Kontakty

Telefon Telefon: +420 222 981 423
Mobil Mobil: +420 777 724 737
email E-mail: info@uds.cz

Jak na ochranu osobních údajů dle GDPR při zajišťování BOZP (1. část)

21.11.2018

Každý zaměstnavatel při plnění svých zákonných povinností v oblastech BOZP a PO je nucen nakládat s osobními údaji (veškeré informace o identifikované nebo identifikovatelné fyzické osobě) svých zaměstnanců, případně i dalších osob, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

U jakých dokumentů se nakládá s osobními údaji?

Zaměstnavatel je povinen zabezpečit osobní údaje bez ohledu na to, zda si plnění povinností v těchto oblastech zajišťuje sám, resp. svým zaměstnancem, nebo si k tomu najme externí firmu. To se též týká osob samostatně výdělečně činných (OSVČ), které nikoho nezaměstnávají, neboť i ty jsou povinny zajišťovat BOZP a PO (například hlásit vznik vlastního pracovního úrazu a vést o tom příslušnou dokumentaci).

Při zajišťování BOZP a PO se s osobními údaji nakládá zejména při činnostech, při kterých se používají tyto dokumenty:

  • žádost o pracovnělékařskou prohlídku,

  • posudek o pracovnělékařské prohlídce,

  • prezenční listiny školení BOZP a PO, jakož i dalších profesních školení (svářečů, řidičů motorových vozidel, elektrikářů, stavebních strojů atd.) a odborných příprav,

  • evidence osobních ochranných pracovních prostředků (obsahuje jméno, příjmení, ale i tělesné rozměry většinou vyjádřené konfekční velikostí atd.), sloužící k evidenci výkonu rizikové práce (obsahuje rodné číslo atd.),

  • evidence bezpečnostních přestávek,

  • příkaz na sváření (obsahuje jméno a příjmení svářeče, číslo jeho svářečského průkazu atd.),

  • kniha úrazů, sloužící k evidenci pracovních úrazů a nemocí z povolání (záznam o úrazu atd.), týkající se náhrad škody a nemajetkové újmy utrpěných v důsledku pracovního úrazu nebo nemoci z povolání (posudek o bolestném atd.),

  • zápisy z kontrol (včetně fotodokumentace, videí apod.),

  • dokumentace požární ochrany (požárně poplachová směrnice, požární řád: jméno a příjmení vedoucího zaměstnance pracoviště, jména a příjmení členů preventivní požární hlídky, jméno, příjmení a odborná způsobilost zpracovatele) atd.).
    Právní důvod zpracování osobních údajů

    Pro nakládání s osobními údaji při zajišťování BOZP a PO je ve většině případů právním důvodem, že „zpracování je nezbytné pro plnění právní povinnosti“. Je-li však zájem nakládat s osobním údajem z důvodu, který nesplňuje, že zpracování je nezbytné pro plnění právní povinnosti, např. umístění fotografie znázorňující porušení požadavku k zajištění BOZP, na které je možné identifikovat konkrétní fyzickou osobu, na nástěnce nebo její prezentace v rámci školení zaměstnanců, je nutné si od této osoby vyžádat souhlas splňující požadavky GDPR (svobodný, konkrétní, tedy k jakému účelu, jaký údaj, na jakou dobu, informovaný a jednoznačný projev vůle, který subjekt údajů dává prohlášením nebo jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů).

    Zvláštní kategorie osobních údajů

    Při zajišťování BOZP dochází i ke zpracování zvláštní kategorie osobních údajů (údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace a údajů o zdravotním stavu či sexuálním životě nebo sexuální orientaci fyzické osoby). Tyto údaje, až na povolené výjimky, nesmí být zpracovávány. Pro zajišťování BOZP tou výjimkou je, že „zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany“. K jejich zpracovávání není nutné vyžadovat výslovný souhlas. Obecně lze v oblasti BOZP předpokládat nakládání s údaji o zdravotním stavu a s údaji o členství v odborech.

    Konkrétně se jedná o nakládání s osobními údaji o zdravotním stavu, které jsou uvedeny v posudku o bolestném nebo o ztíženém společenském uplatnění. Dalšími dokumenty obsahujícími osobní údaje, které se řadí do zvláštní kategorie, jsou kniha úrazů (údaje o zdravotním stavu – druh zranění, zraněná část těla), záznam o úrazu a záznam o úrazu – hlášení změn, které kromě údajů o zdravotním stavu mohou též obsahovat údaje o členství v odborech – jméno a podpis za odborovou organizaci. I v těchto případech platí, že ke zpracování dochází z důvodu plnění povinnosti v oblasti pracovního práva (není nutné požadovat souhlas, resp. souhlas nemá být požadován. Byl by nejen nadbytečný, ale též by uváděl fyzickou osobu v omyl, že je možné zpracování toho osobního údaje odvolat).

    Posudek o pracovnělékařské prohlídce neobsahuje údaje spadající do této kategorie, neboť neobsahuje údaj o zdravotním stavu, ale pouze o zdravotní způsobilosti k výkonu práce. Totéž platí o evidenci poskytovaných osobních ochranných pracovních prostředků (OOPP). Velikost oblečení nebo obuvi je sice osobní údaj, pokud se týká identifikované osoby, avšak není biometrickým údajem za účelem jedinečné identifikace.

    Pracovní úrazy

    Ve vztahu k dokumentaci o pracovních úrazech je nutné uvést, že GDPR se vztahuje pouze na osobní údaje o živých fyzických osobách. Proto např. při šetření smrtelného pracovního úrazu se GDPR neuplatní. To však neznamená, že se neuplatní ochrana osobních údajů podle jiných právních předpisů, např. občanského zákoníku (§ 81 a následujícít.

    Většinou s dokumenty týkajících se pracovních úrazů nakládá více osob, čímž dochází k zvýšení rizika ochrany osobních údajů (přeposílání dokumentů mezi nimi atd.). Z tohoto důvodu je nezbytné zajistit v maximálně možné míře omezení jejich počtu. Zaměstnavatel, u kterého působí odborová organizace, je jí povinen zpřístupnit doklady o evidenci a hlášení pracovních úrazů (viz § 108 odst. 6 písm. b) zákoníku práce). Vzhledem k tomu, že se jedná o zákonnou povinnost, nepotřebuje k tomu souhlas úrazem postiženého, a to bez ohledu na to, zda se jedná o člena odborové organizace či nikoliv. To však neznamená, že není povinen jej o tom informovat (naplnění zásady GDPR korektního a transparentního přístupu k subjektům údajů).

    Jiné to však je se zasíláním výtisku záznamu o úrazu České správě sociálního zabezpečení. Zde se nejedná o zpracování, které je nezbytné pro plnění právní povinnosti, neboť zaslání nevyžaduje žádný právní předpis (ani zákon o nemocenském pojištění). K doložení, že pracovní neschopnost nevznikla z důvodů uvedených v § 25 písm. a) a § 31 uvedeného zákona, neslouží záznam o úrazu ve smyslu nařízení vlády o způsobu evidence úrazů, hlášení a zasílání záznamu o úrazu, ale speciální formulář „Záznam o úrazu“ ČSSZ, který vyplňuje zraněný. Zasláním záznamu o úrazu podle nařízení vlády bez souhlasu postiženého by došlo k porušení souladu s GDPR, neboť by došlo k porušení zásady minimalizace údajů.

    Další příklad z praxe

    Zveřejnění jmen a příjmení členů preventivní požární hlídky vyvěšením požárního řadu, jehož jsou součástí, na pracovišti, na které se řád vztahuje, a to i na veřejně přístupném místě, není porušením souladu s GDPR, neboť se jedná o požadavek právního předpisu (§ 31 odst. 4 vyhlášky o požární prevenci). Avšak vyvěšení pouhého seznamu členů hlídky s uvedením pracoviště jejich působnosti, např. na plastové bezpečnostní tabulce, bez jejich udělení souhlasu k tomu, by bylo nedodržení souladu s GDPR.

    Další požadavky

    Při vytváření souladu s GDPR při zajišťování BOZP a PO je nutné dodržet i další požadavky, například na zabezpečení osobních údajů nebo na činnost zpracovatele. Nejen o tom však až příště.




    další novinky v kategorii: Obecné a ostatní

    Hranice pro offline režim EET se zřejmě zvýší, bude činit 600 tisíc Kč?
    15.02.2019
    ČSSD a KSČM podmiňují podporu zavedení posledních dvou vln EET zvýšením hranice hotovostních příjmů pro využití offline režimu.


    Žádné daňové přiznání, žádné zálohy na pojištění. Čeká nás daňová revoluce?
    13.02.2019
    Místo odvodů pro berňák, zdravotní pojišťovnu a ČSSZ jeden měsíční paušál bez žádných přehledů, daňového přiznání a ani kontrol. Chystají se změny.


    Čísla o přínosu #EET jsou založena na nesmyslné metodice, ukázala analýza
    13.02.2019
    Piráti zveřejnili analýzu, která ukazuje, že čísla o přínosu EET, která vláda prezentuje, jsou získaná pofidérní metodikou.


    PES, právní elektronický systém, který má podnikatelům usnadnit život, se vrací
    13.02.2019
    Na podzim roku 2017 sice Senát odmítl zavedení právního elektronického systému (PES) a jeho financování, nyní se ale systém vrací na scénu.


    NSS: Přechod daňových povinností je při odštěpení společnosti možný
    13.02.2019
    Nejvyšší správní soud v rozporu s předcházející judikaturou souhlasil s možností přechodu daňové povinnosti v rámci rozdělení společnosti i při odštěpení, kdy daná společnost nezaniká. Zdůvodnil to změnou v legislativě k 1. lednu 2014.


  • Kde nás najdete

    UDS, s.r.o.
    Vršovická 841/40, 101 00 Praha 10

    Telefon: +420 222 981 423
    Mobil:+420 777 724 737
    E-mail: info@uds.cz

    Mapa

    Novinky

    GFŘ se neztotožňuje s publikovanými závěry kontroly NKÚ zaměřené na správu daně z příjmů právnických osob
    Generální finanční ředitelství (GFŘ) tímto reaguje na závěry kontrolní akce Nejvyššího kontrolního úřadu (NKÚ), která proběhla v loňském roce a která byla zaměřena na daň z příjmů právnických osob a výsledků při jejím výběru. NKÚ ve zveřejněných závěrech rozporuje i některé zavedené postupy Finanční správy, které v rámci kontrol v předchozích letech sám nezpochybnil.

    Lze navázat na dohodu o provedení práce dohodou o pracovní činnosti?
    Je možné s jedním člověkem na stejný druh práce uzavřít nejprve dohodu o provedení práce a po vyčerpání stanovených hodin následně dohodu o pracovní činnosti?

    další novinky

    Kalkulace ceny