.png)
Zpracování zdravotních dat zaměstnanců v souladu s GDPR
Zdravotní údaje zaměstnanců patří mezi nejcitlivější osobní údaje a jejich nesprávné zpracování představuje pro firmy významná právní rizika. GDPR řadí informace o zdraví do zvláštní kategorie osobních údajů, na něž se vztahuje přísnější ochrana. To znamená, že pokud zaměstnavatelé nakládají s údaji o zdravotním stavu zaměstnanců v rozporu s pravidly, hrozí jim vysoké sankce. Regulátoři mohou za porušení GDPR uložit pokutu až do výše 4 % celosvětového ročního obratu firmy. V praxi už padly i pokuty v řádu desítek milionů eur – například německé úřady udělily společnosti H&M pokutu 35,3 mil. € (cca 900 mil. Kč) za nezákonné „špehování“ zaměstnanců a shromažďování intimních detailů o jejich zdraví a soukromí.
.png)
Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "JUDr. Jakub Dohnal, Ph.D.,LL.M.", expert na dané téma.
Kromě finančních postihů může firmám hrozit také nevyčíslitelná ztráta důvěry a poškození reputace, pokud vyjde najevo, že s citlivými údaji zaměstnanců zacházely neoprávněně. Není výjimkou ani podání stížnosti či žaloby samotnými zaměstnanci – v nedávné kauze v Berlíně vedla stížnost pracovníka na vedení neoprávněné databáze zdravotních informací až k zásahu dozorového úřadu, který takové jednání vyhodnotil jako porušení čl. 9 GDPR. Je tedy zřejmé, že ochranu zdravotních dat zaměstnanců nelze podceňovat.
Hlavní právní požadavky
Obecné nařízení o ochraně osobních údajů (GDPR) zakazuje zpracování zvláštních kategorií osobních údajů, mezi něž patří i údaje vypovídající o zdravotním stavu fyzické osoby, pokud není splněna některá z výjimek přímo v nařízení uvedených. Jinými slovy, zaměstnavatel nesmí shromažďovat ani evidovat informace o nemocích, diagnózách či zdravotním postižení zaměstnance, pokud k tomu nemá jasný zákonný důvod a odpovídající právní titul. Kromě obecných zásad zpracování (jako je zákonnost, korektnost, minimalizace údajů atd.) musí tedy zaměstnavatel pro každé zpracování zdravotních dat splnit dvě úrovně podmínek:
1. “Obyčejný” právní základ podle čl. 6 GDPR:
Musí existovat některý z důvodů zpracování, který GDPR uznává pro osobní údaje obecně (např. plnění právní povinnosti, oprávněný zájem, výjimečně souhlas subjektu údajů atd.).
2. Výjimka pro citlivé údaje podle čl. 9 GDPR:
Nad rámec běžného právního základu je nutné naplnit i zvláštní podmínku, která dovoluje zpracovat zdravotní údaje. GDPR totiž takové údaje chrání přísněji – jsou a priori zakázány, pokud správce neprokáže, že spadají pod některou z taxativně vyjmenovaných výjimek (např. zpracování je nezbytné pro účely zdravotní péče, pracovněprávních povinností apod.).
Typické výjimky umožňující zaměstnavateli legálně zpracovat údaje o zdraví zaměstnance jsou například:
1. Plnění povinností v oblasti zaměstnaneckého práva a BOZP:
Pokud zpracování zdravotních údajů vyžaduje zvláštní zákon či je nezbytné pro splnění povinnosti zaměstnavatele dle zákoníku práce nebo předpisů o sociálním zabezpečení. Sem spadá např. evidence dočasných pracovních neschopností pro účely výplaty nemocenské, vedení záznamů o pracovních úrazech či nemocích z povolání apod.
2. Preventivní a pracovnělékařská péče:
Údaje z lékařských prohlídek, posudky o pracovní způsobilosti či výsledky testů, jsou-li nezbytné k posouzení zdravotní způsobilosti zaměstnance k práci. Tyto údaje smí zpracovávat zpravidla poskytovatel pracovnělékařských služeb nebo jiný zdravotník vázaný mlčenlivostí. Zaměstnavatel by měl obdržet jen závěr o způsobilosti (“schopen/neschopen práce”), nikoli detailní diagnózy.
3. Ochrana životně důležitých zájmů:
Např. poskytnutí zdravotních informací v situaci, kdy jde o záchranu života nebo zdraví zaměstnance či jiné osoby a zaměstnanec není schopen dát souhlas (typicky akutní lékařský zásah na pracovišti).
4. Veřejný zájem ve zdravotnictví:
Mimořádné situace jako epidemie mohou odůvodnit určité zpracování – např. měření teploty, evidenci výsledků testování na infekční nemoci apod., pokud je to v zájmu ochrany veřejného zdraví a současně na základě právních předpisů nebo oprávněného zájmu zaměstnavatele plnit povinnost zajistit bezpečné pracovní prostředí.
5. Explicitní souhlas zaměstnance:
Pouze výjimečně, pokud nelze uplatnit jiný titul, může zaměstnanec dobrovolně dát výslovný souhlas se zpracováním konkrétního zdravotního údaje pro daný účel. Souhlas musí být svobodný a informovaný, nelze jej jen „předpokládat“ nebo vynucovat, a zaměstnanec jej může kdykoli odvolat.
V prostředí zaměstnání je však na místě opatrnost – vzhledem k vztahu nadřízenosti a závislosti se má za to, že souhlas zaměstnance často nemusí být poskytnut zcela dobrovolně, a regulátoři platnost takových souhlasů zpochybňují. Proto se souhlas má používat spíše výjimečně, např. u zcela dobrovolných benefitů nebo nadstandardních služeb, které zaměstnanec nemusí využít.
Nevíte si s daným tématem rady?
Kromě volby správného právního titulu je zásadní dodržet i princip minimalizace údajů a účelového omezení. To v praxi znamená shromažďovat o zaměstnanci pouze takové zdravotní informace, které jsou nezbytné pro naplnění legitimního účelu, a nepoužívat je dál způsobem neslučitelným s původním účelem.
Jak výstižně konstatoval Úřad pro ochranu osobních údajů v zmíněné berlínské kauze – pokud zaměstnavatel nedokáže prokázat, že určité zdravotní údaje skutečně potřebuje pro oprávněný účel či zákonnou povinnost, porušuje zásadu nezbytnosti a minimalizace dle článku 5 GDPR.
Firma by proto měla vždy umět zdůvodnit, proč dané konkrétní zdravotní informace požaduje a zpracovává.
Praktické kroky pro firmy
Z pohledu každodenní praxe personalistiky a řízení lidských zdrojů nastává řada situací, kdy může být práce se zdravotními údaji zaměstnanců nezbytná. Níže uvádíme běžné scénáře, správné postupy a doporučení, jak zajistit soulad s GDPR:
Typické situace vyžadující zpracování zdravotních údajů:
1. Nemocenská (dočasná pracovní neschopnost)
Když zaměstnanec onemocní, musí obvykle doložit potvrzení od lékaře. Standardní „neschopenka“ předaná zaměstnavateli obsahuje pouze informaci o tom, že zaměstnanec je dočasně práce neschopný a jak dlouho, neuvádí však diagnózu ani detaily o onemocnění.
Takové potvrzení neobsahuje citlivé údaje o zdraví ve smyslu GDPR, takže jeho přijetí a evidence je v pořádku. Zaměstnavatel by měl trvat právě na tomto formuláři.
Nemá naopak oprávnění vyžadovat po zaměstnanci detailní lékařskou zprávu s uvedením diagnózy (např. popis pracovní úrazové zprávy či výsledky testů mimo rámec nutný pro posouzení pracovní schopnosti). Pokud by zaměstnavatel takové podrobné zdravotní dokumenty shromažďoval bez zákonné povinnosti, porušil by zákaz zpracování zvlášť citlivých údajů.
Z aktuálních stanovisek vyplývá, že zaměstnavateli lze doporučit, aby jako důkaz o nemoci vždy akceptoval jen standardní potvrzení o pracovní neschopnosti, které neobsahuje diagnózu – přijímání listin s konkrétními zdravotními údaji (např. příčinou nemoci) může být posouzeno jako správní delikt v oblasti ochrany osobních údajů. (Výjimkou jsou situace, kdy jiný právní předpis přímo vyžaduje předání detailu – viz níže evidence pracovních úrazů.)
2. Pracovní úrazy a nemoci z povolání
Při úrazu na pracovišti nebo zjištění nemoci z povolání má zaměstnavatel zákonnou povinnost tyto události evidovat a hlásit (např. inspekci práce, pojišťovně). V rámci evidence pracovních úrazů se zpravidla uvádí popis zranění či onemocnění, okolnosti události a další zdravotní informace nezbytné k posouzení nároků zaměstnance.
Tady tedy existuje zákonný titul ke zpracování i detailnějších údajů o zdravotním stavu – jde o plnění právní povinnosti zaměstnavatele v oblasti bezpečnosti práce. Tyto záznamy však musejí být chráněny stejně pečlivě jako jiné citlivé údaje a přístup k nim by měly mít jen oprávněné osoby (viz níže).
Dále je nutné myslet na to, že zákon stanoví zvláštní lhůty pro uchovávání dokumentace o úrazech: podle pracovněprávních předpisů se evidenční záznamy o pracovních úrazech a nemocech z povolání uchovávají 30 let (pro účely důchodového pojištění). Firma tedy musí zajistit bezpečné archivování těchto dat po tuto dobu a poté jejich bezpečnou likvidaci.
3. Vstupní a periodické lékařské prohlídky
Zákoník práce a související předpisy ukládají zaměstnavateli zajistit, aby zaměstnanci vykonávali práci odpovídající jejich zdravotní způsobilosti. Před nástupem do zaměstnání a v některých intervalech během pracovního poměru proto musí zaměstnanci absolvovat pracovnělékařské prohlídky. Posudek o zdravotní způsobilosti vydává smluvní lékař a zaměstnavatel obdrží zpravidla jen výsledek: způsobilý/nezpůsobilý k práci (případně s omezením). Detaily vyšetření či diagnózy zůstávají důvěrné mezi zaměstnancem a lékařem.
Pro HR oddělení tedy doporučení zní – uchovávat pouze samotné lékařské posudky (resp. potvrzení o výsledku), nikoli kompletní zdravotní dokumentaci. Zpracování těchto údajů je podloženo zákonnou povinností (plnění požadavků BOZP) a výjimkou dle čl. 9 odst. 2 písm. h) GDPR (preventivní medicína, posouzení pracovní schopnosti). Opět platí povinnost zabezpečit tyto dokumenty před neoprávněným přístupem.
Na koho se může obrátit:
.jpg)
4. Testování na COVID-19 a jiné zdravotní screeningy
Mimořádná situace během pandemie postavila mnoho zaměstnavatelů před otázku, zda mohou zjišťovat zdravotní informace typu výsledků testů na COVID-19, očkování či měřit teplotu při vstupu do pracoviště. Úřad pro ochranu osobních údajů v době pandemie potvrdil, že měření teploty či záznam o negativním testu může být oprávněný za přísných podmínek – zejména pokud je to odůvodněno povinností zaměstnavatele zajistit bezpečné a zdraví neohrožující prostředí na pracovišti.
Právním základem tu může být oprávněný zájem a plnění zákonné povinnosti (BOZP), zároveň je nutné naplnit výjimku pro zpracování údajů o zdraví z důvodu veřejného zájmu v oblasti veřejného zdraví nebo ochrany života a zdraví (čl. 9 odst. 2 písm. i) či písm. b) GDPR).
V praxi to znamená provést pouze nezbytné úkony (např. neměřit plošně, pokud to situace nevyžaduje, neuchovávat data déle než po potřebnou dobu) a dbát na maximální zabezpečení takto získaných údajů. Například pokud firma eviduje, že určitý den měl zaměstnanec pozitivní test, musí s tímto záznamem nakládat jako s přísně důvěrným a po pominutí účelu jej smazat.
Jaké právní tituly zvolit
V každé z výše popsaných situací by si zaměstnavatel měl ujasnit, na základě jakého titulu (důvodu) zdravotní údaje zpracovává. Z pravidla půjde:
1. o plnění povinnosti ze zákona (právní titul dle čl. 6 odst. 1 písm. c) GDPR – např. povinnost vést evidenci úrazů, umožnit kontrolu nemocenské, zajistit zdravotní prohlídky atd.), nebo
2. o oprávněný zájem zaměstnavatele (čl. 6 odst. 1 písm. f) – typicky zajištění bezpečnosti na pracovišti, ochrana zdraví ostatních zaměstnanců, kontrola zneužívání sick-days apod.).
3. méně často může jít o souhlas zaměstnance (čl. 6 odst. 1 písm. a), ten ale využívejte jen v případech, kdy opravdu nejde o povinnost či nezbytný krok (např. zaměstnanec dobrovolně sdělí informaci o svém zdravotním omezení, aby mu mohl zaměstnavatel vyjít vstříc – i zde je často spíše podkladem plnění povinnosti nebudete-li ho diskriminovat).
Důležité je nekombinovat nepřehledně více titulů najednou – pro každý účel zpracování zvolte ten nejpřiléhavější a tento důvod uveďte i do záznamů o zpracování a informací pro zaměstnance. Nezapomeňte také na požadavek čl. 9 GDPR, takže ke zvolenému titulu z čl. 6 musíte mít i odpovídající výjimku pro citlivé údaje (viz výše). Například: ukládáte-li potvrzení o pracovní neschopnosti, právním titulem je splnění právní povinnosti (evidence pro ČSSZ) a zvláštní výjimkou je čl. 9 odst. 2 písm. b) GDPR (nezbytné pro plnění povinností v zaměstnanecké oblasti).
Cítíte se v této problematice nejistí? Vyhněte se rizikům a získejte právní jistotu. Pro nezávaznou konzultaci se na nás neváhejte obrátit na office@arws.cz.
Správné získávání a uchovávání souhlasů
Pokud nastane situace, kdy skutečně spoléháte na souhlas zaměstnance se zpracováním zdravotních údajů, dejte si záležet na formě i obsahu. Souhlas musí být výslovný, tedy nejlépe písemný nebo elektronický s podpisem, rozhodně ne konkludentní. Uveďte konkrétně, s jakými údaji a za jakým účelem zaměstnanec souhlasí (např. jednorázové vyšetření biometrických údajů pro dobrovolný zdravotní program).
Souhlas nesmí být schován v pracovní smlouvě nebo VOP – musí jít o samostatný dokument či jasně oddělenou klauzuli.
Také zaměstnance poučte, že souhlas může kdykoli odvolat, a poskytněte mu jednoduchý způsob (např. kontakt na personální oddělení či DPO). Nikdy nepodmiňujte běžné pracovněprávní úkony souhlasem – např. nepovažujte podpis souhlasu za povinný při nástupu. Tím by souhlas ztratil dobrovolnost a neměl by právní platnost.
Evidence udělených souhlasů by měla být pečlivá; ideálně veďte registr souhlasů s údaji, kde zaznamenáte, kdo, kdy a k jakému účelu souhlas udělil, abyste to mohli v případě kontroly doložit.
Nastavení interních procesů k zajištění ochrany dat
Klíčovým praktickým opatřením je zavést v rámci firmy jasná pravidla, kdo a jak smí nakládat se zdravotními údaji zaměstnanců. Zdravotní dokumenty a informace by měly být přístupné pouze omezenému okruhu osob – typicky personalisté, pracovníci mzdového oddělení (kvůli nemocenské) nebo vedoucí pracovník, ale jen v nezbytném rozsahu. Citlivé lékařské zprávy či posudky je vhodné ukládat odděleně od běžné osobní složky zaměstnance, například v zapečetěné obálce či v elektronickém HR systému s omezenými přístupovými právy.
Technické zabezpečení musí odpovídat povaze dat: zdravotní údaje v elektronické podobě by měly být šifrovány nebo alespoň chráněny silným heslem, přístup do složek logován a podmíněn oprávněním. Papírové dokumenty uchovávejte v uzamčených skříních s kontrolou, kdo k nim nahlížel. Jakákoliv digitální evidence zdravotních dat musí být součástí interních bezpečnostních opatření – nedostatečné technické a organizační zabezpečení (např. uchovávání dat v nešifrované podobě, chybějící řízené postupy pro přístup a autentizaci uživatelů) představuje závažné porušení GDPR. Proškolte proto zaměstnance, kteří přicházejí do styku s citlivými údaji, o jejich povinnosti zachovávat mlčenlivost a o správných postupech.
Interní směrnice by měla definovat, jak se zdravotní údaje evidují, kdo schvaluje přístupy, jak se postupuje při žádosti o citlivý údaj (např. kdo smí vidět diagnózu z úrazového protokolu) a co dělat v případě možného incidentu (ztráta dokumentu, neoprávněný přístup atd.).
Nezapomeňte také na povinnost mlčenlivosti – např. pokud má firma vlastního firemního lékaře nebo zdravotníka, musí smluvně zavázat tuhle osobu k utajení informací. V neposlední řadě je vhodné anonymizovat či pseudonymizovat údaje všude tam, kde detailní identifikace není nutná – např. statistikám o nemocnosti stačí agregovaná data bez jmen.
Kdo Vám s tím pomůže:
.png)
.png)
Doba uchovávání zdravotních údajů
GDPR vyžaduje, aby osobní údaje byly uchovávány pouze po nezbytně dlouhou dobu vzhledem k účelu. U zdravotních údajů to platí dvojnásob – firma by je neměla archivovat déle, než je nutné. Nastavte si proto skartační lhůty pro různé typy dokumentů:
- Běžné potvrzení o pracovní neschopnosti či záznam o absenci lze skartovat poté, co uplyne zákonná doba pro případnou kontrolu či promlčení nároků (obvykle několik let). Pro jistotu se často doporučuje uchování 3–4 roky po ukončení pracovního poměru, kvůli možným sporům, poté však data zlikvidovat.
- Lékařské posudky o způsobilosti uchovávejte po dobu trvání pracovního poměru (či platnosti posudku) a zákonem stanovenou dobu poté. Některé předpisy mohou vyžadovat archivaci i několik let po odchodu zaměstnance (např. kvůli případným nárokům z nemoci z povolání).
- Dokumentace o pracovních úrazech a nemocech z povolání, jak uvedeno výše, má zvláštní dlouhou lhůtu – 30 let od vzniku události. Tyto záznamy tedy archivujte odděleně a bezpečně po tuto dobu a teprve pak proveďte skartaci.
- Pokud jste získali souhlas zaměstnance k jednorázové akci (např. screening), a akce proběhla, nemáte důvod data dále držet – ihned po vyhodnocení daného účelu údaje smažte. Pamatujte, že odvolá-li zaměstnanec svůj souhlas, musíte zpracování ukončit a data smazat (pokud nemáte jiný zákonný důvod).
Pro ulehčení lze do interní směrnice nebo spisového a skartačního řádu zahrnout přehled typů dokumentů s osobními údaji zaměstnanců a přiřadit jim lhůty uchování podle právních předpisů či interních potřeb. Po uplynutí dané doby údaje bezpečně zlikvidujte (skartace papírů, výmaz a anonymizace elektronických záznamů). Zabráníte tak zbytečné akumulaci citlivých dat a snížíte riziko, že se k nim někdo dostane neoprávněně v budoucnu.
Máte pochybnosti o správné délce archivace zdravotních záznamů vašich zaměstnanců? Pomůžeme Vám nastavit interní pravidla. Ozvěte se na office@arws.cz.
Typické chyby a jak se jim vyhnout
Ani s nejlepšími úmysly se firmy někdy dopouštějí chyb při zpracování zdravotních údajů zaměstnanců.
Zde jsou čtyři časté přešlapy doplněné příklady z praxe a tipy, jak je eliminovat:
1. Shromažďování zbytečně detailních informací:
Někdy zaměstnavatelé evidují více zdravotních údajů, než skutečně potřebují – například vyžadují po zaměstnanci detailní lékařskou zprávu s diagnózou namísto postačujícího potvrzení o neschopnosti. Tím porušují princip minimalizace a mohou se dopustit protiprávního zpracování citlivých údajů.
Jak se vyhnout: vždy se ptejte, zda danou informaci opravdu musíte znát. Berte jen to, co je nezbytné k naplnění povinnosti (např. datum od-do pracovní neschopnosti). Lékařské detaily (diagnózy, popisy chorob) přenechte lékařům a nevyžadujte je po zaměstnancích.
2. Nejasný nebo neplatný souhlas zaměstnance:
Častou chybou je snaha „pojistit se“ univerzálním souhlasem od zaměstnance, který ale pokrývá velmi široké zpracování (všechny možné údaje) nebo je získán formálně bez skutečné volby. Takový blanketní souhlas je v rozporu s GDPR – není specifický ani svobodný. Navíc zaměstnanec může kdykoli souhlas odvolat, což firmu dostane do obtíží, pokud na něm založila nutné procesy.
Jak se vyhnout: Nespoléhejte na souhlas tam, kde zpracování můžete podepřít jiným právním titulem (zákonná povinnost, oprávněný zájem). Pokud už souhlas potřebujete, formulujte ho úzce pro daný účel a opravdu dejte zaměstnanci možnost volby (žádné sankce či nevýhody, když nesouhlasí). Příklad dobré praxe je dobrovolný zdravotní program – nabídněte zaměstnancům účast, ale nenutťe je. Souhlas archivujte a pravidelně kontrolujte, zda je stále platný a potřebný.
3. Nedostatečné zabezpečení a mlčenlivost:
Sebelepší právní titul nepomůže, pokud firma opomene organizační a technická opatření k ochraně dat. V praxi se vyskytly případy, kdy citlivé složky s údaji o zaměstnancích byly volně přístupné většímu okruhu lidí kvůli chybné konfiguraci systému – to se stalo např. v kauze H&M, kde se interní záznamy o zdraví a soukromí zaměstnanců dočasně zpřístupnily celému podniku, což následně vedlo k rekordní pokutě.
Jak se vyhnout: Zaveďte striktní přístupová práva – k zdravotním datům se dostanou jen pověřené osoby. Šifrujte soubory a používejte zabezpečené úložiště. Důsledně interně komunikujte, že zdravotní informace jsou důvěrné. Každý, kdo s nimi pracuje, by měl být vázán mlčenlivostí. Provádějte pravidelné audity, zda nedochází k neoprávněnému přístupu. V případě IT systémů dbejte na aktualizace a bezpečnostní prvky (šifrování, dvoufaktorové ověřování, logování přístupů). Předejdete tak únikům a zneužití dat.
4. Zneužití zdravotních údajů k nesprávným účelům:
Úplně nejzávažnější je situace, kdy zaměstnavatel získané citlivé údaje využívá proti zaměstnancům nebo k diskriminačním rozhodnutím. Například zmíněná kauza v Berlíně odhalila, že firma vedla seznam „kritických“ zaměstnanců na základě psychických onemocnění a dalších osobních informací, a používala jej při propouštění. To je hrubé porušení zákona i etiky – GDPR jasně stanoví, že zdravotní data nelze zpracovávat za účelem neoprávněného posuzování či diskriminace zaměstnanců.
Jak se vyhnout: Nastavte v organizační kultuře nulovou toleranci k jakémukoli zneužití osobních dat. Údaje o zdraví slouží výhradně ke zákonným účelům (např. ochrana zdraví, plnění povinností) a nikdy ne k rozhodování, kdo dostane přidáno, povýší nebo bude propuštěn, pokud to s danou informací přímo nesouvisí.
Rozhodnutí o pracovních záležitostech musí být založena na výkonnosti, kvalifikaci a objektivních kritériích – nikdy ne na tom, že někdo má zdravotní potíže či třeba pečuje o nemocného člena rodiny. Projděte si interní procesy (nábor, hodnocení, ukončování pracovního poměru) a ujistěte se, že v nich nejsou zahrnuty žádné otázky či kritéria týkající se zdraví, jež by neměla oporu v povinnostech zaměstnavatele.
Pokud si nejste jisti, zda je ve vašem případě vhodnější plnění právní povinnosti nebo souhlas, rádi Vaši situaci individuálně posoudíme. Napište nám na office@arws.cz.
FAQ – Nejčastější právní dotazy ke zpracování zdravotních dat zaměstnanců
1. Může zaměstnavatel po zaměstnanci vyžadovat sdělení diagnózy na neschopence?
Ne, zaměstnavatel na to nemá právo. Pro účely omluvení absence a administrace dávek mu plně postačuje informace o tom, že pracovní neschopnost vznikla, trvá a kdy skončila. Samotná diagnóza je vysoce citlivý údaj, který ke svým účelům nepotřebuje a nesmí jej vyžadovat. Pokud si nejste jisti, jaké dokumenty můžete od zaměstnanců vyžadovat, kontaktujte nás na office@arws.cz.
2. Jaké informace o zdraví smíme zjišťovat u uchazeče o zaměstnání před nástupem?
Informace o zdravotním stavu můžete zjišťovat pouze v rozsahu, který je nezbytně nutný pro posouzení způsobilosti k výkonu dané práce. Tento rozsah je vymezen v rámci vstupní pracovnělékařské prohlídky, jejíž obsah a povinnost se odvíjí od kategorie a rizikovosti práce. Plošné a obecné dotazy na zdravotní stav v dotaznících jsou nepřípustné. Pro revizi náborových procesů se na nás neváhejte obrátit na office@arws.cz.
3. Jak dlouho můžeme archivovat lékařské posudky bývalých zaměstnanců?
Lékařské posudky a související dokumentaci musíte uchovávat po dobu stanovenou specifickými právními předpisy (např. zákon o specifických zdravotních službách). Po uplynutí těchto zákonných archivačních lhůt je vaší povinností zajistit jejich bezpečnou a nevratnou likvidaci. S nastavením interních pravidel pro archivaci a skartaci vám rádi pomůžeme. Napište nám na office@arws.cz.
4. Co dělat, když zaměstnanec požádá o výpis veškerých zdravotních údajů, které o něm vedeme?
Jedná se o uplatnění práva na přístup dle článku 15 GDPR. Jste povinni mu bez zbytečného odkladu (nejpozději do jednoho měsíce) poskytnout kopii zpracovávaných údajů a zároveň ho informovat o účelu, právním základu, době uchování a jeho dalších právech. Řešíte takovou žádost a potřebujete si být jisti správným postupem? Kontaktujte nás na office@arws.cz.
5. Můžeme v souvislosti s BOZP sledovat zdravotní stav zaměstnanců nad rámec zákonných prohlídek?
Jakékoli další sledování (např. měření teploty, testování) je možné pouze tehdy, pokud je to nezbytné pro ochranu veřejného zdraví nebo ochranu zdraví ostatních zaměstnanců a existuje pro to opora v právním předpise (např. mimořádná opatření Ministerstva zdravotnictví). Zpracování musí být vždy přiměřené a co nejméně invazivní. Pokud řešíte podobnou situaci, probereme vaše možnosti na office@arws.cz.
Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.
.png)
.png)