Nepřístupný dokument, nutné přihlášení
Input:

Záznamy o zpracování osobních údajů zaměstnanců dle GDPR

29.3.2018, , Zdroj: Verlag Dashöfer

14.311
Záznamy o zpracování osobních údajů zaměstnanců dle GDPR

Ing. Růžena Klímová

Záznamy o činnostech zpracování jsou záznamy, které budou správci osobních údajů podle GDPR povinni vést o jejich zpracování a na žádost je zpřístupnit dozorovému orgánu, kterým je Úřad pro ochranu osobních údajů. U kamerového systému jsou jakousi náhradou za oznamovací povinnost, která byla Obecným nařízením zrušena.

Vést záznamy o činnostech zpracování se netýká správců zaměstnávajících méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech.

GDPR vymezuje, jaké konkrétní údaje musí být součástí takové dokumentace o zpracování osobních údajů. Jsou to jméno a kontaktní údaje správce, účely zpracování, rozsah zpracovávaných osobních údajů, informace o příjemcích daných osobních údajů, o předávání údajů do třetích zemí, lhůtách pro výmaz jednotlivých kategorií údajů a popis přijatých technických a organizačních opatření k zajištění bezpečnosti údajů.

Jsou-li osobní údaje zpracovávány zpracovatelem, je možné tuto povinnost přenést na zpracovatele. GDPR uvádí výjimky, kdy není správce povinen vést dokumentaci o zpracování (správce s méně než 250 osobami). Ovšem i menší organizace mohou zpracovávat velký objem dat a provádět vysoce rizikové zpracování, při kterém hrozí únik či zneužití osobních údajů. Výjimka je tudíž omezena jen na taková zpracování, která není možné považovat za riziková a závažným způsobem nezasáhnou do práv a svobod jednotlivců. V případě, že zpracování je možné považovat za rizikové a současně se jedná o správce s méně než 250 osobami, a zpracování není výjimečné, je nutné záznamy o zpracování vést.

Kamerový systém, který je aplikován z důvodu ochrany majetku zaměstnavatele a předmětů a věcí zaměstnanců, které se obvykle do zaměstnání nosí, a dále z důvodu ochrany a bezpečnosti zdraví zaměstnanců, představuje určité riziko pro práva a svobody fyzických osob. Navíc se jedná o zpracování osobních údajů, které není příležitostné, ale permanentní. Z uvedených důvodů bude nutné, aby provozovatel kamerového systému vedl vždy záznamy o činnosti zpracování bez ohledu na počet osob.

Záznamy o zpracování osobních údajů v oblasti mzdové a personální oblasti, jedná-li se o správce s alespoň 250 osobami, jsme diferencovali podle druhu a povahy osobních údajů.

Je-li správce osobních údajů povinen jmenovat pověřence, je vhodné tuto skutečnost uvést v záznamu o zpracování pouze v obecné rovině, neboť s ohledem na možné budoucí změny v osobě pověřence by bylo vždy nutné záznamy aktualizovat.

Záznam o zpracování osobních údajů týkajících se srážek ze mzdy dle § 146 ZP a souvisejících právních předpisů

Správce osobních údajů   Etona, s. r. o., Kolmá 555, 110 00 Praha 1
IČ: 89555551
Kontaktní osoba: …………………………

Je-li správce povinen jmenovat pověřence, je vhodné tuto skutečnost v záznamu uvést pouze obecně s ohledem na případné změny v osobě pověřence.
 
Účel zpracování   Provádění srážek ze mzdy na základě exekučních titulů, usnesení insolvenčních soudů, dohod o srážkách ze mzdy, žádosti člena odborové organizace týkající se srážky členského příspěvku  
Právní důvod   Plnění právní povinnosti dle zákonů č. 99/1993 Sb., č. 182/2006 Sb., § 144a až 150 zákona č. 262/2006 Sb., § 2045 až 2047 zákona č. 89/2012 Sb. a oprávněných zájmů správce v případě dohody o srážkách ze mzdy  
Popis kategorií subjektu údajů   Zaměstnanci  
Popis kategorie osobních údajů   Pořadí závazku, výše závazku, druh závazku zaměstnance, zůstatek závazku, počet vyživovaných osob  
Informace poskytované subjektům údajů   Výše provedených srážek se uvádí na výplatním lístku. Ostatní údaje jsou k dispozici ve mzdové účtárně. Jedná se o pořadí srážek, výše splacených závazků atd.  
Příjemci osobních údajů   Orgán, který vydal exekuční titul, insolvenční správce, okresní správa sociálního zabezpečení, souběžný plátce na základě žádosti, následující plátce (viz povinné náležitosti zápočtového listu).  
Lhůta pro výmaz osobních údajů   Doba uchování údajů o srážkách ze mzdy se řídí § 150 ZP – 30 let po roce, kterého se záznam týká.  
Organizační opatření   Osobní údaje týkající se srážek ze mzdy jsou zavedeny v softwaru pro zpracování mezd, doklady obsahující tyto osobní údaje jsou uloženy ve mzdové účtárně.  
Pověřenec pro ochranu osobních údajů   Správce není/je povinen mít pověřence.
Správce jmenoval pověřence a jeho kontaktní údaje jsou zveřejněny samostatným dokumentem: „Pověřenec pro ochranu osobních údajů”.  


Záznam o zpracování osobních údajů týkajících se zaměstnávání osob se zdravotním postižením

Správce osobních údajů   Etona, s. r. o., Kolmá 555, 110 00 Praha 1
IČ: 89555551
Kontaktní osoba: …………………………

Je-li správce povinen jmenovat pověřence, je vhodné tuto skutečnost v záznamu uvést pouze obecně s ohledem na případné změny v osobě pověřence.
 
Účel zpracování   Povinná evidence osob se zdravotním postižením dle § 80 odst. c) zákona č. 435/2004 Sb., dle § 81 ZZ jde o zaměstnávání osob ZTP pro účely naplňování 4% podílu osob ZTP, dle § 71a jde o příspěvek na chráněné pracovní místo, na zřízení pracovního místa pro osobu ZTP.  
Právní důvod   Plnění právní povinnosti dle zákona č. 435/2004 Sb., vyhlášky č. 518/2004 Sb.  
Popis kategorií subjektu údajů   Zaměstnanci  
Popis kategorie osobních údajů   Zaměstnanci, kteří jsou orgánem sociálního zabezpečení uznáni osobami
  1. invalidními ve třetím stupni,
  2. invalidními v prvním nebo druhém stupni, nebo
  3. zdravotně znevýhodněnými.
 
Informace poskytované subjektům údajů   Individuálním přizpůsobováním pracovních míst a pracovních podmínek a vyhrazováním pracovních míst pro osoby se zdravotním postižením naplňovat povinnosti dle § 80 a násl. zákona č. 435/2004 Sb.  
Příjemci osobních údajů   Příslušný úřad práce, poskytovatel pracovnělékařských služeb  
Lhůta pro výmaz osobních údajů   Doba uchování údajů – 10 let po roce, kterého se záznam týká (viz § 96 zákona č. 187/2006 Sb.)  
Organizační opatření   Osobní údaje o osobách ZTP jsou uloženy v softwaru pro zpracování personálních údajů (HR info), dokumenty o osobách ZTP jsou uloženy v jednotlivých osobních spisech zaměstnanců.  
Pověřenec pro ochranu osobních údajů   Správce není/je povinen mít pověřence.
Správce jmenoval pověřence a jeho kontaktní údaje jsou zveřejněny samostatným dokumentem: „Pověřenec pro ochranu osobních údajů”.  


Záznam o zpracování osobních údajů týkajících se pracovnělékařských služeb

Správce osobních údajů   Etona, s. r. o., Kolmá 555, 110 00 Praha 1
IČ: 89555551
Kontaktní osoba: …………………………

Je-li správce povinen jmenovat pověřence, je vhodné tuto skutečnost v záznamu uvést pouze obecně s ohledem na případné změny v osobě pověřence.
 
Účel zpracování   Povinná evidence o pracovnělékařských službách dle zákona č. 373/2011 Sb.  
Právní důvod   Plnění právní povinnosti dle zákonů č. 258/2000 Sb., č. 373/2011 Sb., vyhlášky č. 79/2013 Sb.  
Popis kategorií subjektu údajů   Osoby ucházející se o zaměstnání (jen vstupní prohlídky), zaměstnanci (všechny pracovnělékařské prohlídky).  
Popis kategorie osobních údajů   Posuzování zdravotní způsobilosti ve vztahu k práci formou povinných a mimořádných prohlídek (vstupní, periodické, výstupní, následné, mimořádné).  
Informace poskytované subjektům údajů   Hodnocení zdravotního stavu zaměstnance, zjišťování vlivu pracovního prostředí na zdraví, sledování rizikových faktorů, poradenství v oblasti ergonomie, fyziologie práce, psychologie práce.  
Příjemci osobních údajů   Poskytovatel pracovnělékařských služeb, orgán veřejného zdraví.  
Lhůta pro výmaz osobních údajů   Archivační lhůta 10 let, v případě soudního sporu z důvodu nemoci z povolání i déle.  
Organizační opatření   Osobní údaje týkající se pracovnělékařských prohlídek jsou uloženy v softwaru pro zpracování personálních dat a doklady s těmito údaji jsou uloženy v osobním spisu zaměstnance.  
Pověřenec pro ochranu osobních údajů   Správce není/je povinen mít pověřence.
Správce jmenoval pověřence a jeho kontaktní údaje jsou zveřejněny samostatným dokumentem: „Pověřenec pro ochranu osobních údajů”.  


Záznam o zpracování osobních údajů týkajících se zaměstnávání zaměstnanců ze zahraničí

Správce osobních údajů   Etona, s. r. o., Kolmá 555, 110 00 Praha 1
IČ: 89555551
Kontaktní osoba: …………………………

Je-li správce povinen jmenovat pověřence, je vhodné tuto skutečnost v záznamu uvést pouze obecně s ohledem na případné změny v osobě pověřence.
 
Účel zpracování   Evidenční a ohlašovací povinnost při zaměstnávání občanů Evropské unie a cizinců  
Právní důvod   Plnění právní povinnosti – informační povinnost dle § 86 a násl. zákona č. 435/2004 Sb., evidenční povinnost dle § 102 zákona č. 435/2004 Sb., ohlašovací povinnosti dle bodů 8 až 13 § 107 zákona č. 326/1999 Sb.  
Popis kategorií subjektu údajů   Zaměstnanci  
Popis kategorie osobních údajů   Identifikační údaje – jméno, příjmení, adresa v zemi trvalého pobytu a adresa pro doručování zásilek, číslo cestovního dokladu a název orgánu, který jej vydal, druh práce, místo výkonu práce a doba, po kterou by mělo být zaměstnání vykonáváno, pohlaví těchto fyzických osob, nejvyšší dosažené vzdělání, vzdělání požadované pro výkon povolání, doba, na kterou jim bylo vydáno povolení k zaměstnání, zaměstnanecká karta, karta vnitropodnikově převedeného zaměstnance nebo modrá karta a na kterou jim byl povolen pobyt, den nástupu a den skončení zaměstnání nebo vyslání zahraničním zaměstnavatelem.  
Informace poskytované subjektům údajů   Této kategorii subjektů údajů jsou poskytovány veškeré informace jako ostatním zaměstnancům.  
Příjemci osobních údajů   Příslušný úřad práce, Ministerstvo vnitra ČR  
Lhůta pro výmaz osobních údajů   Dokumenty prokazující oprávněnost pobytu cizince – 3 roky od skončení zaměstnávání (viz § 102 odst. 3 zákona č. 435/2004 Sb.), ostatní osobní údaje jako u ostatních zaměstnanců.  
Organizační opatření   Osobní údaje o cizincích a občanech EU jsou uloženy v softwaru pro zpracování personálních dat, dokumenty o cizincích a občanech EU jsou uloženy v osobních spisech zaměstnanců.  
Pověřenec pro ochranu osobních údajů   Správce není/je povinen mít pověřence.
Správce jmenoval pověřence a jeho kontaktní údaje jsou zveřejněny samostatným dokumentem: „Pověřenec pro ochranu osobních údajů”.  


Záznam o zpracování osobních údajů týkajících se evidence pracovních úrazů a nemocí z povolání

Správce osobních údajů   Etona, s. r. o., Kolmá 555, 110 00 Praha 1
IČ: 89555551
Kontaktní osoba: …………………………

Je-li správce povinen jmenovat pověřence, je vhodné tuto skutečnost v záznamu uvést pouze obecně s ohledem na případné změny v osobě pověřence.
 
Účel zpracování   Povinné vedení evidence o pracovních úrazech a nemocí z povolání, odškodňování pracovních úrazů a nemocí z povolání  
Právní důvod   Plnění právní povinnosti podle nařízení vlády č. 201/2010 Sb., zákonů č. 258/2000 Sb., č. 373/2011 Sb., vyhlášky č. 79/2013 Sb., nařízení vlády č. 276/2015 Sb., § 269 a násl. zákona č. 262/2006 Sb.  
Popis kategorií subjektu údajů   Zaměstnanci  
Popis kategorie osobních údajů   Jméno zaměstnance ohroženého nemocí z povolání, nebo trpící nemocí z povolání, jde-li o pracovní úraz, zaznamenává se v knize úrazů:
  1. jméno úrazem postiženého zaměstnance,
  2. datum a hodinu úrazu,
  3. místo, kde k úrazu došlo,
  4. činnost, při níž k úrazu došlo,
  5. počet hodin odpracovaných bezprostředně před vznikem úrazu,
  6. celkový počet zraněných osob,
  7. druh zranění a zraněná část,
  8. popis úrazového děje,
  9. druh úrazu,
  10. zdroj úrazu,
  11. příčiny úrazu.
 
Informace poskytované subjektům údajů   Hodnocení zdravotního stavu zaměstnance, zjišťování vlivu pracovního prostředí na zdraví, sledování rizikových faktorů, poradenství v oblasti ergonomie, fyziologie práce, psychologie práce, nárok na náhradu škody dle zákoníku práce.  
Příjemci osobních údajů   V případě nemoci z povolání – poskytovatel pracovnělékařských služeb, orgán veřejného zdraví, pojišťovna.Jde-li o pracovní úraz:
  1. příslušný útvar Policie ČR, byl-li v souvislosti s pracovním úrazem spáchán trestný čin,
  2. odborová organizace a zástupci pro oblast bezpečnosti a ochrany zdraví při práci,
  3. příslušný oblastní inspektorát práce, trvá-li hospitalizace úrazem postiženého zaměstnance více než 5 dnů nebo lze-li vzhledem k povaze zranění takovou dobu hospitalizace předpokládat,
  4. příslušný báňský úřad, podléhá-li činnost vrchnímu dozoru podle jiného právního předpisu, jde-li o závažný pracovní úraz podle jiného právního předpisu,
  5. zaměstnavateli, který zaměstnance k práci u něho vyslal nebo dočasně přidělil.
Smrtelný pracovní úraz se ohlašuje bez zbytečného odkladu:
  1. příslušnému útvaru Policie ČR,
  2. odborové organizaci a zástupci pro oblast bezpečnosti a ochrany zdraví při práci,
  3. inspektorátu práce,
  4. báňskému úřadu, podléhá-li činnost vrchnímu dozoru podle jiného právního předpisu,
  5. zaměstnavateli, který zaměstnance k práci u něho vyslal nebo dočasně přidělil,
  6. zdravotní pojišťovně, u které byl smrtelným pracovním úrazem postižený zaměstnanec pojištěn.
Záznam o úrazu se zasílá za uplynulý kalendářní měsíc nejpozději do pátého dne následujícího měsíce:
  1. útvaru Policie ČR, nasvědčují-li zjištěné skutečnosti tomu, že v souvislosti s pracovním úrazem byl spáchán trestný čin,
  2. inspektorátu práce,
  3. báňskému úřadu, podléhá-li činnost, pracoviště nebo technické zařízení vrchnímu dozoru podle jiného právního předpisu,
  4. zdravotní pojišťovně, u které je pracovním úrazem postižený zaměstnanec pojištěn.
 
Lhůta pro výmaz osobních údajů   Archivační lhůta 10 let, v případě soudního sporu z důvodu nemoci z povolání nebo odškodňování pracovních úrazů i déle.  
Organizační opatření   Osobní údaje týkající se nemocí z povolání, ohrožení nemocí z povolání, záznamů o pracovních úrazech jsou v softwaru pro zpracování personálních dat, doklady o těchto osobních údajích jsou uloženy v osobním spisu zaměstnance.  
Pověřenec pro ochranu osobních údajů   Správce není/je povinen mít pověřence.
Správce jmenoval pověřence a jeho kontaktní údaje jsou zveřejněny samostatným dokumentem: „Pověřenec pro ochranu osobních údajů”.  


Záznam o zpracování osobních údajů týkajících nároků a čerpání dovolené