn, které kromě údajů o zdravotním stavu mohou též obsahovat
údaje o členství v odborech – jméno a podpis za odborovou
organizaci. I v těchto případech platí, že ke zpracování dochází
z důvodu plnění povinnosti v oblasti pracovního práva (nejen, že není
nutné souhlas požadovat, ale souhlas nemá být požadován).
Ve vztahu k posudku o bolestném, posudku o
ztíženém společenského uplatnění, záznamu o úrazu a k záznamu o
úrazu – hlášení změn navíc platí, že s těmito dokumenty nakládá více osob
(mzdová účetní, odborně způsobilá osoba k zajišťování úkolů
v prevenci rizik atd.), čímž dochází k zvýšení míry rizika ochrany
osobních údajů (přeposílání dokumentů mezi nimi atd.). Z tohoto důvodu je
nezbytné zajistit v maximálně možné míře omezení počtu těchto osob (v
interním předpise, např. pracovním postupu při vzniku pracovního úrazu, by měl
být definován koloběh uvedených dokumentů).
Zaměstnavatel, u kterého působí odborová organizace, je jí povinen zpřístupnit doklady o evidenci a hlášení pracovních úrazů [viz § 108 odst. 6 písm. b) zákoníku práce]. Vzhledem k tomu, že se jedná o zákonnou povinnost, nepotřebuje k tomu souhlas úrazem postiženého. To však neznamená, že není povinen jej o tom informovat (naplnění zásady GDPR korektního a transparentního přístupu k subjektům údajů).
Jiné to však je se zasíláním výtisku České správě sociálního zabezpečení. Zde se nejedná o zpracování, které je nezbytné pro plnění právní povinnosti, neboť zaslání nevyžaduje žádný právní předpis (ani zákon č. 187/2006 Sb., ve znění pozdějších předpisů). K doložení, že pracovní neschopnost nevznikla z důvodů uvedených v § 25 písm. a) a § 31 uvedeného zákona, neslouží záznam o úrazu ve smyslu nařízení vlády č. 201/2010 Sb., ve znění pozdějších předpisů, ale speciální formulář „Záznam o úrazu“ ČSSZ, který vyplňuje zraněný zaměstnanec. Zasláním záznamu o úrazu podle nařízení vlády by došlo k porušení souladu s GDPR, neboť by došlo k porušení zásady minimalizace údajů.
Zveřejnění jmen a příjmení členů preventivní požární hlídky vyvěšením požárního řadu na pracovišti, na které se vztahuje, není porušením souladu s GDPR, neboť se jedná o požadavek právního předpisu (§ 31 odst. 4 vyhlášky č. 246/2001 Sb., ve znění pozdějších předpisů). Avšak vyvěšení pouhého seznamu členů hlídky s uvedením pracoviště jejich působnosti, bez jejich udělení souhlasu k tomu, by bylo nedodržení souladu s GDPR.
Vzhledem k tomu, že při zajišťování BOZP
je nakládáno se zvláštní kategorií osobních údajů, mělo by být pracoviště
odborně způsobilé osoby vybaveno skartovacím přístrojem (fyzická likvidace
vícetisků atd.). Její pracoviště by nemělo být volně přístupné (uzamykatelné
a při opuštění pracoviště uzamčené). Podle požadavků správce osobních údajů je
možné, že skříně, v kterých jsou uloženy dokumenty obsahující osobní
údaje, zvláště ty ze zvláštní kategorie budou muset být uzamykatelné, případně
jinak zabezpečený, případně bude nastaven režim pro předávání dokumentů
obsahujících zvláštní kategorie osobních údajů jednotlivými pracovišti (např.
záznamů o úrazu v zalepené obálce) apod. Též by odpovídajícím způsobem
měla být zajištěna ochrana osobních údajů „v terénu“ – převoz osobních údajů v notebooku,
na flash disku apod.
Také by průběžně měla být kontrolována uchovávaná dokumentace, listinná
i elektronická, zda neobsahuje osobní údaje, které již nejsou potřebné (není
právní důvod pro uchování dokumentu), nebo dokument obsahující osobní údaje byl
do spisu uložen omylem (např. lékařská zpráva ve spise o vypořádání náhrad
škody a nemajetkové újmy vzniklých v důsledku pracovního úrazu).
 |
 |
