Zajišťování BOZP se v případě většiny zaměstnavatelů neobejde bez zpracovávání osobních údajů nejen zaměstnanců, ale i dalších externích osob. Dochází k němu nejčastěji v souvislosti s pracovnělékařskou prohlídkou, potřebou používání ochranných pracovních prostředků, vedení knihy úrazů, či samotným školením BOZP nebo jiným profesním školením.

O jaký právní titul se zde jedná?

Každé zpracovávání osobních údajů musí mít stanoveno legitimní právní titul. V souvislosti se zajišťováním BOZP je v běžných případech právním titulem zpracování osobních údajů plnění právní povinnosti dle čl. 6, odst. 1, písm. c) nařízení GDPR. Naopak souhlas se zpracováním osobních údajů by při zpracování osobních údajů pro tyto účely neměl být použit.

Jak je to s problematikou zvláštní kategorie citlivých údajů?

Zvláštní kategorie osobních údajů specifikované v čl. 9 odst. 1 nařízení nelze zpracovávat, pokud nedochází k uplatnění výjimky, které nalezneme hned v odst. 2. Při zajišťování BOZP lze uplatnit výjimku v odst. 2, písm. b), a to, že se jedná o zpracování nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany. Do této kategorie lze zařadit zpracování údajů o zdravotním stavu, které zaměstnavatelé zpracovávají v posudku o bolestném, knize úrazů nebo o ztíženém společenském uplatnění. V takovém případě rovněž není na místě vyžadování souhlasu se zpracováním, ale plnění právní povinnosti.

Do uvedené kategorie naopak nespadá pracovnělékařská prohlídka, v jejímž rámci jsou zpracovávány údaje o zdravotní způsobilostí k výkonu práce. Rovněž sem nepatří evidence poskytovaných osobních ochranných pracovních prostředků (byť se jedná o osobní údaj, pokud se týká identifikované osoby), neboť není biometrickým údajem za účelem jedinečné identifikace.

Jak je to s pracovními úrazy?

V případě, že u zaměstnavatele působí odborová organizace, je povinen jí zpřístupnit evidencia hlášení pracovních úrazů, tuto povinnost mu ukládá zákon. Vzhledem k tomu, že se jedná o plnění právní povinnosti, nedochází k vyžadování souhlasu, nicméně dle zásady transparentního přístupu k subjektům údajů by měl být dotyčný o takové skutečnosti informován.

Opačná situace však nastává v případě zasílání záznamu o úrazu České správě sociálního zabezpečení. Zasílání není vyžadováno žádným právním předpisem, proto pokud by k němu došlo bez udělení souhlasu subjektu údajů, jednalo by se o porušení souladu s nařízením.

Závěr

Při zajišťování BOZP je nezbytné správné stanovení právních titulů. Udělením souhlasu tam, kde je na místě plnění právní povinnosti, si správce nezajistí soulad s nařízením, právě naopak. Dozorový úřad opakovaně konstatuje, že vyžadování nadbytečného souhlasu je v rozporu s Nařízením.

Pokud si nevíte s uvedenou problematikou rady, neváhejte se obrátit na naši obchodní společnost.