specialista bezpečnosti práce a požární ochrany

Ochrana osobních údajů při zajišťování BOZP a PO

gdprPři zajišťování BOZP je nezbytné dodržovat i některá ustanovení předpisů, která nejsou zahrnuta mezi právní a ostatní předpisy k zajištění BOZP. Jedná se například o zákon č. 101/2000 Sb., o ochraně osobních údajů a změně některých zákonů, ve znění pozdějších předpisů.

Něco obecně o ochraně osobních údajů

Na úvod je nezbytné objasnit některé základní pojmy. Za osobní údaj se považuje jakákoliv informace týkající se určeného nebo určitelného subjektu údajů (fyzická osoba, kterou lze přímo či nepřímo identifikovat na základě jednoho či více prvků pro ni charakteristických). Citlivým údajem se rozumí osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě a genetický údaj. Dále též biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci (otisk prstu, ale i vzor oční duhovky, nahrávka hlasu, dynamika psaní na klávesnici atd.). Nositelem citlivé údaje je například i portrétní fotografie osoby.

Zaměstnavatel, který systematicky shromažďuje, ukládá na nosiče informací, tedy i na papír nebo fotografii, atd., zpřístupňuje, upravuje nebo pozměňuje, vyhledává či používá, šíří atd. osobní údaje je povinen při zpracování těchto údajů postupovat v souladu se zákonem na ochranu osobních údajů. Musí mimo jiné stanovit účel, k němuž mají být osobní údaje zpracovány, jakož i prostředky a způsob zpracování. Osobní údaje může zpracovávat pouze v souladu s účelem, k němuž byly shromážděny. K jinému účelu pouze se souhlasem osoby, ke které se vztahují. Dále musí přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům či k jinému zneužití nebo zpracování.

Větší ochranu zákon poskytuje osobním údajům kvalifikovaným jako citlivé údaje. Citlivé údaje je nutné lépe chránit. Proto mohou být zpracovávány jen v případech a za podmínek stanovených zákonem v § 9. Například, když je zpracování nezbytné pro zajištění a uplatnění právních nároků, jakož i v případě, že se jedná o zpracování nezbytné pro dodržení povinností a práv zaměstnavatele za zpracování v oblasti pracovního práva a zaměstnanosti stanovené zákoníkem práce a dalšími právními předpisy.

Uchovávat osobní údaje může jen po dobu nezbytnou k účelu jejich zpracování. Po jejím uplynutí mohou být údaje uchovávány jen pro účely statistické, vědecké a archivnictví podle příslušných zákonů.

Likvidace osobních údajů musí být provedena, jakmile pomine účel, pro který byly osobní údaje zpracovány, vyjma v zákoně stanovených důvodů.

Osoby, které přicházejí do styku s osobními údaji, tedy i odborně způsobilá osoba k zajišťování úkolů v prevenci rizik, jsou povinny zachovávat o nich mlčenlivost, jakož i o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací. Osobní údaje smějí zpracovávat pouze za podmínek a v rozsahu, které společnost nebo instituce stanoví. To samozřejmě platí nejen pro odborně způsobilé osoby v pracovním poměru u zaměstnavatele, ale též i pro odborně způsobilé osoby, které mu BOZP zajišťují dodavatelsky, včetně OSVČ.

Rozsah stanovených povinností je mnohem širší. Výše uvedené jsou opravdu jen ty základní potřebné pro objasnění požadavků ve vztahu k zajištění BOZP a PO.

Ochrana osobních údajů v BOZP

Ochranu osobních údajů nelze opomenout ani při nakládání s dokumenty, které se týkají zajištění BOZP a PO. Jedná se především o dokumentaci pracovních úrazů, pracovnělékařských prohlídek zaměstnanců a jejich školení. Součástí dokumentace pracovních úrazů a pracovnělékařských prohlídek jsou dokonce citlivé údaje. Ty však mohou být součástí i jiných dokumentů – různé zápisy apod.

Je-li kniha úrazů vedena v papírové podobě, musí být z důvodu ochrany osobních údajů uložena tak, aby k ní měl přístup pouze oprávněný zaměstnanec, případně zaměstnanci (stanovení v interním předpisu zaměstnavatele), nikoliv každý zaměstnanec. Tedy zápis do ní může provést pouze k tomu oprávněná osoba. V případě, že je v elektronické podobě, musí k datům, které obsahuje, mít přístup opět pouze k tomu oprávněná osoba, resp. osoby. Je-li zajištěno, že osoba zapisující údaje o vzniklém úrazu se nemůže seznámit s daty jiných postižených, je možné, aby záznam provedl kterýkoliv zaměstnanec (postižený).

Vyplněné záznamy o úrazu předávané ve společnosti vnitřní poštou nesmí být uloženy v průhledných deskách, ale v zalepené neprůhledné obálce. Obdobně to platí o prezenčních listinách školení. Též je zcela nepřijatelné zkažené nebo nepotřebné kopie dokumentů obsahující osobní údaje zmačkat a hodit do koše. Uvedené se též vztahuje na odborně způsobilou osobu k zajišťování úkolů v prevenci rizik – OSVČ.

Pokud prezenční listiny školení obsahují data narození (vhodnější je jsou-li nahrazena osobními číslo, pokud je zaměstnavatel přiděluje), je nepřípustné z těchto údajů vytvářet seznamy, kdo kdy má ve společnosti narozeniny.

Řádným způsobem musí být zabezpečeno uložení dokumentace BOZP a PO obsahující osobní údaje (uzamčení apod.). V žádném případě by se nemělo stát, že se na stole povaluje záznam o úrazu, místnost je volně přístupná a nikdo v ní není, neboť zaměstnanec si odskočil pouze na toaletu.

Ochrana osobních údajů musí být provedena i v jiných případech. Netýká se to jen různých evidenci. Může se jednat i o jiné případy.

Pro seznámení zaměstnanců se vzniklým pracovním úrazem a jeho následky mohou být použity pouze informace neobsahující osobní data. Poskytnutí kopie záznamu o úrazu k tomuto účelu je zcela nepřijatelné. Obdobně to platí pro různá hlášení, například pro zpracování výroční zprávy o pracovní úrazovosti.

Natočená videa nebo pořízené fotografie z cvičné evakuace nebo nácviku prvotního hasebního zásahu mohou sloužit jako výukové materiály při školeních PO a BOZP, případně mohou být použita k vzdělávání i mimo ně, například prostřednictvím webových stránek na intranetu. I zde je však nutné dodržet pravidla pro ochranu osobních údajů.

Ke zvýšení úrovně zajištění BOZP je možné ze školení zaměstnanců pořídit videozáznam (nahrávku zobrazené prezentace a výkladu přednášejícího [školení nejsou součástí záběru]) a ten umístit na intranet, aby zaměstnanci měli podle potřeby možnost se k jeho obsahu vracet. Je však nutné si předem vyžádat výslovný souhlas přednášejícího, neboť i pouhý zvukový záznam podléhá ochraně osobních údajů (jedná se o citlivý údaj).

Pozor, změna!

Od 25. května 2018 budou platit zcela jiná pravidla pro ochranu osobních údajů (jsou přirovnávána k „nové BOZP“ – hodnocení rizik, funkce pověřence pro ochranu osobních údajů atd.). Použitelnosti (účinnosti) toho dne nabude „Obecné nařízení o ochraně osobních údajů“ (GDPR), které je přímo použitelným předpisem Evropské unie. K tomuto dni má být zrušen dosavadní zákon č. 101/2000 Sb., ve znění pozdějších předpisů, a má být nahrazen novým zákonem o zpracování osobních údajů. Ten však nebude předpisem zavádějícím GDPR v České republice, ale pouze jeho „doplňkem“ řešící některá národní specifika, například postavení Úřadu pro ochranu osobních údajů.

Nadcházejícím změnám ve vztahu k zajištění BOZP a PO se budu na svých stránkách věnovat a brzy vám přinesu podrobnější informace.

2017-12-02

vas_nazor_6

 

Vyhledávání