Jak na ochranu osobních údajů dle GDPR při zajišťování BOZP

Při zajišťování bezpečnosti a ochrany zdraví při práci (BOZP) a požární ochrany (PO) dochází v organizacích ke zpracování osobních údajů ve smyslu GDPR.
Zaměstnavatel je při plnění svých zákonných povinností v oblastech BOZP a PO nucen nakládat s osobními údaji (zpracovává údaje o identifikované nebo identifikovatelné fyzické osobě) svých zaměstnanců, případně i dalších osob, které vede v evidenci nebo do ní mají být zařazeny.

Kde všude (v jaké dokumentaci) se nakládá s osobními údaji?
Při zajišťování BOZP a PO se s osobními údaji nakládá zejména při činnostech, kde jsou využívány následující dokumenty:

• žádost o pracovnělékařskou prohlídku,
• posudek o pracovnělékařské prohlídce,
• prezenční listiny školení BOZP a PO, jakož i dalších profesních školení (např. řidičů motorových vozidel, elektrikářů, stavebních strojů atd.) a odborných příprav,
• evidence osobních ochranných pracovních prostředků (obsahuje jméno, příjmení, ale i tělesné rozměry většinou vyjádřené konfekční velikostí atd.), pokud slouží k evidenci výkonu rizikové práce (obsahuje také rodné číslo a další údaje.),
• evidence bezpečnostních přestávek,
• kniha úrazů, slouží k evidenci pracovních úrazů a nemocí z povolání (záznam o úrazu atd.), týkající se náhrady škody a nemajetkové újmy utrpěné v důsledku pracovního úrazu nebo nemoci z povolání (posudek o bolestném atp.),
• zápisy z kontrol (včetně fotodokumentace, videí, dechové zkoušky na alkohol apod.),
• dokumentace požární ochrany (požárně poplachová směrnice a požární řád, obsahují jméno a příjmení vedoucího zaměstnance pracoviště, jména a příjmení členů preventivní požární hlídky, jméno, příjmení a odborná způsobilost zpracovatele) a další.

Právní důvod zpracování osobních údajů
Pro nakládání s osobními údaji při zajišťování BOZP a PO je ve většině případů právním důvodem, že zpracování je nezbytné pro "plnění právní povinnosti“. Pokud však nakládáte s osobními údaji způsobem, který nesplňuje podmínku, že zpracování je nezbytné pro plnění právní povinnosti. Jedná se např. o zveřejnění fotografie, znázorňující porušení BOZP, na které je možné identifikovat konkrétní fyzickou osobu, a to na nástěnce nebo její prezentace v rámci školení zaměstnanců, pak je nutné si od dané osoby vyžádat souhlas. Ten musí splňovat požadavky GDPR (musí být: svobodný, konkrétní, tedy k jakému účelu, jaký údaj, na jakou dobu, informovaný a jednoznačný projev vůle, který subjekt údajů dává prohlášením nebo jiným zjevným potvrzením svůj souhlas k takovému zpracování svých osobních údajů).

Zvláštní kategorie osobních údajů
Při zajišťování agendy BOZP může docházet i ke zpracování zvláštní kategorie osobních údajů (údaje vypovídající o členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace a údajů o zdravotním stavu fyzické osoby). Tyto údaje, až na povolené výjimky, nesmí být zpracovávány. Pro zajišťování BOZP je výjimkou pouze to, že „zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany“. K jejich zpracovávání není nutné vyžadovat výslovný souhlas. Obecně lze v oblasti BOZP předpokládat nakládání s údaji o zdravotním stavu, případně s údaji o členství v odborech. 

Konkrétně se jedná o nakládání s osobními údaji o zdravotním stavu, které jsou uvedeny v posudku o bolestném nebo o ztíženém společenském uplatnění. Dalšími dokumenty obsahujícími osobní údaje, které se řadí do zvláštní kategorie, jsou kniha úrazů (údaje o zdravotním stavu – druh zranění, zraněná část těla), záznam o úrazu a záznam o úrazu – hlášení změn, které kromě údajů o zdravotním stavu mohou též obsahovat údaje o členství v odborech – jméno a podpis za odborovou organizaci. I v těchto případech platí, že ke zpracování dochází z důvodu plnění povinnosti v oblasti pracovního práva (není nutné požadovat souhlas, resp. souhlas nemá být požadován. Byl by nejen nadbytečný, ale též by uváděl fyzickou osobu v omyl, že je možné zpracování toho osobního údaje odvolat). 
Pokud takové zpracování není výslovně nutné, řiďte se vždy principem minimalizace (zpracovávejte je nejnutnější údaje, které potřebujete). V případě sporu musíte být schopni takové zpracování jednoznačně obhájit.

Posudek o pracovnělékařské prohlídce neobsahuje údaje spadající do této kategorie, neboť neobsahuje údaj o zdravotním stavu, ale pouze o zdravotní způsobilosti k výkonu práce. Totéž platí o evidenci poskytovaných osobních ochranných pracovních prostředků (OOPP). Velikost oblečení nebo obuvi je sice osobní údaj, pokud se týká identifikované osoby, avšak není biometrickým údajem za účelem jedinečné identifikace.

Pracovní úrazy
Ve vztahu k dokumentaci o pracovních úrazech je nutné uvést, že GDPR se vztahuje pouze na osobní údaje o živých fyzických osobách. Proto se např. při šetření smrtelného pracovního úrazu ochrana dle GDPR neuplatní. To však neznamená, že se neuplatní ochrana osobních údajů podle jiných právních předpisů, např. občanského zákoníku (§ 81 a následující) na ochranu osobnosti. 

S dokumentací týkající se pracovních úrazů může nakládat i více osob, čímž pak dochází k zvýšení rizika ochrany osobních údajů (různá přeposílání dokumentů mezi subjekty, zpracovávajícími dokumentaci atd.). Zde je nezbytné , aby byla v maximální možné míře zajištěna ochrana osobních údajů a to i omezením počtu osob, dokumentaci zpracovávajících. 

Zaměstnavatel, u kterého působí odborová organizace, je jí povinen zpřístupnit doklady o evidenci a hlášení pracovních úrazů (viz § 108 odst. 6 písm. b) zákoníku práce). Vzhledem k tomu, že se jedná o zákonnou povinnost, nepotřebuje k tomu souhlas zaměstnance úrazem postiženého, a to bez ohledu na to, zda se jedná o člena odborové organizace či nikoliv. To však neznamená, že není povinen jej o tom informovat (dle zásady GDPR, korektního a transparentního přístupu k subjektům údajů). 

Jiná situace je v případech zasílání záznamu o úrazu České správě sociálního zabezpečení. Zde se nejedná o zpracování, které je nezbytné pro plnění právní povinnosti, neboť zaslání nevyžaduje žádný právní předpis (ani zákon o nemocenském pojištění). K doložení, že pracovní neschopnost nevznikla z důvodů uvedených v § 25 písm. a) a § 31 uvedeného zákona, neslouží záznam o úrazu ve smyslu nařízení vlády o způsobu evidence úrazů, ale speciální formulář „Záznam o úrazu“ pro ČSSZ, který vyplňuje zraněný. Zasláním záznamu o úrazu podle nařízení vlády bez souhlasu postiženého by došlo k porušení souladu s GDPR, neboť by došlo k porušení zásady minimalizace údajů.

Příklad z praxe
Zveřejnění jmen a příjmení členů preventivní požární hlídky vyvěšením požárního řádu, jehož jsou součástí, na pracovišti, na které se řád vztahuje, a to i na veřejně přístupném místě, není porušením souladu s GDPR, neboť jde o požadavek právního předpisu (§ 31 odst. 4 vyhlášky o požární prevenci). Vyvěšení pouhého seznamu členů hlídky s uvedením pracoviště jejich působnosti, např. na plastové bezpečnostní tabulce, bez jimi uděleného souhlasu, je již nedodržením souladu se zásadami GDPR.

Při vytváření souladu s GDPR při zajišťování BOZP a PO je nutné dodržet i další požadavky na zabezpečení osobních údajů a to i na činnost zpracovatele. 
Zaměstnavatel je jako správce povinen zabezpečit osobní údaje bez ohledu na to, zda si plnění povinností v těchto oblastech zajišťuje sám, resp. svým zaměstnancem, nebo si k tomu najme externí firmu.