BOZP OBECNĚ

V pátek 25. května 2018 nabyla účinnosti nová právní úprava ochrany osobních údajů - Nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, zkráceně nazývané GDPR (obecné nařízení o ochraně osobních údajů). Toto nařízení se dotýká i zajišťování BOZP a PO. V BOZP dokonce dochází ke zpracování zvláštní kategorie osobních údajů (dříve „citlivých údajů“).

Obecné nařízení o ochraně osobních údajů se vztahuje na zcela nebo částečně automatizované a neautomatizované zpracování osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. Přičemž evidencí je míněn jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.
Za osobní údaj jsou považovány veškeré informace o identifikované nebo identifikovatelné fyzické osobě, tedy o fyzické osobě, kterou lze přímo nebo nepřímo identifikovat (subjekt údajů). Osobním údajem je například velikost pracovní obuvi Františka Nováka, který pracuje v oddělení údržby firmy Dřevoplech. František Novák je subjektem údajů.
Nařízení je přímo použitelný předpis EU, a proto není a nebude transformováno do žádného českého právního předpisu. V budoucnu má být vydán tzv. adaptační zákon (zákon o zpracování osobních údajů), který má upravit náležitosti, které GDPR umožňuje řešit na národní úrovni (působení Úřadu na ochranu osobních údajů, způsobilost dítěte pro udělení souhlasu se zpracováním osobních údajů atd.) a provádět novou trestněprávní směrnici EU.
GDPR řeší ochranu osobních údajů při jejich zpracování. Tím je myšlena jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů (shromažďování, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení, pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz či zničení).
V současné době je bohužel stále platný zákon č. 101/2000 Sb., ve znění pozdějších předpisů (zrušit jej má adaptační zákon). V případě, že jsou ustanovení uvedených předpisů v nějakém bodě v rozporu, platí ustanovení GDPR a k ustanovení zákona č. 101/2000 Sb. se nepřihlíží.

GDPR je založeno na stejném základě jako BOZP

Vzhledem k tomu, že GDPR neobsahuje konkrétní pravidla pro nakládání s osobními údaji, je postup pro jeho naplnění o to složitější. Nemá být prokázáno plnění požadavků GDPR, ale soulad s ním. Každý správce (fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů) si musí vytvořit svá vlastní pravidla na základě konkrétních podmínek (nebezpečí) nakládání s osobními údaji, která poté musí dodržovat a tím zajišťovat soulad s GDPR.
GDPR je založeno na stejném základě jako BOZP, tedy na stanovení opatření na základě kvalifikovaného odhadu míry předpokládaných rizik spojených s nakládáním s osobními údaji (někdy bývá nazýváno „nová BOZP“). Ochrana osobních údajů je v GDPR pojata abstraktně, obdobně, jako je tomu v BOZP. Pro obě oblasti platí, že nesmí být pojímány z technického úhlu pohledu (musí se provést 1., 2., ..., 10. a bude splněno), ale z úhlu abstraktního pohledu (lze oprávněně předpokládat, že v konkrétním případě míra nebezpečí bude takto a takto vysoká, a proto je nutné v konkrétním případě přijmout takováto a takováto opatření).
GDPR se vztahuje pouze na osobní údaje živých fyzických osob. Při šetření smrtelného pracovního úrazu se GDPR neuplatní. To však neznamená, že se neuplatní ochrana osobních údajů podle jiných právních předpisů, například občanského zákoníku (§ 81 a  následující).

Zásady zpracování osobních údajů 

Základními „stavebními kameny“ GDPR, tedy vodítky pro zajištění souladu s ním, jsou zásady zpracování osobních údajů. Jejich dodržování je základem pro vytváření souladu s GDPR. Jedná se o:

  • zákonnost (zpracování nesmí být v rozporu se zákonem, tedy nejen s GDPR, a pouze v odpovídajícím rozsahu při splnění některé z GDPR uvedených podmínek, tedy některého právního důvodu pro zpracování osobních údajů),
  • korektnost a transparentnost (zajišťovat co největší míru informovanosti subjektů údajů a nezastírat účel zpracování),
  • účelové omezení (osobní údaje nesmí být zpracovány k jinému účelu, než k jakému byly shromážděny [existují výjimky: pro účely archivace ve veřejném zájmu, vědeckého či historického výzkumu nebo pro statistické účely]),
  • minimalizaci údajů (pouze údaje, které jsou pro dosažení účelu nezbytné, a to pouze v nutném rozsahu),
  • přesnost (údaje musí být přesné a podle potřeby aktualizované; avšak správce nemá povinnost vyhledávat nepřesné údaje a opravovat je),
  • omezení uložení [osobní údaje mají být uloženy ve formě umožňující identifikaci subjektů údajů po dobu NE delší, než je nezbytné pro účely, pro které jsou zpracovávány, nepotřebné údaje musí být vymazány nebo anonymizovány (i zde platí výjimky: pro
  • účely archivace ve veřejném zájmu, vědeckého či historického výzkumu nebo pro statistické účely)],
  • integritu a důvěrnost (nutno přijmout vhodná technická a organizační opatření pro zajištění integrity a důvěrnosti osobních údajů),
  • odpovědnost [zajištění souladu se všemi zásadami a být schopen to prokázat; odpovědný je vždy správce, nikoliv jeho zaměstnanec nakládající s osobními údaji (zaměstnanec ve smyslu GDPR není ani zpracovatelem osobních údajů)].

Právní důvody pro nakládání s osobními údaji

K legálnímu nakládání s každým jednotlivým osobním údajem musí být alespoň jeden právní důvod uvedený v GDPR (souběžně může být i více právních důvodů). Právní důvody úzce souvisí s účelem zpracování (účel ovlivňuje možný právní důvod, proto je primárně nezbytné stanovit účel, za kterých je jednotlivý osobní údaj zpracováván). Lze je rozdělit do dvou základních skupin:

  • bez souhlasu subjektu údajů (souhlase se nevyžaduje),
  • se souhlasem subjektu údajů [souhlas je nutný (bez jeho udělení není možné osobní údaje oprávněně zpracovávat)].

Všechny právní důvody jsou si rovny. Neplatí, že souhlas je nadřazen ostatním právním důvodům. V případě, že k účelu zpracování osobního údaje existuje právní důvod bez souhlasu subjektu údajů, souhlas se nepožaduje! Souhlas by byl v tomto případě nejen nadbytečný, ale, což je zásadnější, uváděl by subjekt údajů v omyl, že zpracování těchto osobních údajů může odvolat (souhlas musí být odvolatelný), pochopitelně, například u právního důvodu „zpracování je nezbytné pro plnění právní povinnosti“, to je nemožné. Vyžádání si souhlasu v tomto případě je jednoznačným důkazem nepochopení GDPR.

Právními důvody, kdy se souhlas nepožaduje, jsou případy, kdy:

  • zpracování je nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů nebo pro přijetí opatření před uzavřením smlouvy na žádost subjektu údajů,
  • zpracování je nezbytné pro plnění právní povinnosti,
  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci,
  • zpracování je nezbytné pro účely oprávněných zájmů správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy subjektu údajů vyžadující ochranu osobních údajů, zejména dítěte.

Při zajišťování BOZP a PO je v drtivém množství případů právním důvodem to, že „zpracování je nezbytné pro plnění právní povinnosti“. Jedná se o důvod patřící do skupiny „bez souhlasu subjektu údajů“. Je-li však zájem nakládat s osobním údajem z důvodu, který nesplňuje, že zpracování je nezbytné pro plnění právní povinnosti (ani jiný právní důvod bez souhlasu), například umístění fotografie dokládající porušení požadavku BOZP, na které je možné identifikovat konkrétní fyzickou osobu, na nástěnce nebo její prezentace v rámci školení zaměstnanců, je nutné si od této osoby vyžádat souhlas splňující požadavky GDPR (jakýkoliv svobodný, konkrétní, informovaný a jednoznačný projev vůle, který subjekt údajů dává prohlášením nebo jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů). Obdobně to platí i o natočeném videu, například prvotního hasebního zásahu či cvičné evakuace, nebo hlasovém záznamu (například školícího).

Při nakládání s osobními údaji při zajišťování BOZP a PO je tedy vždy zcela nezbytné rozlišovat, zda se jedná o plnění zákonné povinnosti (drtivá většina případů), či nikoliv. Dále je nutné mít na vědomí, že osobní údaje je možné zpracovávat pouze za předem jasně definovaným účelem. Není možné je zpracovávat s tím, že se to může někdy k něčemu hodit.

Zvláštní kategorie osobních údajů

GDPR kromě zajištění obecné ochrany osobních údajů definuje i ochranu pro zvláštní kategorii osobních údajů (dříve „citlivé údaje“). Jedná se o údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace a údaje o zdravotním stavu či sexuálním životě nebo sexuální orientaci fyzické osoby. Jejich zpracování je, až na stanovené výjimky, zakázáno.

Zpracování je povoleno pouze v případech:

  • udělení výslovného souhlasu subjektu údajů,
  • zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany,
  • zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas,
  • zpracování provádí v rámci svých oprávněných činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, a za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a že tyto osobní údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt,
  • další případy uvedené v čl. 9 odst. 2 GDPR (například zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby).

Při zajišťování BOZP lze předpokládat nakládání s údaji o členství v odborech a s údaji o zdravotním stavu (při zajišťování PO nedochází k nakládání s osobními údaji ze zvláštní kategorie). Jak již bylo zmíněno, tyto údaje nesmí být zpracovávány, vyjma povolených případů. Z hlediska zajištění BOZP je jím případ, kdy „zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany“. K jejich zpracovávání není nutné vyžadovat výslovný souhlas, zároveň však nesmí být použity k jinému účelu, pokud nebudou upraveny tak, aby již nebylo možné identifikovat konkrétní fyzickou osobu (anonymizace apod.), tedy pokud osobní údaj nebude „přetvořen“ na údaj anonymní (údaj, který není možné vztáhnout k subjektu údajů).

Zabezpečení osobních údajů

Zabezpečení osobních údajů má být provedeno s přihlédnutím ke stavu techniky, nákladům na provedení, povaze a rozsahu zpracování, jakož i jejich kategorii, kontextu a účelu zpracování a k různě pravděpodobným a různě závažným rizikům pro práva a svobody subjektů údajů. Záleží na správci údajů, jaká konkrétní zabezpečení příjme.
Je možné, nikoliv povinné, například provést pseudonymizaci, což znamená nahradit identifikační údaje subjektu údajů kódem. Přitom databáze vazeb kód-identifikační údaj musí být uložena odděleně od databáze osobních údajů.
Dále je možné provádět šifrování osobních údajů. Opět se nejedná o povinnost, ale o možnost použití v případě, kdy je to vhodné, tedy v případě, kdy správce usoudí, že je to pro zajištění ochrany osobních údajů potřebné.
Také musí být přijata taková opatření, aby osobní údaje zpracovávala pouze fyzická osoba, která je zpracovává na pokyn správce nebo zpracovatele [fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce [nejedná se o zaměstnance správce!)]. Jejich počet by měl být minimalizován.

Vzhledem k tomu, že při zajišťování BOZP je nakládáno se zvláštní kategorií osobních údajů, je vhodné, aby pracoviště odborně způsobilé osoby k zajišťování úkolů v prevenci rizik bylo vybaveno skartovacím přístrojem (fyzická likvidace vícetisků apod.). Její pracoviště by nemělo být volně přístupné. Mělo by umožnit uzamčení a při opuštění pracoviště být uzamčeno.
Při zajišťování BOZP a PO je nutné dodržet pravidla stanovená správcem osobních údajů, například nevyžadovat dokumenty obsahující osobní údaje, které nejsou potřebné (zdravotní zpráva lékaře při vzniku pracovního úrazu apod.), omezit přístup ke knize úrazů pouze definovanému okruhu osob (ne ji umístit veřejně přístupnou v lékárničce nebo na vrátnici), dodržovat mlčenlivost o zjištěných osobních údajích (kdo jaké utrpěl zranění, kdy má kdo narozeniny, jakou má velikost oblečení atd.).
Správce osobních údajů může stanovit další požadavky, například, že skříně, v kterých jsou uloženy dokumenty obsahující osobní údaje, zvláště ty ze zvláštní kategorie, budou muset být uzamykatelné, případně jinak zabezpečeny (například, v případě, že v kanceláři jsou další zaměstnanci, jež nezajišťují úkoly v BOZP a PO, tedy zaměstnanci, kteří by neměli mít přístup například k záznamům o úrazu; obdobně to platí o možnosti uklízeček seznámit se s chráněnými údaji), nebo nastavení režimu pro předávání dokumentů obsahujících zvláštní kategorie osobních údajů jednotli vými pracovišti (například v pracovním postupu pro evidenci pracovních úrazů a poskytování náhrad škod jimi způsobených).

Zajišťování BOZP a PO dodavatelským způsobem

Pro mnohé firmy je výhodné pro zajištění BOZP a PO si sjednat externí firmu. Tato firma, pokud v rámci smluvně sjednané činnosti nakládá s osobními údaji, což je pravděpodobné (nakládá s prezenčními listinami školení, záznamy úrazů apod.), je jejich zpracovatelem. Mezi správcem a zpracovatelem musí být uzavřeno písemné smluvní ujednání o způsobu zajištění ochrany osobních údajů. Zpracovatel je povinen řídit se požadavky správce údajů (údaje zpracovávat jen za základě pokynů správce) a umožnit mu kontrolu plnění této povinnosti. Bez písemného předchozího povolení správce zpracovatel nesmí řetězit zpracovatelé osobních údajů, tedy předávat osobní údaje ke zpracování dalšímu zpracovateli (například v případě, že pro firmu, s kterou má správce uzavřenu smlouvu o zajištění BOZP a PO pracují odborně způsobilé osoby na živnostenský list, jež BOZP a PO u správce zajišťují, či při výjimečné výpomoci z důvodu nestíhání termínů).
Smlouva musí stanovit, že:

  • zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů správce,
  • zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo se na ně vztahovala zákonem stanovená mlčenlivost,
  • příjme opatření k zabezpečení osobních údajů,
  • dodržuje podmínky pro zapojení dalšího zpracovatele,
  • zohledňuje povahu zpracování,
  • je správci nápomocen v technických a organizačních opatřeních,
  • vymaže nebo vrátí správci osobní údaje po ukončení poskytování služeb,
  • poskytne správci informace potřebné k doložení toho, že byly splněny povinnosti podle čl. 28 GDPR, tedy výše uvedené.

Jedná-li se o firmu, která k zajišťování BOZP a PO dodavatelským způsobem využívá své zaměstnance, je zpracovatelem osobních údajů svých klientů při zajišťování BOZP a PO a zároveň správcem osobních údajů svých zaměstnanců,
případně osobních údajů dalších osob (fyzických osob klienta týkajících se obchodního vztahu, nikoliv zajišťování BOZP a PO).
Povinnosti správce
Správce primárně odpovídá za zpracování osobních údajů. Pro jejich ochranu je povinen zavést vhodná technická a organizační opatření odpovídající danému riziku (schopnost obnovit dostupnost osobních údajů, zajištění integrity údajů, mlčenlivost zaměstnanců atd.).

Správce je též povinen vést záznamy o činnostech zpracování. Ty mají především obsahovat:

  • totožnost správce,
  • účely zpracování,
  • kategorie subjektů údajů a osobních údajů,
  • dobu zpracování,
  • popis technických a organizačních opatření.

Povinnost vést záznamy se nevztahuje na správce, který má méně než 250 zaměstnanců. Tato výjimka se však neuplatní v případě, že zpracování představuje riziko pro práva a svobody fyzické osoby a nejde jen o příležitostné zpracování, nebo se pracovávají zvláštní kategorie osobních údajů.
Nastane-li případ porušení zabezpečení osobních údajů, které je rizikové (například citelná krádež dat), je správce povinen to ohlásit dozorovému orgánu (Úřadu pro ochranu osobních údajů). Ohlášení by mělo být provedeno do sedmdesáti dvou hodin.

Práva subjektu údajů

Správcem nesmí být ignorována práva subjektů údajů - právo na informace, na přístup k osobním údajům, na opravu na doplnění, na výmaz. Výkon těchto práv musí být bezplatný, vyjma případů zjevně nedůvodných žádostí (například neustále se opakujících). Uskutečněn má být bez zbytečného odkladu, resp. do třiceti dnů.
Kdokoliv, kdo v důsledku porušení GDPR utrpěl hmotnou či nehmotnou újmu, má právo od správce nebo zpracovatele obdržet náhradu této újmy.

Pokuty

Velkým strašákem se staly pokuty, které budou moci být podle GDPR uloženy. Pravdou však je, že budou moci být uloženy, jak nařízení uvádí, podle okolností každého případu. Sankce, tedy nejen pokuty, mají mít především preventivní, odstrašující a donucující účinek, nikoliv likvidační.
Nařízení nepožaduje, že v případě zjištění nedostatku zajištění shody s GDPR musí být pokuta uložena. Při rozhodování, zda správní pokutu uložit či nikoliv a případně v jaké výši bude zohledňována například povaha, závažnost, délka porušení s přihlédnutím k povaze, rozsahu a účelu zpracování, jakož i k počtu dotčených subjektů údajů a jejich kategorie. Též bude brán zřetel na to, zda se jednalo o úmysl nebo nedbalost, na kroky podniknuté správcem ke zmírnění škod, předchozí porušení správce atd.
Stanovená pokuta do výše 20 000 000 EUR nebo do 4 % celosvětového obratu za předchozí finanční rok (podle toho, která hodnota je vyšší) se vztahuje pouze na závažnější porušení (porušení práv subjektu údajů, předávání osobních údajů atd.). Pro ta méně závažná (nenahlášení nebo neoznámení případu porušení zabezpečení osobních údajů atd.) jsou stanoveny poloviční hodnoty.
V souvislosti s výší pokut je nutné si uvědomit dva aspekty, a to že pokuta má být odstrašující i pro největší společnosti světa (proto tak vysoké částky), a že se budou ukládat podle okolností každého jednotlivého případu. Tedy u drobných živnostníků, například poskytovatelů služeb v oblastech BOZP a PO, se jistě nebude jednat o výše uvedené částky.

Dokumenty BOZP a PO obsahující osobní údaje

S osobními údaji se při zajišťování BOZP a PO nakládá zejména v případech:

  • žádosti o pracovnělékařskou prohlídku,
  • posudku o pracovnělékařské prohlídce,
  • prezenčních listin školení BOZP a PO, jakož i dalších profesních školení a odborných příprav PO,
  • evidence OOPP [jméno a příjmení, tělesné rozměry (vyjádřené přímo nebo konfekční velikostí) atd.],
  • evidence výkonu rizikové práce (rodné číslo atd.),
  • evidence bezpečnostních přestávek,
  • vydání příkazu na sváření (jméno a příjmení svářeče, číslo jeho svářečského průkazu atd.),
  • knihy úrazů,
  • evidence pracovních úrazů a nemocí z povolání,
  • náhrad škody a nemajetkové újmy z důvodu utrpění pracovního úrazu nebo přiznání nemoci z povolání,
  • zápisu z kontroly (včetně fotodokumentace, videí apod.),
  • dokumentace PO [(požární poplachová směrnice, požární řád (jméno a příjmení vedoucího zaměstnance pracoviště, jména a příjmení členů preventivní požární hlídky, jméno, příjmení a odborná způsobilost zpracovatele) atd.].

Při zajišťování BOZP dochází i ke zpracování zvláštní kategorie osobních údajů, a to z důvodu plnění povinnosti v oblasti pracovního práva. Jedná se o nakládání s osobními údaji o zdravotním stavu, které jsou uvedeny v posudku o bolestném nebo o ztíženém společenském uplatnění (většinou s nimi nakládá odborně způsobilá osoba k zajišťování úkolů v prevenci rizik nebo mzdová účetní). Posudek o pracovnělékařské prohlídce neobsahuje údaje spadající do této kategorie (neobsahuje údaj o zdravotním stavu, ale pouze o zdravotní způsobilosti k výkonu práce). To též platí o evidenci poskytovaných osobních ochranných pracovních prostředků - velikost oblečení a obuvi (jedná se o obecné osobní údaje, pokud je možné přímo nebo nepřímo identifikovat fyzickou osobu, nikoliv o osobní údaje ze zvláštní kategorie).
Dalšími dokumenty obsahujícími osobní údaje zvláštní kategorie jsou kniha úrazů (údaje o zdravotním stavu - druh zranění, zraněná část těla) a záznam o úrazu a záznam o úrazu - hlášení změn, které kromě údajů o zdravotním stavu mohou též obsahovat údaje o členství v odborech - jméno, příjmení a podpis za odborovou organizaci. I v těchto případech platí, že ke zpracování dochází z důvodu plnění povinnosti v oblasti pracovního práva.
Ve vztahu k posudku o bolestném, posudku o ztíženém společenského uplatnění, záznamu o úrazu a k záznamu o úrazu - hlášení změn navíc platí, že s těmito dokumenty nakládá více zaměstnanců správce, případně zpracovatele (mzdová účetní, odborně způsobilá osoba k zajišťování úkolů v prevenci rizik atd.), čímž dochází k zvýšení rizika ochrany osobních údajů (přeposílání dokumentů mezi nimi atd.). Z tohoto důvodu je nezbytné zajistit v maximálně možné míře omezení počtu těchto zaměstnanců (stanovit jej například v pracovním postupu řešícím evidenci pracovních úrazů a náhrady škody a nemajetkové újmy vzniklých v jejich důsledku).

Uchování dokumentů

S ochranou osobních údajů úzce souvisí i doba uchovávání jednotlivých dokumentů obsahujících osobní údaje (naplnění zásady omezení uložení). Je jedno, zda se jedná o dokumenty v listinné nebo elektronické podobě. Z hlediska zajištění souladu s GDPR osobní údaje mohou být v dokumentech uvedené pouze po dobu trvání účelu, pro který byly osobní údaje získány a zpracovávány.
Dobu uchovávání dokumentů mnohdy řeší Spisový a skartační řád (ne všichni jsou povinni jej mít zpracován). V některých případech je doba uchování upravena právními předpisy. V BOZP se jedná například o:

  • § 40 zákona č. 258/2000 Sb. (evidence rizikové práce) - 10, resp. 40 let,
  • § 44a odst. 6 zákona č. 258/2000 Sb. (školení o nakládání s toxickými látkami) - 3 roky,
  • § 31 odst. 2 zákona č. 563/1991 Sb. [účetní doklady, například doklad o doplatku za léky, pokud je možné přímo nebo nepřímo identifikovat fyzickou osobu (například doklad je součástí spisu zaměstnance o náhradě škody a nemajetkové újmy)] - 5 let,
  • § 35a odst. 4 zákona č. 582/1991 Sb. (záznamy potřebné pro účely důchodového pojištění, mimo jiné záznamy o pracovním úrazu a nemoci z povolání) - 30 let.

Jak bylo uvedeno, výčet není konečný. Záleží především na zaměstnavatelem provozovaných činnostech a z toho plynoucích zpracovávaných dokumentech, jakož i s BOZP dalších souvisejících činností, například jednání s odborovou
organizací o zajištění BOZP.

Konkrétní návod pro vytvoření souladu s GDPR

Vytvořit konkrétní podrobný návod, jak postupovat pro vytvoření souladu s GDPR pro různé správce je prakticky nemožné. Přístup musí být vždy individuální pro každého jednotlivého správce (i to je obdobné se zajišťováním BOZP).
Má-li být zavedení souladu s GDPR smysluplné a efektivní, nelze využít jen univerzální řešení a šablony.

NEUGEBAUER, Tomáš. Soulad s GDPR při zajišťování BOZP a PO. Bezpečnost a hygiena práce, 2018, roč. 68, č. 6, s. 2-7.