OZO zpracovává desítky osobních údajů zaměstnanců: záznamy o školeních (jméno, datum, výsledek testu), lékařské prohlídky (zdravotní způsobilost, kategorizace prací), evidence úrazů (popis zranění, lékařská zpráva, fotodokumentace), kamerové záznamy z pracoviště. A přesto většina OZO o GDPR neví téměř nic. Výsledek: firmy porušují nařízení o ochraně osobních údajů, aniž by o tom věděly. Pokuta ÚOOÚ: až 20 milionů EUR (nebo 4 % ročního obratu). V tomto článku rozeberu průsečík BOZP a GDPR: jaké údaje BOZP zpracovává, na jakém právním základě, jak dlouho je uchovávat a jak minimalizovat riziko sankce.
GDPR (General Data Protection Regulation) platí v ČR od května 2018 a vztahuje se na každého, kdo zpracovává osobní údaje. V kontextu BOZP to znamená: každý zaměstnavatel, každý OZO, každý poskytovatel pracovnělékařských služeb. Ignorování GDPR v BOZP je jako ignorování zákoníku práce: otázka kdy, ne zda, přijde kontrola.
1. Jaké osobní údaje BOZP zpracovává
1.1 Evidence školení BOZP
Při školení BOZP zaměstnavatel zpracovává: jméno a příjmení zaměstnance, datum narození nebo osobní číslo, pracovní pozice a oddělení, datum školení, obsah školení (osnova), výsledek ověření znalostí (test, ústní zkouška), podpis zaměstnance na prezenční listině. Právní základ: plnění právní povinnosti zaměstnavatele (čl. 6 odst. 1 písm. c GDPR). Zaměstnavatel nemusí žádat o souhlas: školení je zákonná povinnost. Doba uchování: po dobu trvání pracovního poměru + archivace dle vnitřního předpisu (doporučuji 5 let po ukončení pracovního poměru pro případ kontroly OIP).
1.2 Lékařské prohlídky a zdravotní údaje
Zaměstnavatel uchovává: lékařský posudek o zdravotní způsobilosti (způsobilý / způsobilý s podmínkou / nezpůsobilý), kategorii práce zaměstnance (1-4), datum poslední a příští prohlídky. Zaměstnavatel nesmí uchovávat: konkrétní diagnózu zaměstnance, lékařské zprávy (ty patří lékaři PLS), informace o léčbě nebo medikaci. Zdravotní údaje jsou „zvláštní kategorie osobních údajů" (čl. 9 GDPR): přísnější ochrana, omezený přístup (pouze HR a přímý nadřízený, ne OZO celé firmy), povinnost zabezpečení (zamčená skříň nebo šifrovaný soubor, ne složka na sdíleném disku). Právní základ: plnění povinností v oblasti pracovního práva (čl. 9 odst. 2 písm. b GDPR).
1.3 Evidence pracovních úrazů
Při pracovním úrazu zaměstnavatel zpracovává: identifikaci zraněného (jméno, datum narození, adresa), popis úrazu (místo, čas, okolnosti, svědci), popis zranění (druh, závažnost, postižená část těla), lékařskou zprávu (pro pojišťovnu a SÚIP), fotodokumentaci místa úrazu. Právní základ: plnění právní povinnosti (zákoník práce, NV 201/2010 Sb.). Hlášení: závažné úrazy se hlásí OIP, pojišťovně a SÚIP. Doba uchování: záznam o úrazu se archivuje 5 let, smrtelné úrazy se archivují trvale. Přístup: k záznamu o úrazu má přístup zaměstnanec, zaměstnavatel, OIP, pojišťovna. Třetím osobám (média, kolegové) se údaje nesmí předávat.
2. Kamerové systémy na pracovišti
2.1 Kdy je kamera legální
Kamerový systém na pracovišti je zásah do soukromí zaměstnanců. Legální je pouze pokud: existuje legitimní důvod (ochrana majetku, bezpečnost osob, kontrola výrobního procesu), účel nelze dosáhnout méně invazivním způsobem (zámky, přístupové karty), zaměstnanci jsou informováni (oznámení, vnitřní předpis), záznamy jsou zabezpečené a s omezeným přístupem, doba uchování je přiměřená (max. 72 hodin, výjimečně 30 dní při vyšetřování). Kde kamery nesmí být: šatny, sprchy, toalety, odpočinkové místnosti, kuřárny. Skryté kamery: zakázané (výjimka: policejní sledování s povolením soudu).
2.2 DPIA pro kamerový systém
DPIA (Data Protection Impact Assessment): povinné hodnocení dopadů na ochranu osobních údajů. Povinné pro: kamerový systém monitorující systematicky veřejně přístupné prostory, biometrické systémy (rozpoznávání obličejů: v ČR prakticky zakázáno na pracovišti), sledování zaměstnanců v reálném čase. DPIA obsahuje: popis zpracování (jaké kamery, kde, co snímají), posouzení nezbytnosti (proč kamery, ne jiné řešení), hodnocení rizik pro subjekty údajů (zaměstnance), opatření k minimalizaci rizik (omezení záběru, kratší doba uchování, zabezpečený přístup). DPIA zpracovává pověřenec pro ochranu osobních údajů (DPO) nebo externí konzultant.
3. GPS sledování a kontrola zaměstnanců
3.1 GPS ve firemních vozidlech
GPS sledování firemních vozidel je běžná praxe. Legální podmínky: legitimní účel (optimalizace tras, evidence jízd pro daňové účely, bezpečnost vozidla a řidiče), informování zaměstnanců (vnitřní předpis, individuální informování), GPS nesmí sledovat zaměstnance mimo pracovní dobu (pokud používá firemní auto i soukromě: GPS se vypíná nebo data mimo pracovní dobu se nesmí vyhodnocovat), přiměřená doba uchování dat (90 dní pro jízdní knihu, ne roky). Hranice: GPS k sledování produktivity (kolik hodin řidič stráví na trase) je sporné. GPS k zjištění, zda řidič jel na oběd do restaurace mimo trasu: nepřípustné.
3.2 Elektronická docházka a přístupové karty
Elektronická docházka (čipové karty, biometrické čtečky) zpracovává osobní údaje: čas příchodu a odchodu, délka přestávek, identifikace zaměstnance. Právní základ: oprávněný zájem zaměstnavatele (evidence pracovní doby dle zákoníku práce). Biometrie (otisk prstu, rozpoznávání obličeje): zvláštní kategorie údajů, nutný souhlas zaměstnance nebo kolektivní smlouva. Doporučení: preferujte čipové karty před biometrií (méně invazivní, nižší GDPR riziko, jednodušší implementace). Přístupové karty: záznamy o vstupu do budovy slouží i pro evakuační systém (real-time přehled kdo je v budově: propojení s havarijním plánem).
4. Sdílení BOZP údajů s třetími stranami
4.1 OZO jako zpracovatel
Externí OZO přistupuje k osobním údajům zaměstnanců klienta (školení, prohlídky, úrazy). Z pohledu GDPR je OZO zpracovatelem osobních údajů. Povinnosti: smlouva o zpracování osobních údajů mezi zaměstnavatelem a OZO (čl. 28 GDPR), specifikace účelu zpracování (pouze pro BOZP, ne pro marketing), zabezpečení údajů (šifrovaný disk, heslo, zamčená kancelář), povinnost mlčenlivosti (OZO nesmí sdílet údaje s třetími osobami), povinnost smazat údaje po ukončení spolupráce. Většina OZO nemá smlouvu dle čl. 28 GDPR. To je porušení, které může vést k pokutě jak pro zaměstnavatele, tak pro OZO.
4.2 Pojišťovny a SÚIP
Předávání údajů pojišťovně (pracovní úraz, nemoc z povolání): právní základ je plnění právní povinnosti (zákoník práce, zákon o pojištění odpovědnosti). Předávání údajů OIP/SÚIP: právní základ je plnění právní povinnosti (zákon o inspekci práce). Předávání údajů lékaři PLS: právní základ je zákon 373/2011 Sb. Pro všechna předávání platí: minimalizace údajů (předávejte pouze to, co je nezbytné), zabezpečený přenos (šifrovaný e-mail, ne otevřený přílohou), záznam o předání (komu, kdy, co).
5. Praktická opatření pro BOZP a GDPR compliance
5.1 7 kroků k souladu
1. Zmapujte všechny osobní údaje, které v rámci BOZP zpracováváte (evidence školení, prohlídky, úrazy, kamery, GPS). 2. Identifikujte právní základ pro každé zpracování (zákonná povinnost, oprávněný zájem, souhlas). 3. Informujte zaměstnance (vnitřní předpis o zpracování osobních údajů v BOZP). 4. Omezte přístup k údajům (pouze ti, kdo je potřebují: HR, vedoucí, OZO). 5. Zabezpečte údaje (zamčené skříně, hesla, šifrování). 6. Stanovte dobu uchování (a dodržujte ji: skartujte staré záznamy). 7. Uzavřete smlouvy s externími zpracovateli (OZO, poskytovatel LMS, správce kamerového systému).
6. Často kladené otázky
6.1 Musí OZO mít smlouvu o zpracování osobních údajů?
Ano. Externí OZO je zpracovatel osobních údajů ve smyslu čl. 28 GDPR. Smlouva musí obsahovat: předmět a dobu zpracování, povahu a účel zpracování, typ osobních údajů a kategorie subjektů údajů, práva a povinnosti správce (zaměstnavatel), povinnosti zpracovatele (OZO): zabezpečení, mlčenlivost, spolupráce při kontrole ÚOOÚ, povinnost vrátit nebo smazat údaje po ukončení spolupráce. Bez této smlouvy: pokuta pro zaměstnavatele i OZO.
6.2 Jak dlouho uchovávat záznamy o školení BOZP?
Legislativa nestanovuje explicitní dobu. Doporučení: po dobu trvání pracovního poměru (důkaz o splnění povinnosti zaměstnavatele), 5 let po ukončení pracovního poměru (promlčecí doba pro odpovědnost za pracovní úraz), 10 let pro záznamy o školeních pro rizikové práce (práce ve výškách, chemikálie, VTZ). Po uplynutí doby: skartace (fyzické dokumenty: skartovačka, digitální: bezpečné smazání). Neuchovávejte záznamy „pro jistotu navždy": porušujete princip minimalizace uchování (čl. 5 odst. 1 písm. e GDPR).
6.3 Může zaměstnanec požádat o přístup ke svým BOZP údajům?
Ano. Čl. 15 GDPR dává zaměstnanci právo na přístup ke všem osobním údajům, které o něm zaměstnavatel zpracovává. Zaměstnanec může požádat o: kopii svých záznamů o školeních, kopii lékařského posudku o zdravotní způsobilosti, kopii záznamu o pracovním úrazu, informaci o tom, kdo má přístup k jeho údajům, informaci o době uchování. Zaměstnavatel musí odpovědět do 30 dní. Bezúplatně (první žádost). Nemůže odmítnout. Nedodržení: stížnost zaměstnance k ÚOOÚ a potenciální pokuta.
6.4 Je souhlas zaměstnance vždy nutný pro zpracování BOZP údajů?
Ne. Většina BOZP zpracování se opírá o jiný právní základ než souhlas: plnění právní povinnosti (školení, evidence úrazů, lékařské prohlídky), oprávněný zájem zaměstnavatele (kamerový systém pro ochranu majetku, GPS pro evidenci jízd). Souhlas je nutný pouze pro: zpracování nad rámec zákonných povinností (fotografie zaměstnance pro interní materiály), biometrické údaje (otisk prstu pro docházkový systém). Pozor: souhlas zaměstnance v pracovním poměru je problematický (zaměstnanec je v nerovném postavení: souhlas nemusí být „svobodný"). Proto je lepší se opírat o jiný právní základ, pokud existuje.
6.5 Jak zabezpečit BOZP dokumentaci dle GDPR?
Fyzická dokumentace: uzamčená skříň (klíč má pouze HR a OZO), oddělení od běžné agendy (zdravotní údaje odděleně od osobní složky), skartace po uplynutí doby uchování. Digitální dokumentace: hesla a šifrování (minimálně heslo na složku, ideálně šifrovaný disk), zálohování (zabezpečená záloha mimo budovu), řízení přístupů (kdo má přístup k jakým souborům: logování přístupů), antivirus a firewall (ochrana před ransomware: zašifrovaná BOZP data jsou výborný cíl pro vydírání). LMS systém: ověřte, zda poskytovatel LMS splňuje GDPR (smlouva o zpracování, data v EU, šifrování). Průsečík BOZP a GDPR je oblast, kde většina firem zaostává. Proaktivní přístup ke compliance vás chrání před pokutami i před ztrátou důvěry zaměstnanců.
7. Data breach v BOZP kontextu
7.1 Co je porušení zabezpečení osobních údajů
Data breach (porušení zabezpečení) nastane, když osobní údaje jsou: neoprávněně zpřístupněny (hacker získá přístup k evidenci školení nebo lékařským posudkům), ztraceny (notebook s BOZP daty je ukraden, USB disk s evidencí úrazů se ztratí), zničeny (požár zničí archiv s papírovou dokumentací BOZP bez zálohy), neoprávněně změněny (někdo upraví záznam o školení, aby zaměstnanec „prošel" testem). Povinnost hlášení: pokud breach pravděpodobně povede k riziku pro práva subjektů údajů, zaměstnavatel musí nahlásit incident ÚOOÚ do 72 hodin od zjištění. Pokud je riziko vysoké: musí informovat i dotčené zaměstnance. Nedodržení 72hodinové lhůty: samostatné porušení GDPR s vlastní pokutou.
7.2 Prevence data breach v BOZP
Opatření: šifrování disků a složek s BOZP daty (BitLocker, VeraCrypt), pravidelné zálohy (3-2-1 pravidlo: 3 kopie dat, 2 různá média, 1 kopie mimo budovu), školení zaměstnanců (phishing, silná hesla, zamykání počítače), fyzická bezpečnost (zamčené skříně, kontrola přístupu do kanceláře HR/OZO), aktualizace softwaru (záplaty bezpečnostních chyb), správa přístupových oprávnění (odebrat přístup při odchodu zaměstnance: 50 % firem zapomíná). Interní penetrační test: 1× ročně ověřte, zda někdo cizí může přistoupit k BOZP datům (IT oddělení nebo externí auditor).
8. Kontrola ÚOOÚ v praxi
8.1 Jak probíhá kontrola ÚOOÚ
Úřad pro ochranu osobních údajů kontroluje na základě: stížnosti zaměstnance (nejčastější spouštěč: zaměstnanec zjistí, že jeho zdravotní údaje viděl někdo nepovolaný), plánované kontroly (ÚOOÚ každoročně zveřejňuje plán kontrol: zaměřené na určité sektory), mediálních zjištění (únik dat zveřejněný v médiích). Kontrola zahrnuje: žádost o dokumentaci (záznamy o zpracování, právní základy, smlouvy se zpracovateli, informování subjektů údajů), kontrola na místě (přístup k datům, zabezpečení, fyzická ochrana), rozhovor s odpovědnými osobami (DPO, HR, OZO). Výstup: protokol o kontrole, případně uložení nápravných opatření nebo pokuty.
8.2 Nejčastější GDPR porušení v BOZP
Z praxe ÚOOÚ a soudních rozhodnutí: 1. Chybějící smlouva o zpracování s externím OZO (nejčastější: 70 % firem ji nemá). 2. Zdravotní údaje dostupné celé firmě (lékařský posudek na sdíleném disku místo v zamčené složce). 3. Kamerový systém bez informování zaměstnanců (žádná cedulka, žádný vnitřní předpis). 4. Uchovávání údajů nad rámec potřeby (záznamy o školení zaměstnance, který odešel před 15 lety). 5. GPS sledování zaměstnance mimo pracovní dobu (soukromé jízdy firemním autem). 6. Předávání údajů o úrazu médiím bez souhlasu zaměstnance. 7. Absence záznamu o činnostech zpracování (čl. 30 GDPR: povinný pro firmy s 250+ zaměstnanci nebo při zpracování zvláštních kategorií údajů). Většina těchto porušení je snadno opravitelná: stačí 1-2 dny práce na dokumentaci a interních procesech.
9. Specifické situace
9.1 BOZP údaje a home office
Práce na dálku přináší specifické GDPR výzvy: zaměstnanec zpracovává firemní BOZP data na soukromém počítači (bezpečnostní riziko: nezabezpečený počítač, sdílený s rodinou), OZO provádí školení online a ukládá záznamy v cloudových službách (je cloud v EU? splňuje GDPR?), fotodokumentace domácího pracoviště (fotografie domácnosti zaměstnance: zásah do soukromí). Řešení: firemní VPN pro přístup k BOZP systémům, BYOD politika (požadavky na zabezpečení soukromých zařízení), cloudové služby pouze od poskytovatelů s GDPR certifikací (data v EU), sebehodnocení ergonomie místo fotodokumentace (dotazník: méně invazivní).
9.2 Whistleblowing a BOZP
Směrnice EU o ochraně oznamovatelů (2019/1937) implementovaná zákonem 171/2023 Sb. dává zaměstnancům právo anonymně oznámit porušení BOZP předpisů. GDPR souvislost: anonymní podání nesmí vést ke zpětnému zjištění identity oznamovatele, údaje z oznámení (popis porušení, identifikace podezřelých osob) musí být chráněny dle GDPR, zaměstnavatel s 50+ zaměstnanci musí zřídit interní oznamovací kanál. BOZP kontext: zaměstnanec může anonymně oznámit nedostatky v bezpečnosti práce (chybějící OOPP, nefunkční únikové cesty, falšování záznamů o školeních) bez strachu z odvetných opatření.
9.3 AI nástroje v BOZP a ochrana údajů
Použití AI nástrojů (ChatGPT, Gemini, Claude) pro zpracování BOZP dokumentace: zadávání osobních údajů zaměstnanců do AI (jména, pozice, zdravotní omezení) je předávání údajů třetí straně mimo EU (většina AI serverů je v USA). Řešení: anonymizace před zadáním do AI (místo „Jan Novák, svářeč, kategorie 3" zadejte „zaměstnanec, svářeč, kategorie 3"), používání AI nástrojů s GDPR compliance (Gemini Business, Azure OpenAI: data se nepoužívají pro trénink modelu), vnitřní předpis o použití AI v BOZP (co smí a nesmí OZO zadat do AI). AI Act (2024/1689) přinese další regulaci: klasifikace AI systémů v BOZP jako potenciálně vysokorizikových (rozhodování o zdravotní způsobilosti, automatizované hodnocení rizik).
9.4 Jaké pokuty hrozí za porušení GDPR v BOZP?
Pokuty ÚOOÚ v ČR (2024-2025): kamerový systém bez informování: 50 000-500 000 Kč, chybějící smlouva o zpracování: 20 000-200 000 Kč, nezabezpečení zdravotních údajů: 100 000-1 000 000 Kč, nedodržení práva na přístup: 50 000-500 000 Kč. EU maximum: 20 milionů EUR (v ČR ÚOOÚ zatím neukládá maximální pokuty, ale trend je rostoucí). Nefinanční dopady: ztráta důvěry zaměstnanců (kdo chce pracovat pro firmu, která nezabezpečí jeho zdravotní údaje?), mediální poškození reputace, ztráta obchodních partnerů (compliance je stále důležitější v B2B dodavatelských řetězcích).
9.5 Kde najdu vzory GDPR dokumentů pro BOZP?
V e-shopu Bezpečák najdete: směrnici o ochraně osobních údajů zaměstnanců (vzor přizpůsobitelný vaší firmě), smlouvu o zpracování osobních údajů s externím OZO (čl. 28 GDPR), informační klauzuli pro zaměstnance (jaké údaje, proč, jak dlouho), záznam o činnostech zpracování (čl. 30 GDPR: šablona), checklist GDPR compliance pro BOZP oddělení. Kompletní GDPR audit BOZP dokumentace: objednejte přes SafetyFrog Marketplace specializovaného konzultanta, který kombinuje znalost BOZP legislativy a ochrany osobních údajů pro maximální efektivitu a minimální náklady vašeho compliance programu.
9.6 Potřebuje firma DPO kvůli BOZP údajům?
Pověřenec pro ochranu osobních údajů (DPO) je povinný pro: veřejné orgány (vždy), firmy zpracovávající systematicky a rozsáhle zvláštní kategorie údajů (zdravotní údaje z lékařských prohlídek: pokud má firma 100+ zaměstnanců s pravidelnými prohlídkami, může být DPO povinný), firmy provozující rozsáhlý kamerový systém (systematické monitorování zaměstnanců). Pro většinu SME: DPO není povinný, ale doporučuji alespoň kontaktní osobu pro GDPR (HR manažer s proškolením). Externí DPO: 5 000-15 000 Kč měsíčně (sdílený DPO pro více firem je cenově dostupný i pro menší podniky).
9.7 Jak vytvořit matici zpracování BOZP údajů?
Matice zpracování je praktický nástroj pro přehled o všech zpracovávaných údajích v BOZP. Struktura: řádky = typ zpracování (školení, prohlídky, úrazy, kamery, GPS, docházka), sloupce = parametry (jaké údaje, právní základ, doba uchování, kdo má přístup, zabezpečení, zpracovatel). Matice na jedné stránce ukáže: kde máte mezery v compliance, kde zbytečně uchováváte data, kde chybí zabezpečení, kde chybí smlouva se zpracovatelem. Vzorovou matici zpracování BOZP údajů ke stažení a přizpůsobení najdete v e-shopu Bezpečák v sekci GDPR dokumentace pro zaměstnavatele. Nezapomeňte: GDPR compliance v BOZP není jednorázový projekt, ale kontinuální proces vyžadující pravidelný přezkum a aktualizaci v souladu s měnící se legislativou a technologiemi.
GDPR checklist BOZP
14 dní zdarma, bez závazků
![Jak nakreslit dokumentaci zdolávání požárů [Video školení]](/_next/image?url=%2Fimages%2Fproducts%2Fsaw-v02-dzp-video.png&w=3840&q=75)