Jak na ochranu osobních údajů dle GDPR při zajišťování BOZP (2. část)

V minulé části článku jsme si uvedli, kterých dokumentů se zajištění ochrany osobních údajů týká, právní důvod pro jejich zpracování, a to včetně dokumentů, jež obsahují údaje zahrnuté do zvláštní kategorie osobních údajů. Podrobněji jsme si probrali problematiku pracovních úrazů. Dnes se budeme věnovat dalším činnostem, které jsou potřebné pro vytváření souladu s GDPR při zajišťování BOZP a PO.

Čtěte více: Jak na ochranu osobních údajů dle GDPR při zajišťování BOZP (1. část)

Zabezpečení osobních údajů

Zabezpečení osobních údajů má být provedeno s přihlédnutím ke stavu techniky, nákladům na provedení, povaze a rozsahu zpracování, jakož i jejich kategorii, kontextu a účelu zpracování a k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, kterých se osobní údaje týkají. Záleží na správci údajů, jaká konkrétní zabezpečení příjme. To je jeho právo i povinnost. Je nutné mít na zřeteli, že ochrana osobních údajů podle GDPR je pojata abstraktně (lze oprávněně předpokládat, že v konkrétním případě míra nebezpečí bude takto a takto vysoká, a proto je nutné v konkrétním případě přijmout takováto a takováto opatření), a že GDPR nestanoví jasné požadavky.

I při zajišťování BOZP a PO je nutné dodržet pravidla stanovená správcem osobních údajů, např. nevyžadovat dokumenty obsahující osobní údaje, které nejsou potřebné, zamezit přístupu nepovolaných osob k dokumentům obsahujícím osobní údaje (uzamykání kanceláře apod.), omezit přístup ke knize úrazů (přístup má pouze definovaný okruh osob), fyzickou likvidaci vícetisků dokumentů obsahujících osobní údaje (uchovat pouze potřebný počet výtisků), dodržovat mlčenlivost o zjištěných osobních údajích (např. neprozrazovat datum narození či velikost spodního prádla poskytovaného jako OOPP v prostředí s nebezpečím výbuchu) atd.

Také by měla být přijata taková opatření, aby osobní údaje zpracovávala pouze fyzická osoba, která je zpracovává na pokyn správce nebo zpracovatele (fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce (nejedná se o zaměstnance správce)). Jejich počet by měl být minimalizován.

Záznamy o činnostech zpracování

Správce je též povinen vést záznamy o činnostech zpracování. Ty mají být obecným přehledem o tom, co se s osobními údaji děje. Povinnost vést je se nevztahuje na správce, který má méně než 250 zaměstnanců. Tato výjimka se však neuplatní v případě, že zpracování pravděpodobně představuje riziko pro práva a svobody fyzické osoby, zpracování není příležitostné, nebo se zpracovávají zvláštní kategorie osobních údajů, případně osobní údaje týkající se rozsudků v trestních věcech. Tedy pokud správce, případně zpracovatel, provádí evidenci pracovních úrazů nebo zajišťuje náhrady škody a nemajetkové újmy jimi vzniklé, má povinnost o této činnosti zpracování vést záznamy, i když se jedná o firmu zaměstnávající méně než 250 zaměstnanců.

Zajišťování BOZP a PO dodavatelským způsobem

Pro mnohé firmy je výhodné si pro zajištění BOZP a PO sjednat externí firmu. Tato firma, pokud v rámci smluvně sjednané činnosti nakládá s osobními údaji, což je vysoce pravděpodobné, je jejich zpracovatelem. Mezi správcem a zpracovatelem musí být uzavřeno písemné smluvní ujednání o způsobu zajištění ochrany osobních údajů (správce se tím nezbaví své odpovědnosti). Zpracovatel je povinen řídit se požadavky správce údajů (údaje zpracovávat jen na základě pokynů správce) a umožnit mu kontrolu plnění této povinnosti. Bez písemného předchozího povolení správce zpracovatel nesmí řetězit zpracovatele osobních údajů, tedy předávat osobní údaje ke zpracování dalšímu zpracovateli (týká se např. osob poskytující služby na živnostenský list).

Správce je povinen o zpracovateli informovat subjekt údajů (která firma provádí zpracování, za jakým účelem).

Uchování dokumentů

S ochranou osobních údajů úzce souvisí i doba uchovávání jednotlivých dokumentů obsahujících osobní údaje (naplnění zásady omezení uložení). Je jedno, zda se jedná o dokumenty v listinné, nebo elektronické podobě. Z hlediska zajištění souladu s GDPR osobní údaje mohou být v dokumentech uvedené pouze po dobu trvání účelu, pro který byly osobní údaje získány a zpracovávány (doba uchování dokumentů).

Dobu uchovávání dokumentů mnohdy řeší Spisový a skartační řád. V některých případech je doba uchování upravena právními předpisy. V oblastech BOZP a PO se jedná například o:

• § 40 zákona č. 258/2000 Sb. (evidence rizikové práce) – 10, resp. 40 let podle druhu práce,
• § 44a odst. 6 zákona č. 258/2000 Sb. (školení o nakládání s toxickými látkami) – 3 roky,
• § 31 odst. 2 zákona č. 563/1991 Sb. (účetní doklady, např. doklad o doplatcích za léky, pokud je možné přímo nebo nepřímo identifikovat fyzickou osobu (např. doklad je součástí spisu zaměstnance o náhradě škody a nemajetkové újmy)) – 5 let,
• § 35a odst. 4 zákona č. 582/1991 Sb. (záznamy potřebné pro účely důchodového pojištění, mimo jiné záznamy o pracovním úrazu a nemoci z povolání (jen ten výtisk sloužící pro účely důchodového pojištění)) – 30 let.

Jak bylo uvedeno, výčet není konečný. Záleží především na zaměstnavatelem provozovaných činnostech a z toho plynoucích zpracovávaných dokumentech, jakož i s BOZP dalších souvisejících činností, např. jednání s odborovou organizací o zajištění BOZP.

Kodexy chování

Problém příliš obecných požadavků GDPR na zajištění ochrany osobních údajů by měly řešit kodexy chování vydané jednotlivými oborovými sdruženími. V oblasti BOZP zatím není známa žádná taková iniciativa. Podle sdělení Komory BOZP a PO ČR v současné době GDPR každý řeší individuálně.