Při zajišťování BOZP a PO se nelze vyhnout nakládání s osobními údaji nejen zaměstnanců, ale i dalších osob. Proto je nezbytné zohledňovat požadavky na zajištění souladu s Naříze­ním Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpra­cová­ním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, zkráceně nazývaným GDPR.

Nařízení je postaveno na stej­ném základě jako BOZP, tedy na stano­ve­ní opatření na základě kvalifikovaného odhadu míry před­pokládaných rizik spojených s nakládáním s osobními údaji. Ochrana je pojata abstraktně, obdobně jako v BOZP (lze oprávněně předpokládat, že v konkrétním případě míra nebezpečí bude takto a takto vysoká, a proto je nutné v konkrétním případě přijmout takováto a takováto opatření).

Z uvedených důvodů GDPR neobsahuje konkrétní pravidla pro nakládání s osobními údaji. Proto nemá být prokázáno plnění požadavků GDPR, ale soulad s ním. Každý správce (fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů) si musí vytvořit svá pravidla na základě konkrétních podmínek nakládání s osobními údaji, která poté musí dodržo­vat, a tak zajišťovat soulad s GDPR. Ten musí být schopen kontinuálně prokázat.

Na co a na koho se GDPR vztahuje

GDPR se vztahuje na zcela nebo částečně automati­zo­va­né a neautomatizované zpracování osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. Přičemž evidencí je míněn jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, až již centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hle­dis­ka. Za osobní údaj jsou považovány veškeré informace o identifikované nebo identifiko­va­tel­né fy­zické osobě, tedy o fyzické osobě, kterou lze přímo nebo nepřímo identifikovat (subjekt údajů). Je-li osoba identifikována, všechny údaje o ní jsou osobními údaji. Může se tak jednat např. o e-mailovou adresu v zaměstnání, jež obsahuje jmé­no zaměstnance, o velikost bot nebo oblečení zaměstnance, nebo o počet odpracovaných hodin při výkonu rizikové práce u identifikované nebo identifikovatelné fyzické osoby.

Nařízení se vztahuje pouze na osobní údaje o živých fyzických osobách. Proto například při šetření smrtelného pracov­ní­ho úrazu se neuplatní. To však neznamená, že se neuplatní ochrana osobních údajů podle jiných právních předpisů, například podle občanského zákoníku.

Základní pravidla pro vytváření souladu s GDPR

Základními „stavebními kameny“ GDPR (vodítky pro zajištění souladu) jsou zásady zpracová­ní osobních údajů. Jejich dodržováním se vytváří soulad s nařízením. K legálnímu nakládání s osobními údaji musí být alespoň jeden z právních důvodů uvedených v GDPR. Právní důvody úzce souvisí s účelem zpracování, neboť účel ovlivňuje možný právní důvod. Proto je primárně nezbytné stanovit účel, za kterým je s jednotlivým osobním údajem nakládáno. Právní důvody lze rozdělit do dvou základních sku­pin – bez souhlasu subjektu údajů a se souhlasem (souhlas je nutný). Všechny právní důvody jsou si rovny. Neplatí, že souhlas je nadřazen ostatním. V případě právního důvodu k nakládání s osob­ním úda­­jem bez souhlasu subjektu údajů se souhlas nepožaduje.

GDPR kromě zajištění obecné ochrany osobních údajů definuje i ochranu pro zvláštní kate­­go­­rii osobních údajů (dříve „citlivé údaje“). Jedná se o údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace a údaje o zdravotním stavu či sexuálním životě nebo sexuální orientaci fyzické osoby. Jejich zpracování je, až na stanovené výjimky, zakázáno.

Vytváření souladu s GDPR při zajišťování BOZP a PO

Pro zajišťování BOZP a PO je v drtivém případě právním důvodem, že „zpracování je nezbytné pro plnění právní po­vinnosti“. Je-li však zájem nakládat s osobním údajem z důvodu, který nesplňuje, že zpracování je nezbyt­né pro plnění právní povinnosti, např. umístění fotografie znázorňující porušení požadavku k zajištění BOZP, na které je možné identifikovat konkrétní fyzickou osobu, na nástěnce nebo její prezentace v rámci školení zaměstnanců, je nutné si od této osoby vyžádat souhlas splňující požadavky GDPR (jakýkoliv svobodný, konkrétní [k jaké­mu účelu, jaký údaj, na jakou dobu], informovaný a jednoznač­ný projev vůle, který subjekt údajů dává prohlášením nebo jiným zjevným potvrze­ním své svolení ke zpracování svých osobních údajů). Souhlas nesmí mít podobu generálního prohlášení. Musí být dobrovolný, doložitelný, odlišitel­ný od ostatních údajů a odvolatelný. Odvolání musí být stejně snadné jako jeho poskytnutí.

Při nakládání s osobními údaji při zajišťování BOZP a PO je tedy zcela nezbytné rozlišovat, zda se jedná o plnění zákonné povinnosti (drtivá většina případů), či nikoliv.

Dále je nutné mít na vědomí, že osobní údaje je možné zpracovávat pouze za předem jasně definovaným účelem (není možné je zpracovávat s tím, že se to může někdy k něčemu hodit apod.).

Při zajišťování BOZP lze předpokládat i nakládání se zvláštní kategorií osobních údajů. Jedná se o případy nakládání s údaji o členství v odborech a s údaji o zdra­vot­ním stavu. Jak již bylo zmíněno, tyto údaje nesmí být zpracovávány, vyjma povolených přípa­dů. Z hlediska zajištění BOZP jím je případ: „zpracování je nezbytné pro účely plnění povin­ností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany“. K jejich zpracovávání není nutné vy­ža­dovat výslovný souhlas. Zároveň však nesmí být použity k jinému účelu, pokud nebudou upraveny tak, aby již nebylo možné identifikovat konkrétní fyzickou osobu.

Při zajišťování BOZP a PO je nutné dodržet pravidla stanovená správcem osobních údajů, např. nevyžadovat dokumenty obsahující osobní údaje, které nejsou potřebné, zamezit přístupu nepovolaných osob k dokumentům ob­sa­­hu­jí­cím osobní údaje (uzamykání kanceláře apod.), omezit přístup ke knize úrazů (přístup má pouze definovaný okruh osob), fyzickou likvidaci vícetisků dokumen­tů obsahujících osobní údaje (uchovat pouze potřebný počet výtisků), dodržovat mlčenlivost o zjištěných osobních údajích (např. neprozrazovat datum narození či velikost spodního prádla [v prostředí s nebezpečím výbuchu]) atd.

Zabezpečení osobních údajů má být provedeno s přihlédnutím ke stavu techniky, nákladům na provedení, povaze a rozsahu zpracování, jakož i jejich kategorii, kontextu a účelu zpracování a k různě pravděpodobným a různě závažným rizikům pro práva a svobody subjektů údajů. Záleží na správci údajů, jaká konkrétní zabezpečení příjme. To je jeho právo i povinnost.

Také by měla být přijata taková opatření, aby osobní údaje zpracovávala pouze fyzická osoba, která je zpracovává na pokyn správce nebo zpracovatele (fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce [nejedná se o zaměstnance správce!]). Jejich počet by měl být minimalizován.

Zajišťování BOZP a PO externí firmou

Pro mnohé firmy je výhodné pro zajištění BOZP a PO si sjednat externí firmu. Tato firma, pokud v rámci smluvně sjednané činnosti nakládá s osobními údaji, což je pravděpodobné, je jejich zpracovatelem. Mezi správcem a zpracovatelem musí být uzavřeno písemné smluvní ujednání o způsobu zajištění ochrany osobních údajů (správce se tím nezbaví své odpovědnosti). Zpracovatel je povinen řídit se požadavky správce údajů (údaje zpracovávat jen na základě pokynů správce) a umožnit mu kontrolu plnění této povinnosti. Bez písemného před­cho­zího povolení správce, zpracovatel nesmí řetězit zpraco­va­tele osobních údajů, tedy předávat osobní údaje ke zpracování dalšímu zpracovateli (týká se to např. osob, které pro něj pracují na živnostenský list).

Subjekt údajů má mimo jiné právo na informace o způsobu, jak je nakládáno s jeho osobními údaji. V rámci plnění této povinnosti je především nutné při shromažďování údajů (např. při sepisování záznamu o úrazu) informovat o tom, proč je potřeba je zpracovávat, kdo (název externí firmy) a jakým způsobem je bude zpracovávat a komu mo­­­­hou být údaje zpřístupněny.

Právo na výmaz, které je dalším právem subjektu údajů, není právem absolutním. Netýká se případů plnění právní povinnosti, což při zajišťování BOZP a PO je drtivá většina případů.

Kdokoliv, kdo v důsledku porušení GDPR utrpěl hmotnou či nehmotnou újmu, má právo od správce nebo zpracovatele obdržet náhradu utrpěné újmy.

Kde nejčastěji dochází ke zpracování osobních údajů

S osobními údaji se při zajišťování BOZP a PO nakládá zejména v případech:

  • žádosti o pracovnělékařskou prohlídku,
  • posudku o pracovnělékařské prohlídce,
  • prezenčních listin školení BOZP a PO, jakož i dalších profesních školení a odborných příprav,
  • evidence OOPP (jméno, příjmení, ale i tělesné rozměry atd.),
  • evidence výkonu rizikové práce (rodné číslo atd.),
  • evidence bezpečnostních přestávek,
  • vydání příkazu na sváření (jméno a příjmení svářeče, číslo jeho svářečského průkazu atd.),
  • knihy úrazů,
  • evidence pracovních úrazů a nemocí z povolání,
  • náhrad škody a nemajetkové újmy z důvodu pracovního úrazu nebo nemoci z povolání,
  • zápisů z kontrol (včetně fotodokumentace, videí apod.),
  • dokumentace požární ochrany (požárně poplachová směrnice, požární řád [jméno a příjmení vedoucího zaměstnance pracoviště, jména a příjmení členů preventivní požární hlídky, jmé­no, příjmení a odborná způsobilost zpracovatele] atd.).

Nakládání s údaji ze zvláštní kategorie osobních údajů

Při zajišťování BOZP dochází i ke zpracování osobních údajů ze zvláštní kategorie osobních údajů (dříve „citlivé údaje“), a to z důvodu plnění povinnosti v oblasti pracovního práva. Jedná se o nakládání s osobními údaji o zdravot­ním stavu, které jsou především uvedeny v posudku o bolestném nebo o ztíženém společenském uplatnění. Posudek o pracovnělékařské prohlídce neobsahuje údaje spadající do této kategorie (neobsa­huje údaj o zdravotním stavu, ale pouze o zdravotní způsobilosti k výkonu práce). To též platí o evidenci poskytovaných osobních ochranných pracovních prostředků – velikost oblečení a obuvi (jedná se o obecné osobní údaje, pokud je možné přímo nebo nepřímo identifikovat fyzic­kou osobu, což v tomto případě je).

Dalšími dokumenty obsahujícími osobní údaje, které se řadí do zvláštní kategorie, jsou kniha úrazů (údaje o zdra­votním stavu – druh zranění, zraněná část těla), záznam o úrazu a záznam o úra­zu – hlá­­šení změn, které kromě údajů o zdravotním stavu mohou též obsahovat údaje o člen­­ství v odborech – jméno a podpis za odborovou organizaci. I v těchto případech platí, že ke zpra­cování dochází z důvodu plnění povinnosti v oblasti pracovního práva (nejen, že není nutné souhlas poža­dovat, ale souhlas nemá být požadován).

Ve vztahu k posudku o bolestném, posudku o ztíženém společenského uplatnění, záznamu o úra­­­­zu a k záznamu o úrazu – hlášení změn navíc platí, že s těmito dokumenty nakládá více osob (mzdová účetní, odborně způsobilá osoba k zajišťování úkolů v prevenci rizik atd.), čímž dochází k zvýšení míry rizika ochrany osob­ních údajů (přeposílání dokumentů mezi nimi atd.). Z tohoto důvodu je nezbytné zajistit v maximálně možné míře omezení počtu těchto osob (v interním předpise, např. pracovním postupu při vzniku pracovního úrazu, by měl být definován koloběh uvedených dokumentů).

Pravidla pro poskytování záznamů o úrazu

Zaměstnavatel, u kterého působí odborová organizace, je jí povinen zpřístupnit doklady o evidenci a hlášení pracovních úrazů [viz § 108 odst. 6 písm. b) zákoníku práce]. Vzhledem k tomu, že se jedná o zákonnou povinnost, nepotřebuje k tomu souhlas úrazem postiženého. To však neznamená, že není povinen jej o tom informovat (naplnění zásady GDPR korektního a transparentního přístupu k subjektům údajů).

Jiné to však je se zasíláním výtisku České správě sociálního zabezpečení. Zde se nejedná o zpra­cování, které je nezbytné pro plnění právní povinnosti, neboť zaslání nevyžaduje žádný právní předpis (ani zákon č. 187/2006 Sb., ve znění pozdějších předpisů). K doložení, že pracovní neschopnost nevznikla z důvodů uvedených v § 25 písm. a) a § 31 uvedeného zákona, neslouží záznam o úrazu ve smyslu nařízení vlády č. 201/2010 Sb., ve znění pozdějších předpisů, ale speciální formulář „Záznam o úrazu“ ČSSZ, který vyplňuje zraněný zaměstnanec. Zasláním záznamu o úrazu podle nařízení vlády by došlo k porušení souladu s GDPR, neboť by došlo k porušení zásady minimalizace údajů.

Zveřejnění jmen členů preventivní požární hlídky

Zveřejnění jmen a příjmení členů preventivní požární hlídky vyvěšením požárního řadu na pracovišti, na které se vztahuje, není porušením souladu s GDPR, neboť se jedná o požadavek právního předpisu (§ 31 odst. 4 vyhlášky č. 246/2001 Sb., ve znění pozdějších předpisů). Avšak vyvěšení pouhého seznamu členů hlídky s uvedením pracoviště jejich působnosti, bez jejich udělení souhlasu k tomu, by bylo nedodržení souladu s GDPR.

Pracoviště odborně způsobilé osoby k prevenci rizik

Vzhledem k tomu, že při zajišťování BOZP je nakládáno se zvláštní kate­gorií osobních údajů, mělo by být pracoviště odborně způsobilé osoby vybaveno skartovacím pří­stro­jem (fyzická likvidace vícetisků atd.). Její pracoviště by nemělo být volně přístupné (uza­my­katelné a při opuštění pracoviště uzamčené). Podle požadavků správce osobních údajů je možné, že skříně, v kte­rých jsou uloženy dokumenty obsa­hující osobní údaje, zvláště ty ze zvláštní kategorie budou mu­set být uzamykatelné, případně jinak zabezpečený, případně bude nastaven re­­­­­žim pro předávání dokumentů obsahujících zvláštní kategorie osobních údajů jednotlivými pracovišti (např. záznamů o úrazu v zalepené obálce) apod. Též by odpovídajícím způsobem měla být zajištěna ochrana osobních údajů „v terénu“ – převoz osobních údajů v notebooku, na flash disku apod. Také by průběžně měla být kontrolována uchovávaná dokumentace, listinná i elektronická, zda neobsahuje osobní údaje, které již nejsou potřebné (není právní důvod pro uchování dokumentu), nebo dokument obsahující osobní údaje byl do spisu uložen omylem (např. lékařská zpráva ve spise o vypořádání náhrad škody a nemajetkové újmy vzniklých v důsledku pracovního úrazu).

Odebírat
Upozornit na
guest
0 Komentáře
Vložené zpětné vazby
Zobrazit všechny komentáře