Při zajišťování BOZP a PO dochází k nakládání s osobními údaji zaměstnanců i dalších osob. Proto i při této činnosti je nezbytné zohledňovat požadavky na zajištění souladu s GDPR. Zaměstnavatel si musí vytvořit svá specifická pravidla na základě konkrétních podmínek nakládání s osobními údaji, která poté musí dodržovat, a tak zajišťovat soulad s GDPR, který musí být schopen prokázat.
Ochrana osobních údajů podle Nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, zkráceně nazývaném GDPR, je postavena na stejných principech jako zajišťování BOZP, tedy na stanovení opatření na základě kvalifikovaného odhadu míry předpokládaných rizik spojených s nakládáním s osobními údaji. Ochrana je pojata abstraktně, obdobně jako v BOZP. Platí pro ni, že lze oprávněně předpokládat, že v konkrétním případě míra nebezpečí bude takto a takto vysoká, a proto je nutné v konkrétním případě přijmout takováto a takováto opatření.
Z uvedených důvodů GDPR neobsahuje konkrétní pravidla pro nakládání s osobními údaji. Proto nemá být prokázáno plnění požadavků GDPR, ale soulad s ním. Každý správce (fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů) si musí vytvořit svá specifická pravidla na základě konkrétních podmínek nakládání s osobními údaji, která poté musí dodržovat, a tak zajišťovat soulad s GDPR. Ten musí být schopen kontinuálně prokázat.
Za osobní údaj jsou považovány veškeré informace o identifikované nebo identifikovatelné fyzické osobě, tedy o fyzické osobě, kterou lze přímo nebo nepřímo identifikovat (subjekt údajů). Je-li osoba identifikována, všechny údaje o ní jsou osobními údaji. Může se tak jednat například o velikost bot nebo oblečení zaměstnance nebo o počet odpracovaných hodin při výkonu rizikové práce u identifikované nebo identifikovatelné fyzické osoby.
GDPR kromě zajištění obecné ochrany osobních údajů definuje i ochranu pro zvláštní kategorii osobních údajů (dříve „citlivé údaje“). Jedná se o údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace a údaje o zdravotním stavu či sexuálním životě nebo sexuální orientaci fyzické osoby. Jejich zpracování je, až na stanovené výjimky, zakázáno.
Nařízení se vztahuje pouze na osobní údaje o živých fyzických osobách. Proto například při šetření smrtelného pracovního úrazu se vůči mrtvému neuplatní. To však neznamená, že se neuplatní ochrana osobních údajů podle jiných právních předpisů, například podle občanského zákoníku.
K legálnímu nakládání s osobními údaji musí být alespoň jeden z právních důvodů uvedených v GDPR, které úzce souvisí s účelem zpracování. Ty lze rozdělit do dvou základních skupin – bez souhlasu subjektu údajů a se souhlasem (souhlas je nutný). V případě právního důvodu k nakládání s osobním údajem bez souhlasu subjektu údajů se souhlas nepožaduje (jeho vyžádáním by byl subjekt údajů uváděn v omyl, například že může využít práva na výmaz).
Vytváření souladu s GDPR při zajišťování BOZP a PO
Pro zajišťování BOZP a PO je v drtivém případě právním důvodem, že „zpracování je nezbytné pro plnění právní povinnosti“. Je-li však zájem nakládat s osobním údajem z důvodu, který nesplňuje, že zpracování je nezbytné pro plnění právní povinnosti, například zveřejnění fotografie znázorňující porušení požadavku k zajištění BOZP, na které je možné identifikovat konkrétní fyzickou osobu, na nástěnce nebo v prezentaci v rámci školení zaměstnanců, je nutné si od této osoby vyžádat souhlas splňující požadavky GDPR (jakýkoliv svobodný, konkrétní [k jakému účelu, jaký údaj, na jakou dobu], informovaný a jednoznačný projev vůle, který subjekt údajů dává prohlášením nebo jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů). Souhlas nesmí mít podobu generálního prohlášení. Musí být dobrovolný, doložitelný, odlišitelný od ostatních údajů a odvolatelný. Odvolání musí být stejně snadné jako jeho poskytnutí.
Při nakládání s osobními údaji při zajišťování BOZP a PO je tedy zcela nezbytné rozlišovat, zda se jedná o plnění zákonné povinnosti (drtivá většina případů), či nikoliv. Dále je nutné mít na vědomí, že osobní údaje je možné zpracovávat pouze za předem jasně definovaným účelem (není možné je shromažďovat s tím, že se mohou někdy k něčemu hodit apod.).
Při zajišťování BOZP a PO je nutné dodržet pravidla stanovená správcem osobních údajů, například nevyžadovat dokumenty obsahující osobní údaje, které nejsou potřebné, zamezit přístupu nepovolaných osob k dokumentům obsahujícím osobní údaje (uzamykání kanceláře apod.), omezit přístup ke knize úrazů (přístup má pouze definovaný okruh osob), fyzickou likvidaci vícetisků dokumentů obsahujících osobní údaje (vyhotovovat a uchovat pouze potřebný počet výtisků), dodržovat mlčenlivost o zjištěných osobních údajích (např. neprozrazovat datum narození či velikost spodního prádla [v prostředí s nebezpečím výbuchu]) atd.
Zabezpečení osobních údajů má být provedeno s přihlédnutím ke stavu techniky, nákladům na provedení, povaze a rozsahu zpracování, jakož i jejich kategorii, kontextu a účelu zpracování a k různě pravděpodobným a různě závažným rizikům pro práva a svobody subjektů údajů. Záleží na správci údajů, jaká konkrétní zabezpečení příjme. To je jeho právo i povinnost.
Také by měla být přijata taková opatření, aby osobní údaje zpracovávala pouze fyzická osoba, která je zpracovává na pokyn správce nebo zpracovatele (fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce [nejedná se o zaměstnance správce!]). Jejich počet by měl být minimalizován.
Zajišťování BOZP a PO externí firmou
V případě, že externí firma, která zaměstnavateli zajišťuje BOZP a PO, v rámci smluvně sjednané činnosti nakládá s osobními údaji, což je více než pravděpodobné, je jejich zpracovatelem. Mezi správcem a zpracovatelem musí být uzavřeno písemné smluvní ujednání o způsobu zajištění ochrany osobních údajů (správce se tím nezbaví své odpovědnosti). Zpracovatel je povinen řídit se požadavky správce údajů (údaje zpracovávat jen na základě pokynů správce) a umožnit mu kontrolu plnění této povinnosti. Bez písemného předchozího povolení správce, zpracovatel nesmí řetězit zpracovatele osobních údajů, tedy předávat osobní údaje ke zpracování dalšímu zpracovateli (týká se to například osob, které pro něj pracují na živnostenský list).
Subjekt údajů má mimo jiné právo na informace o způsobu, jak je nakládáno s jeho osobními údaji. V rámci plnění této povinnosti je především nutné při shromažďování údajů (např. při sepisování záznamu o úrazu) jej informovat o tom, proč je potřeba je zpracovávat, kdo (název externí firmy) a jakým způsobem je bude zpracovávat a komu mohou být údaje zpřístupněny.
Kde nejčastěji dochází ke zpracování osobních údajů
S osobními údaji se při zajišťování BOZP a PO nakládá zejména v případech:
- žádosti o pracovnělékařskou prohlídku,
- posudku o pracovnělékařské prohlídce,
- prezenčních listin školení BOZP a PO, jakož i dalších profesních školení a odborných příprav,
- evidence OOPP (jméno, příjmení, ale i tělesné rozměry atd.),
- evidence výkonu rizikové práce (rodné číslo atd.),
- evidence bezpečnostních přestávek,
- vydání příkazu na sváření (jméno a příjmení svářeče, číslo jeho svářečského průkazu atd.),
- knihy úrazů,
- evidence pracovních úrazů a nemocí z povolání,
- náhrad škody a nemajetkové újmy z důvodu pracovního úrazu nebo nemoci z povolání,
- zápisů z kontrol (včetně fotodokumentace, videí apod.),
- dokumentace požární ochrany (požárně poplachová směrnice, požární řád [jméno a příjmení vedoucího zaměstnance pracoviště, jména a příjmení členů preventivní požární hlídky, jméno, příjmení a odborná způsobilost zpracovatele] atd.).
Nakládání s údaji ze zvláštní kategorie osobních údajů
Při zajišťování BOZP dochází i ke zpracování osobních údajů ze zvláštní kategorie osobních údajů (dříve „citlivé údaje“), a to z důvodu: „zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany“ (není nutné vyžadovat výslovný souhlas).
Jedná se o nakládání s osobními údaji o zdravotním stavu, které jsou především uvedeny v posudku o bolestném nebo o ztíženém společenském uplatnění. Posudek o pracovnělékařské prohlídce neobsahuje údaje spadající do této kategorie (neobsahuje údaj o zdravotním stavu, ale pouze o zdravotní způsobilosti k výkonu práce). Totéž platí o evidenci poskytovaných osobních ochranných pracovních prostředků – velikost oblečení a obuvi (jedná se o obecné osobní údaje, pokud je možné přímo nebo nepřímo identifikovat fyzickou osobu, což v tomto případě je).
Dalšími dokumenty obsahujícími osobní údaje, které se řadí do zvláštní kategorie, jsou kniha úrazů (údaje o zdravotním stavu – druh zranění, zraněná část těla), záznam o úrazu a záznam o úrazu – hlášení změn, které kromě údajů o zdravotním stavu mohou též obsahovat údaje o členství v odborech – jméno a podpis za odborovou organizaci. I v těchto případech platí, že ke zpracování dochází z důvodu plnění povinnosti v oblasti pracovního práva (nejen, že není nutné souhlas požadovat, ale souhlas nemá být požadován).
Ve vztahu k posudku o bolestném, posudku o ztíženém společenského uplatnění, záznamu o úrazu a k záznamu o úrazu – hlášení změn navíc platí, že s těmito dokumenty někdy nakládá více osob (vedoucí zaměstnanec, mzdová účetní, odborně způsobilá osoba k zajišťování úkolů v prevenci rizik atd.), čímž dochází ke zvýšení míry rizika ochrany osobních údajů (přeposílání dokumentů mezi nimi atd.). Z tohoto důvodu je nezbytné zajistit v maximálně možné míře omezení počtu těchto osob (v interním předpise, například pracovním postupu při vzniku pracovního úrazu, by měl být definován koloběh uvedených dokumentů).
Pravidla pro poskytování záznamů o úrazu
Zaměstnavatel, u kterého působí odborová organizace, je jí povinen zpřístupnit doklady o evidenci a hlášení pracovních úrazů [viz § 108 odst. 6 písm. b) zákoníku práce]. Vzhledem k tomu, že se jedná o zákonnou povinnost, nepotřebuje k tomu souhlas úrazem postiženého zaměstnance. To však neznamená, že není povinen jej o tom informovat (naplnění zásady GDPR korektního a transparentního přístupu k subjektům údajů).
Jiné to však je se zasíláním výtisku České správě sociálního zabezpečení. Zde se nejedná o zpracování, které je nezbytné pro plnění právní povinnosti, neboť zaslání nevyžaduje žádný právní předpis (ani zákon č. 187/2006 Sb., ve znění pozdějších předpisů). K doložení, že pracovní neschopnost nevznikla z důvodů uvedených v § 25 písm. a) a § 31 uvedeného zákona, neslouží záznam o úrazu ve smyslu nařízení vlády č. 201/2010 Sb., ve znění pozdějších předpisů, ale speciální formulář „Záznam o úrazu“ ČSSZ, který vyplňuje zraněný zaměstnanec. Zasláním záznamu o úrazu podle nařízení vlády by došlo k porušení souladu s GDPR, neboť by došlo k porušení zásady minimalizace údajů.
Zveřejnění jmen členů preventivní požární hlídky
Zveřejnění jmen a příjmení členů preventivní požární hlídky vyvěšením požárního řadu na pracovišti, na které se vztahuje, není porušením souladu s GDPR, neboť se jedná o požadavek právního předpisu (§ 31 odst. 4 vyhlášky č. 246/2001 Sb., ve znění pozdějších předpisů). Avšak vyvěšení pouhého seznamu členů hlídky s uvedením pracoviště jejich působnosti (plastové tabulky, které je možno zakoupit), bez jejich udělení souhlasu k tomu, by bylo nedodržením souladu s GDPR.
Pracoviště odborně způsobilé osoby k zajišťování úkolů v prevenci rizik
Vzhledem k tomu, že při zajišťování BOZP je nakládáno se zvláštní kategorií osobních údajů, mělo by být pracoviště odborně způsobilé osoby vybaveno skartovacím přístrojem. Její pracoviště by nemělo být volně přístupné (uzamykatelné a při opuštění pracoviště uzamčené!). Podle požadavků správce osobních údajů je možné, že skříně, v kterých jsou uloženy dokumenty obsahující osobní údaje, zvláště ty ze zvláštní kategorie, budou muset být uzamykatelné, případně jinak zabezpečené. Nebo bude nastaven režim pro předávání dokumentů obsahujících zvláštní kategorie osobních údajů jednotlivými pracovišti (např. záznamů o úrazu v zalepené obálce) apod. Též by odpovídajícím způsobem měla být zajištěna ochrana osobních údajů „v terénu“ – převoz osobních údajů v notebooku, na flash disku apod.
Také by průběžně měla být kontrolována uchovávaná dokumentace, listinná i elektronická, zda neobsahuje osobní údaje, které již nejsou potřebné (není právní důvod pro uchování dokumentu), nebo dokument obsahující osobní údaje byl do spisu uložen omylem (např. lékařská zpráva ve spisu o vypořádání náhrad škody a nemajetkové újmy vzniklých v důsledku pracovního úrazu).
- NEUGEBAUER, Tomáš. Zohlednění souladu s GDPR při zajišťování BOZP a PO. Dostupné z: https://www.bozpinfo.cz/zohledneni-souladu-s-gdpr-pri-zajistovani-bozp-po.