Od nabytí účinnosti Obecného nařízení o ochraně osobních údajů (Nařízení Evropského Parlamentu a Rady č. 2016/679, známého jako GDPR) uplynulo již několik měsíců. Podnikatelské i veřejnoprávní subjekty se začaly seriózněji Nařízením zabývat v průběhu podzimu roku 2017. Většina správců a zpracovatelů osobních údajů, kteří jej chtěli implementovat do své praxe, už většinu kroků potřebných k implementaci učinila.

GDPR je jednotný právní rámec ochrany osobních údajů v rámci Evropské unie. Cílem GDPR je chránit zájmy lidí v souvislosti se zpracováním a sdílením jejich osobních údajů. Nařízení o ochraně osobních údajů se vztahuje nejen na firmy, které v EU sídlí, ale také na společnosti, které jakýmkoliv způsobem nakládají s daty lidí žijících v EU. Týká se všech podnikatelů, kteří pracují s osobními daty uživatelů, klientů, ale i zaměstnanců. GDPR platí tedy i pro OSVČ.

Stačí už to, že vystavujete faktury, které obsahují osobní údaje. Jedná se o jakékoliv informace, podle kterých je možné identifikovat konkrétní osobu. Každá společnost shromažďuje osobní údaje, díky kterým poté může například lépe cílit reklamu nebo nabídku svých produktů. V rámci podnikání pravděpodobně budete data o svých klientech, zákaznících nebo zaměstnancích sbírat i vy.

GDPR, neboli nařízení na ochranu osobních údajů, je pojmem, který stále více skloňují čeští podnikatelé. Jenže v praxi to bude znamenat administrativní zátěž pro živnostníky. Nyní žije drtivá většina drobných podnikatelů a živnostníků u nás v jakémsi bezstarostném vakuu. Netuší, že GDPR už brzy přidá povinnosti i jim. Kdo poskytuje služby, nebo je prodává, musí počítat s tím, že se ho GDPR týká. Kdo si povinnost neohlídá, vystavuje se riziku velkých pokut.

OSVČ tak nebudou muset mít svého pověřence pro ochranu osobních údajů, nebude se jich týkat ani nutnost zpracovat analýzu dopadů ochrany osobních údajů. V důsledku to bude znamenat jediné - spolupráce s Úřadem na ochranu osobních údajů, zabezpečit faktury proti krádeži a možnému zneužití. Doporučuji napsat kodex ochrany osobních údajů, který je potřebnou „kuchařkou“ pro danou problematiku.

Osobní údaje a GDPR

Osobním údajem je každá informace o identifikované nebo identifikovatelné osobě (subjektu údajů); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Například:

• O fyzické osobě
• V evidenci u svého zaměstnance vedete mimo jiné tyto údaje: fotografie zaměstnance, údaje o jeho zdravotním stavu, číslo jeho bankovního účtu, kam je vyplácena mzda.
• O OSVČ, která je vaším obchodním partnerem, mimo jiné evidujete: IČO, DIČ, fakturační adresu.
• Pouhý údaj Jan Novák bez dalšího není osobním údajem dle GDPR, protože na základě něj nelze identifikovat konkrétního Jana Nováka.

GDPR dále vyčleňuje zvláštní kategorii citlivých osobních údajů. Těmi jsou osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

Jak dlouho uchovávat data?

Jednoduchá odpověď: co možná nejkratší dobu. Doba uchovávání dat se bude odvíjet od účelu, za jakým data sbíráte.

• Pořádání soutěže na webu: Zpracovávat budete osobní údaje soutěžících, budete tedy potřebovat minimálně jejich kontaktní údaje, abyste je v případě výhry mohli informovat. Dobu uchování osobních údajů v tomto případě určíte podle toho, jak dlouho budete údaje reálně potřebovat. U soutěžících, kteří se do soutěže zapojili, ale nevyhráli, budete údaje potřebovat jen do dne vyhlášení výherců.
• Nákup přes e-shop: Údaje zákazníka budete uchovávat po dobu běžící záruky. V některých odvětvích je doba uchovávání osobních údajů upravena zákonem.
• Na informace o právnických osobách se GDPR nevztahuje, protože informace o nich nejsou považovány za osobní údaje. Jde třeba o kontaktní údaje společnosti jako celku (např.

Informování o zpracování osobních údajů

Obecně platí, že zpracováváte-li osobní údaje svých zákazníků nebo návštěvníků webu, musíte jim o tom vždy dát vědět. Souhlas nepotřebujete pouze v případech, kdy máte jiný právní důvod pro zpracování osobních údajů. Třeba když zákazník vyplňuje doručovací údaje při nákupu přes e-shop (plnění smlouvy mezi obchodními partnery). To samé platí pro situace, kdy jde o plnění právní povinnosti (např.

Jak informovat?

• Cookies lišta: Jako správce webu musíte pomocí automaticky zobrazované „Cookies lišty“ informovat návštěvníky o tom, že chcete sbírat jejich data. Sdělujete jim, že web k personalizaci obsahu a reklamy používá soubory cookies, které mohou sbírat i jejich osobní údaje. Návštěvník musí vždy mít možnost poskytnutí a zpracování jeho osobních dat odmítnout.
• Zásady ochrany osobních údajů: Každý web zároveň musí poskytovat detailnější informace o zpracování osobních dat. K tomu poslouží dokument „Zásady ochrany osobních údajů” (Privacy Policy). Vždy by měla být možnost se z cookies lišty k tomuto dokumentu „prokliknout“ a dozvědět se více o tom, co správce daty vlastně dělá.

Základem je informace o zpracování dat sdělit jasně, přehledně a tak, aby byly pro zákazníky jednoduše dostupné. Souhlas navíc musíte získat vždy, když od návštěvníka sbíráte nějaký další údaj. Třeba když návštěvník vyplňuje na webu formulář. I se souhlasem můžete sbírat jen ta data, která k danému účelu opravdu potřebujete.

Fotografie a videa z akcí

Pořádáte přednášku nebo firemní večírek a nevíte, jestli můžete fotit, natáčet a případně pak fotky a videa zveřejnit na firemním webu? GDPR se tímto tématem přímo nezabývá. Obecně to znamená, že pokud se jedná o skupinové fotky a fotografie nebo videa, která zachycují průběh akce, výslovný souhlas účastníků nepotřebujete.

Kamerové systémy

Pokud chcete nainstalovat do kanceláří bezpečnostní kamery, nebude to tak jednoduché. Své zaměstnance můžete na pracovišti sledovat jen z vážných důvodů, například pokud pracují s vysokými finančními obnosy nebo nebezpečnými chemikáliemi. Kamery na pracovišti si pravděpodobně obhájíte hlavně u vchodu do budovy/kanceláře, kde se nachází hodnotný majetek a kde uchováváte data. Nikdy ale nesmí jít o přímé sledování zaměstnanců. Bez problémů by vám měly být povoleny také kamery na prodejně, pod podmínkou, že kamera přímo nesnímá zaměstnance (ani zde je nesmíte přímo sledovat). V obou případech musíte o přítomnosti kamer zaměstnance předem informovat. Ideálně vytvořit informační dokument a uložit ho na interní disk, kam mají všichni zaměstnanci přístup.

Porušení GDPR a pokuty

O porušení GDPR mluvíme v případě, kdy dojde ke zničení, ztrátě, změně nebo neoprávněnému zpřístupnění dat třetím stranám. Pokud k porušení zabezpečení dojde, musíte do 72 hodin od okamžiku, kdy se o porušení dozvíte, podle pokynů k ohlašování, informovat Úřad pro ochranu osobních údajů (ÚOOÚ). Úřad musíte informovat vždy, když dojde k porušení zabezpečení, které ohrožuje něčí práva. Pokud by při porušení zabezpečení mohla někomu z dotčených lidí vzniknout nějaká větší škoda, musíte informovat nejen úřad, ale i jednotlivce, kterých se to týká.

Ukládání pokut se řídí tím, že správní pokuty musí být účinné, přiměřené a odrazující. Ke každému případu se ale přistupuje podle okolností a konkrétní situace. Při porušení nařízení můžete dostat nejprve pouze napomenutí, nebo upozornění, že něco neděláte v souladu s GDPR.

V celoevropské verzi GDPR je výše pokut, podle vážnosti porušení nařízení, rozdělena do dvou kategorií. Jedná se ale jen o obecný návod a ohraničení maximální výše pokut. O konečné výši pokuty rozhoduje místní dozorový úřad - u nás Úřad pro ochranu osobních údajů. V GDPR jsou stanoveny i polehčující (a přitěžující) okolnosti.

Vedení záznamů o činnostech zpracování

Vedení záznamů o činnostech zpracování osobních údajů je často marginalizovanou povinností, obzvláště ve srovnání s často probíranými povinnostmi týkajícími se výkonu práv ze strany subjektů údajů, jmenování pověřence pro ochranu osobních údajů nebo povinnostmi týkajícími se bezpečnostních incidentů. Nicméně pro úspěšnou implementaci Nařízení a potažmo i pro úspěšné absolvování jakékoli budoucí kontroly ze strany Úřadu pro ochranu osobních údajů je vypracování a vedení záznamů zcela zásadním faktorem.

Institut záznamů je upraven v čl. 30 Nařízení. Bez vytvoření komplexního katalogu jednotlivých činností zpracování a vyhodnocení základních parametrů každé z nich, jako je zejména účel zpracování, jeho právní základ, dotčené subjekty osobních údajů, kategorie samotných osobních údajů nebo doba zpracování, není možné plnohodnotně splnit nejen samotnou povinnost vedení záznamů, ale ani další povinnosti.

Stále se setkáváme s názorem klientů, že povinnost vedení záznamů na ně nedopadá, protože mají méně než 250 zaměstnanců. Je pravdou, že Nařízení v čl. 30 odst. 5 Nařízení stanoví obecné kritérium minimálně 250 zaměstnanců na to, aby na daný podnik nebo organizaci dopadala povinnost vedení záznamů o činnostech zpracování. Hned v téže větě však jsou jako výjimky z tohoto pravidla specifikovány situace, kdy musí záznamy o činnostech vést i organizace, které mají méně než 250 zaměstnanců - jednou z těchto výjimek je i případ, kdy zpracování není příležitostné.

V běžných činnostech organizací snadno nalezneme případy zpracování, které z podstaty věci příležitostné být nemohou - takovou činností je zejména vedení personální agendy. Mnoho klientů záznamy zaměňuje s vnitřním předpisem týkajícím se ochrany osobních údajů. Koncepčně se přitom jedná o dva zcela odlišné typy dokumentace.

Souhlas se zpracováním osobních údajů

Souhlas se zpracováním osobních údajů je jedním z právních titulů, které jsou nezbytným předpokladem zákonnosti zpracování osobních údajů subjektů. Před přijetím Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) bylo na souhlas nahlíženo jako na základní titul zpracování. Přijetím nařízení se ale jeho role stala spíše podpůrnou a v současné době jej lze užít pouze tam, kde nelze užít právního titulu jiného.

Nařízení GDPR definuje souhlas se zpracováním osobních údajů jako potvrzení, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů. K tomu nařízení dále stanoví, že aby byl souhlas svobodný, neměla by mezi subjektem údajů a správcem existovat jasná nerovnováha.

Souhlas zaměstnance

K dané problematice se vyjádřil i Evropský sbor pro ochranu osobních údajů (EDPB) tak, že ve většině případů zpracování osobních údajů zaměstnanců na pracovišti nemůže být právním základem souhlas zaměstnanců a ani by jím vzhledem k povaze vztahu mezi zaměstnavatelem a zaměstnancem být neměl. Dále i Pracovní skupina pro ochranu údajů zřízená podle článku 29 (WP 249) ve svém stanovisku vyjádřila názor, že „vzhledem k závislosti vyplývající ze vztahu zaměstnavatel/zaměstnanec zaměstnanci téměř nikdy nejsou schopni svobodně udělit, odmítnout nebo zrušit souhlas.

Reklama Ne všechna zpracování v pracovněprávních vztazích lze ovšem podřadit pod jiné právní tituly a v praxi tak zpravidla nastanou situace, kdy je užití souhlasu ze strany zaměstnanců nevyhnutelné. Před samotným zpracováním osobních údajů je vždy třeba vyhodnotit účel zpracování a veškeré souvislosti s ním související. V praxi se často stává, že (nejen) zaměstnavatelé používají souhlas jako jistou pojistku v případě, kdy si právní úpravou nejsou zcela jisti.

V praxi bude zaměstnavatel oprávněn zpracovávat osobní údaje zaměstnance bez jeho souhlasu zejména na základě právních titulů zpracování nezbytného pro účely splnění smlouvy a pro účely splnění právní povinnosti. Tyto povinnosti spočívají např. ve výpočtu mzdy, hlášení na sociálním úřadě či odvodu sociálního a zdravotního pojištění. Jednat se bude o osobní údaje jako jméno, příjmení (případně dřívější příjmení), datum a místo narození, rodné číslo. Dále také pokud zaměstnanec uplatňuje slevu na daních na děti, zaměstnavatel zpravidla zpracovává i rodná čísla dětí těchto zaměstnanců.

V případě, že by chtěl zaměstnavatel zpracovávat i jiné osobní údaje, lze některá zpracování založit na oprávněném zájmu, vždy je však třeba posoudit, zda zájem zaměstnavatele převažuje nad zájmy jeho zaměstnanců, tedy jejich základními právy, svobodami a zájmy. Lze hovořit např. Zaměstnavatelé často uveřejňují fotografie zaměstnanců na svých webových stránkách. Takové zpracování však nelze pod účely splnění smlouvy, účely splnění zákonné povinnosti či dokonce pod oprávněný zájem zaměstnavatele vždy podřadit, a proto se většině případů jeví jako vhodné jej souhlasem se zpracováním osobních údajů opatřit.

U fotografií a videí pořízených a uveřejněných za účelem pouhé dokumentace firemní akce, resp. účelem informativním, se totiž uplatní výjimka tzv. zákonné zpravodajské licence. Rozdílně je ovšem posuzována situace, kdy dochází k uveřejňování fotografií a videí nikoliv pro účely informativní, nýbrž pro účely marketingové (typicky za účelem získání nových uchazečů).

Sledování služebního automobilu prostřednictvím GPS za účelem ochrany oprávněných zájmů zaměstnavatele není v praxi problematické do doby, kdy je poskytnutý automobil užíván pouze ke služebním účelům. Ovšem v situacích, kdy je zaměstnancům umožněno užívat služební vozidlo i k soukromým účelům, zaměstnavatelé často přistupují k opatření takového sledování právě souhlasem se zpracováním osobních údajů, ten je ale v těchto případech nadbytečný.

Danou problematikou, ve které dlouho panovalo nejasno, se zabýval i Úřad pro ochranu osobních údajů, který ji objasnil následovně: „umožní-li zaměstnavatel využívat služební vozidlo zaměstnanci i k soukromým účelům, jde o určitý druh benefitu. Zaměstnanec by měl být na použití GPS sledování upozorněn, a to v rozsahu informace podle čl. 13 GDPR. Využije-li zaměstnanec vozidlo i v rámci svých soukromých aktivit, je nadále oprávněným zájmem zaměstnavatele chránit svůj majetek prostřednictvím GPS. Sledování služebního automobilu poskytnutého zaměstnanci i pro soukromé účely je tedy možné, a to na základě právního titulu oprávněného zájmu zaměstnavatele. Je však důležité zdůraznit, že zaměstnavatel by sledování měl omezit pouze na tento účel, jakékoli intenzivnější narušování soukromí zaměstnance by bylo v rozporu s § 316 odst.

Souhlas se naopak jako vhodný jeví v případě vedení evidence o případných zájemcích o zaměstnání do budoucna. Zaměstnavatelé by tedy k souhlasu se zpracováním osobních údajů udělovaných ze strany jejich zaměstnanců měli přistupovat vždy po předchozím uvážení a pouze v nezbytných případech. Zejména vzhledem k nerovné povaze jejich vztahu je pak třeba dbát na prokazatelnost dobrovolnosti a svobody při jeho udělování. Ve vztahu k zaměstnancům je rovněž důležité řádně plnit zákonnou oznamovací povinnost, a tedy zejména neuvádět zaměstnance v omyl nadbytečným získáváním souhlasu.

BOZP - Právní rámec pro OSVČ

Bezpečnost a ochrana zdraví při práci (BOZP) tvoří nedílnou součást zajištění bezpečných pracovních podmínek nejen pro zaměstnance, ale i pro osoby samostatně výdělečně činné (OSVČ). V české legislativě je jednoznačně stanoveno, že každá OSVČ má povinnost zajišťovat BOZP, bez ohledu na to, zda má či nemá zaměstnance. Povinnosti v oblasti BOZP pro OSVČ jsou zakotveny v české legislativě, konkrétně v:

• zákoně č. 262/2006 Sb., zákoníku práce,
• zákoně č. 309/2006 Sb., o zajištění dalších podmínek bezpečnosti a ochrany zdraví při práci.

Podle těchto předpisů má každá OSVČ povinnost zajistit bezpečnost a ochranu zdraví při práci, ať už pracuje sama nebo sdílí pracoviště s dalšími osobami. Neplnění těchto povinností může být pokutováno jak u OSVČ bez zaměstnanců, tak i u těch, kteří zaměstnávají další pracovníky.

Povinnosti BOZP pro všechny OSVČ

Zákon jednoznačně stanovuje, že každá OSVČ je povinna řešit BOZP, a to i tehdy, pokud nepracuje ve spolupráci s dalšími osobami nebo nevykonává rizikové činnosti. Povinnosti OSVČ v oblasti BOZP zahrnují:

1. Identifikaci a prevenci rizik: OSVČ musí sama vyhledávat potenciální rizika spojená se svou činností, analyzovat je a přijímat opatření ke snížení možného ohrožení zdraví nebo vzniku úrazů.
2. Vedení dokumentace o BOZP: OSVČ musí mít zpracovanou dokumentaci BOZP odpovídající její činnosti. Dokumentace může být jednodušší v případě OSVČ bez zaměstnanců, avšak stále musí reflektovat relevantní rizika.
3. Dodržování návodů a pokynů výrobců: Všechny pracovní pomůcky a technické vybavení, které OSVČ používá, musí být provozovány a udržovány v souladu s pokyny výrobce, včetně provádění pravidelných kontrol a revizí.
4. Zajištění první pomoci: Každá OSVČ musí být schopna poskytnout první pomoc a mít vybavenou lékárničku odpovídající povaze vykonávané činnosti.
5. Školení a odborná způsobilost: Pokud to její činnost vyžaduje, musí OSVČ absolvovat příslušné školení nebo prokázat odbornou způsobilost (např. školení pro práci ve výškách, s chemickými látkami, či obsluhu technických zařízení).

Situace, kdy je na dodržování BOZP u OSVČ kladen zvýšený důraz

Úroveň detailu a rozsahu řešení BOZP může být různá v závislosti na okolnostech. V následujících případech je však dodržování BOZP klíčové a podléhá přísnějším kontrolám:

1. OSVČ spolupracuje na společném pracovišti: Pokud OSVČ sdílí pracoviště s jinými osobami (např. s jinou OSVČ, zaměstnanci jiného subjektu apod.), musí zajistit, že neohrožuje zdraví a bezpečnost ostatních. Podle § 101 zákoníku práce je povinna informovat své kolegy o možných rizicích.
2. OSVČ zaměstnává další osoby: Jakmile OSVČ zaměstnává pracovníky, vztahují se na ni povinnosti odpovídající zaměstnavateli. To zahrnuje zajištění školení BOZP, ochranných pomůcek, pravidelných revizí zařízení a dalších opatření pro minimalizaci rizik.
3. OSVČ vykonává rizikové činnosti: Pokud OSVČ provozuje činnosti v rizikovém prostředí (např. stavba, práce s chemikáliemi, obsluha strojů), je přísně povinna dodržovat všechny právní předpisy BOZP, které se na tuto činnost vztahují.

Kdy má OSVČ jednodušší povinnosti?

V případech, kdy OSVČ pracuje samostatně a nevykonává rizikové činnosti, je dokumentace a řešení BOZP méně náročné. I v těchto situacích však platí, že základní povinnost zajištění prevence a ochrany zdraví zůstává.

BOZP není jen o legislativě

Zanedbání BOZP může mít vážné následky nejen z pohledu legislativních sankcí, ale hlavně z hlediska ochrany zdraví a života. I kdyby zákonná kontrola byla méně důsledná, je v zájmu každého OSVČ chránit sebe a své okolí.

Dodržovat bezpečnostní předpisy by mělo být standardem každého podnikatele. BOZP není jen povinnost, ale také prevence problémů a nehod, které by mohly mít fatální důsledky. Neberte BOZP na lehkou váhu - bezpečnost je základním krokem k úspěšnému podnikání.

Oblast	Popis	Důsledky nedodržení
GDPR	Nařízení EU o ochraně osobních údajů	Pokuty až do výše 20 milionů EUR nebo 4 % ročního obratu
BOZP	Bezpečnost a ochrana zdraví při práci	Pokuty a potenciální zdravotní následky

tags: #GDPR #OSVČ #bez #zaměstnanců

Oblíbené příspěvky:

• Dovolená v ČR
• Výplata z penzijního fondu v ČR
• Vzory a postupy pro výpověď povinného ručení.
• Příplatky za přesčasy
• Právní úprava minimální mzdy