Hlavní navigace

Jak na ochranu osobních údajů dle GDPR při zajišťování BOZP (2. část)

Tomáš Neugebauer

Jak na problematiku zabezpečení osobních údajů, záznamy o činnostech zpracování a uchovávání dokumentů? Přečtěte si v druhé části textu.

Doba čtení: 4 minuty

Sdílet

minulé části článku jsme si uvedli, kterých dokumentů se zajištění ochrany osobních údajů týká, právní důvod pro jejich zpracování, a to včetně dokumentů, jež obsahují údaje zahrnuté do zvláštní kategorie osobních údajů. Podrobněji jsme si probrali problematiku pracovních úrazů. Dnes se budeme věnovat dalším činnostem, které jsou potřebné pro vytváření souladu s GDPR při zajišťování BOZP a PO.

Čtěte více: Jak na ochranu osobních údajů dle GDPR při zajišťování BOZP (1. část)

Zabezpečení osobních údajů

Zabezpečení osobních údajů má být provedeno s přihlédnutím ke stavu techniky, nákladům na provedení, povaze a rozsahu zpracování, jakož i jejich kategorii, kontextu a účelu zpracování a k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, kterých se osobní údaje týkají. Záleží na správci údajů, jaká konkrétní zabezpečení příjme. To je jeho právo i povinnost. Je nutné mít na zřeteli, že ochrana osobních údajů podle GDPR je pojata abstraktně (lze oprávněně předpokládat, že v konkrétním případě míra nebezpečí bude takto a takto vysoká, a proto je nutné v konkrétním případě přijmout takováto a takováto opatření), a že GDPR nestanoví jasné požadavky.

I při zajišťování BOZP a PO je nutné dodržet pravidla stanovená správcem osobních údajů, např. nevyžadovat dokumenty obsahující osobní údaje, které nejsou potřebné, zamezit přístupu nepovolaných osob k dokumentům obsahujícím osobní údaje (uzamykání kanceláře apod.), omezit přístup ke knize úrazů (přístup má pouze definovaný okruh osob), fyzickou likvidaci vícetisků dokumentů obsahujících osobní údaje (uchovat pouze potřebný počet výtisků), dodržovat mlčenlivost o zjištěných osobních údajích (např. neprozrazovat datum narození či velikost spodního prádla poskytovaného jako OOPP v prostředí s nebezpečím výbuchu) atd.

Také by měla být přijata taková opatření, aby osobní údaje zpracovávala pouze fyzická osoba, která je zpracovává na pokyn správce nebo zpracovatele (fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce (nejedná se o zaměstnance správce)). Jejich počet by měl být minimalizován.

Záznamy o činnostech zpracování

Správce je též povinen vést záznamy o činnostech zpracování. Ty mají být obecným přehledem o tom, co se s osobními údaji děje. Povinnost vést je se nevztahuje na správce, který má méně než 250 zaměstnanců. Tato výjimka se však neuplatní v případě, že zpracování pravděpodobně představuje riziko pro práva a svobody fyzické osoby, zpracování není příležitostné, nebo se zpracovávají zvláštní kategorie osobních údajů, případně osobní údaje týkající se rozsudků v trestních věcech. Tedy pokud správce, případně zpracovatel, provádí evidenci pracovních úrazů nebo zajišťuje náhrady škody a nemajetkové újmy jimi vzniklé, má povinnost o této činnosti zpracování vést záznamy, i když se jedná o firmu zaměstnávající méně než 250 zaměstnanců.

Zajišťování BOZP a PO dodavatelským způsobem

Pro mnohé firmy je výhodné si pro zajištění BOZP a PO sjednat externí firmu. Tato firma, pokud v rámci smluvně sjednané činnosti nakládá s osobními údaji, což je vysoce pravděpodobné, je jejich zpracovatelem. Mezi správcem a zpracovatelem musí být uzavřeno písemné smluvní ujednání o způsobu zajištění ochrany osobních údajů (správce se tím nezbaví své odpovědnosti). Zpracovatel je povinen řídit se požadavky správce údajů (údaje zpracovávat jen na základě pokynů správce) a umožnit mu kontrolu plnění této povinnosti. Bez písemného předchozího povolení správce zpracovatel nesmí řetězit zpracovatele osobních údajů, tedy předávat osobní údaje ke zpracování dalšímu zpracovateli (týká se např. osob poskytující služby na živnostenský list).

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Správce je povinen o zpracovateli informovat subjekt údajů (která firma provádí zpracování, za jakým účelem).

Uchování dokumentů

S ochranou osobních údajů úzce souvisí i doba uchovávání jednotlivých dokumentů obsahujících osobní údaje (naplnění zásady omezení uložení). Je jedno, zda se jedná o dokumenty v listinné, nebo elektronické podobě. Z hlediska zajištění souladu s GDPR osobní údaje mohou být v dokumentech uvedené pouze po dobu trvání účelu, pro který byly osobní údaje získány a zpracovávány (doba uchování dokumentů).

Dobu uchovávání dokumentů mnohdy řeší Spisový a skartační řád. V některých případech je doba uchování upravena právními předpisy. V oblastech BOZP a PO se jedná například o:

Tipli listopad2

Jak bylo uvedeno, výčet není konečný. Záleží především na zaměstnavatelem provozovaných činnostech a z toho plynoucích zpracovávaných dokumentech, jakož i s BOZP dalších souvisejících činností, např. jednání s odborovou organizací o zajištění BOZP.

Kodexy chování

Problém příliš obecných požadavků GDPR na zajištění ochrany osobních údajů by měly řešit kodexy chování vydané jednotlivými oborovými sdruženími. V oblasti BOZP zatím není známa žádná taková iniciativa. Podle sdělení Komory BOZP a PO ČR v současné době GDPR každý řeší individuálně.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).