RODO w BHP

Organizowanie szkoleń BHP

Wyróżniamy dwa podstawowe modele organizacji szkoleń dla pracowników przy współpracy z zewnętrznymi firmami: zamknięte i otwarte.

Szkolenia zamknięte polegają na skierowaniu przez podmiot specjalizujący się w szkoleniach BHP trenera, aby ten przeszkolił konkretną grupę osób wyznaczonych przez pracodawcę. W takiej sytuacji to pracodawca, jako administrator danych zatrudnianych przez siebie osób, decyduje o celu (a celem jest przeszkolenie pracowników z zakresu BHP) oraz o sposobie przetwarzania ich danych osobowych (m.in. poprzez wybór firmy, która takie szkolenie ma przeprowadzić). Po przeprowadzonym szkoleniu przydałyby się zaświadczenia o odbyciu szkolenia, których zewnętrzna firma z oczywistych powodów nie dostarczy, jeśli nie będzie dysponować danymi osobowymi pracowników biorących udział w szkoleniu.  i w tym miejscu właśnie pojawia nam się stosunek powierzenia: pracodawca (czyli administrator danych) przekazuje (czyli powierza) firmie szkoleniowej (jako podmiotowi przetwarzającemu) dane swoich pracowników, aby ta przetwarzała je w imieniu i na rzecz pracodawcy, zgodnie z jego instrukcjami. Stosunek ten powinien zostać uregulowany umową powierzenia, zawierającą wskazane w art. 28 RODO elementy.

Z kolei przez szkolenia otwarte rozumie się szkolenia organizowane w całości przez zewnętrzny podmiot – takie szkolenia nie są dedykowane pracownikom jednej tylko firmy, a zapisać może się tak naprawdę każdy. Wówczas dane najczęściej pozyskiwane są bezpośrednio od pracownika bądź przy niewielkim udziale pracodawcy (przykładowo pracodawca opłacając szkolenie dla paru swoich pracowników, przekazuje firmie informację o ich liczbie i – siłą rzeczy – ich miejscu zatrudnienia, natomiast wszelkie dane niezbędne do uzyskania zaświadczenia pracownik przekazuje samodzielnie). To po stronie firmy szkoleniowej leżą wówczas wszelkie kwestie organizacyjne, w tym te związane z tym, jakie dane osobowe uczestników przetwarzać, jak je przechowywać, komu udostępniać czy po jakim czasie usuwać. W tym modelu firma szkoleniowa będzie odrębnymi administratorem danych uczestników szkoleń.

Uwaga:
Zakres danych niezbędnych do wystawienia zaświadczenia o ukończonym szkoleniu BHP to: imię, nazwisko, data urodzenia i typ zajmowanego stanowiska (robotnicze, administracyjno-biurowe itp.). Ani pracodawca, ani firma szkoleniowa nie powinna żądać od pracownika podania miejsca urodzenia (w zwiazku z nowelizacją art. 22¹ Kodeksu pracy).

Osoba do kontaktu w razie wypadku

Obowiązek zbierania danych osoby do kontaktu w razie wypadku pracownika nie wynika z żadnych przepisów prawa. Wzorcowy kwestionariusz osobowy dla pracownika opublikowany przez Ministerstwo Rodziny, Pracy i Polityki Społecznej może wprowadzać w błąd, sugerując, że dane takiej osoby możemy przetwarzać, „jeśli pracownik wyrazi zgodę na podanie danych takiej osoby” (patrz: pkt 10 kwestionariusza). Przypominamy, że art. 6 ust. 1 lit. a RODO mówi o zgodzie osoby, której dane dotyczą – czyli  w tym przypadku męża/żony/rodzica/przyjaciela pracownika.

Najbardziej odpowiednią podstawą prawną przetwarzania takich danych wydaje się art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes realizowany przez administratora lub stronę trzecią. i choć naturalnym wyborem byłby art. 6 ust. 1 lit. d RODO, czyli ochrona żywotnych interesów osoby trzeciej (przetwarzamy dane osoby do kontaktu, aby chronić żywotne interesy pracownika, który uległby wypadkowi), to motyw 46 preambuły do RODO stanowi, że „Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej”. Czy w analizowanej sytuacji ewidentnie nie da się oprzeć przetwarzania na art. 6 ust. 1 lit. f RODO? Trudno to założyć, stąd (niejako dla bezpieczeństwa,) rekomendowaną podstawą prawną przetwarzania danych osoby do kontaktu w razie wypadku jest prawnie uzasadniony interes.

Wypadki i postępowania powypadkowe a RODO

Przy wypadkach przy pracy dochodzi co do zasady do przetwarzania danych dwóch grup osób: pracowników, czyli ofiar wypadków (ewentualnie członków rodziny pracownika), oraz świadków zdarzenia, którymi nie zawsze muszą być pracownicy. Dane jednych i drugich z oczywistych powodów możemy przetwarzać, różnica natomiast może polegać na podstawie prawnej, w oparciu o którą dojdzie do przetwarzania. W przypadku osób, które uległy wypadkowi bez wątpienia przetwarzanie powinniśmy oprzeć na obowiązku prawnym ciążącym na administratorze, tj. art. 6 ust. 1 lit. c RODO – przy danych zwykłych oraz art. 9 ust. 2 lit. b RODO – w odniesieniu do danych wrażliwych, w tym chociażby dokumentacji medycznej ze szpitala (mowa o obowiązku prawnym wynikającym z art. 234 § 1 Kodeksu pracy, doprecyzowany w Rozporządzeniu Ministra Rodziny, Pracy i Polityki Społecznej z dnia 24 maja 2019 r. w sprawie wzoru protokołu ustalenia okoliczności i przyczyn wypadku przy pracy).

Na jakiej podstawie prawnej przetwarzamy w takim razie dane osobowe świadków wypadku przy pracy? z jednej strony powołanie się na art. 6 ust. 1 lit. c RODO – analogicznie jak w przypadku ofiar wypadków – wydaje się rozwiązaniem słusznym, natomiast wątpliwości dotyczą faktu, że pozyskiwanie danych świadków nie jest wprost uregulowane w przepisach, a wynika z nich pośrednio. Tak samo przepisy żadnej rangi nie regulują, jakich danych można od świadka żądać. Zespół powypadkowy podczas ustalania okoliczności i przyczyn wypadku zbiera informacje od świadków zdarzenia, które to stanowią najczęściej załącznik do protokołu powypadkowego (wzór protokołu powypadkowego określa wyżej wskazane rozporządzenie, natomiast sam protokół w żaden sposób nie uwzględnia świadków wypadku).

Niektórzy administratorzy (pracodawcy) decydują się oprzeć w takiej sytuacji przetwarzanie danych świadka o przesłankę prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO), co zasługuje na aprobatę. Zwłaszcza w świetle stanowiska Urzędu Ochrony Danych Osobowych wyrażonego w jednej z decyzji Prezesa UODO, zgodnie z którą „ma to być interes prawnie usprawiedliwiony, a zatem taki, który znajduje uzasadnienie w konkretnych przepisach prawa" – gdzie Kodeks pracy zdecydowanie takim prawnym uzasadnieniem jest. Ostatnia opcja to zgoda, czyli art. 6 ust. 1 lit. a RODO – nie rekomendujemy jej jednak z uwagi na dużą szansę, że trudno będzie udowodnić jej dobrowolny charakter.

W kontekście powyższego zwracamy uwagę na konieczność spełnienia obowiązku informacyjnego w stosunku do wszystkich osób, których dane są pozyskiwane – od pracowników, przez ich członków rodzin, po świadków wypadku niebędących pracownikami administratora danych. Odpowiednio skonstruowana klauzula informacyjna mogłaby się znaleźć przykładowo w protokole ustalenia okoliczności i przyczyn wypadku przy pracy (dedykowana ofiarom wypadku i członkom ich rodzin) czy w obowiązującym w organizacji wzorze dokumentu informacji świadka wypadku.

Inspektor/specjalista ds. BHP w organizacji – upoważnienie czy powierzenie?

W zależności od tego, czy w zakładzie pracy zatrudniony jest specjalista ds. BHP, czy pracodawca korzysta z usług zewnętrznych ekspertów, inaczej powinno zostać uregulowane dopuszczenie danej osoby do przetwarzania danych osobowych, których administratorem jest pracodawca. Etatowy pracownik wykonujący obowiązki z zakresu BHP powinien zostać upoważniony przez administratora do przetwarzania danych osobowych do tego niezbędnych (uwaga: należy pamiętać, że upoważnienie do przetwarzania danych wrażliwych musi zostać udzielone na piśmie – zgodnie z art. 22^1b § 3 Kodeksu pracy). Zewnętrzne firmy, do których pracodawca outsourcuje kwestie związane z BHP co do zasady będą pełnić funkcję podmiotów przetwarzających, a więc rozpoczęcie współpracy z nimi będzie nierozerwalnie związane z koniecznością zawarcia umowy powierzenia. Wyjątkiem mogą być osoby spoza organizacji (np. prowadzące jednoosobowe działalności gospodarcze), które wykonują swoje obowiązki „jak pracownicy”, działając na sprzęcie administratora i zgodnie z jego instrukcjami – wówczas upoważnienie można uznać za wystarczające.

Lista osób upoważnionych do udzielania pierwszej pomocy

Zgodnie z art. 207¹ § 1 pkt 3 „Pracodawca jest obowiązany przekazywać pracownikom informacje o pracownikach wyznaczonych do udzielania pierwszej pomocy i wykonywania działań w zakresie zwalczania pożarów i ewakuacji pracowników”. Co więcej, § 2 tego art. precyzuje, o jakie dane chodzi: imię, nazwisko, miejsce wykonywania pracy i numer telefonu służbowego lub innego środka komunikacji elektronicznej. Udostępnienie takich danych w łatwo dostępnych miejscach z zakładzie, aby w razie potrzeby sprawnie można było do nich dotrzeć i powiadomić odpowiednie osoby, jest niezbędne, aby zapewnić pracownikom bezpieczeństwo. To ono ma tu wartość nadrzędną nad ochroną danych osobowych osób upoważnionych, stąd nie dajmy się „zwariować” i zamiast udostępniać taką listę na piśmie każdemu z osobna, wywieśmy ją w odpowiednich do tego miejscach w zakładzie pracy.

Jakie informacje uwzględnić w klauzuli informacyjnej dla pracowników w związku z BHP?

RODO wcale nie nakłada na pracodawców obowiązku przedstawiania pracownikom klauzuli informacyjnej przy każdorazowym zbieraniu od nich danych. Umiejętnie skonstruowana klauzula przedstawiona na odpowiednim etapie może pozwolić pracodawcy zrobić to raz, a skutecznie (np. pod kwestionariuszem osobowym dla pracownika). Ważne, aby uwzględniała wszystkie konieczne aspekty. Przede wszystkim na pewno powinna zawierać podstawy prawne w postaci wskazanych już wcześniej art. 6 ust. 1 lit. c RODO oraz art. 9 ust. 2 lit. b RODO. Dalej, koniecznie musimy uwzględnić okres przechowywania dokumentacji związanej z BHP. o ile wiele danych pracownika będzie przetwarzane przez okresy przechowywania dokumentacji prawniczej (które wynikają z art. 94 pkt 9b Kodeksu pracy oraz art. 125a ustawy emeryturach i rentach z Funduszu Ubezpieczeń Społecznych i wynoszą 10 lub 50 lat), o tyle pamiętajmy tu również o wyjątkach. Przykładowo art. 234 § 3 Kodeksu pracy nakłada na pracodawcę obowiązek przechowywania protokołu ustalenia okoliczności i przyczyn wypadku przy pracy wraz z pozostałą dokumentacją powypadkową przez 10 lat (co oczywiście ma znaczenie raczej w stosunku do pracowników, których dane musimy przechowywać na „starych” zasadach, tj. przez 50 lat).

Rekomendujemy również szczególną uwagę poświęcić katalogowi odbiorców (lub ich kategorii), których wskazanie jest obligatoryjnym elementem każdej klauzuli informacyjnej. z jednej strony takimi odbiorcami mogą być zewnętrzne firmy szkoleniowe czy wspierające pracodawcę w wykonywaniu obowiązków związanych z BHP, a z drugiej choćby Zakład Ubezpieczeń Społecznych.

Czy na tym możemy poprzestać?

Zagadnienia związane z ochroną danych osobowych w dziale BHP oczywiście nie ograniczają się do podniesionych wyżej kwestii. Przetwarzaniu danych osobowych w ramach wstępnych/okresowych badań lekarskich, badania trzeźwości pracowników, monitoringu w kontekście przepisów o bezpieczeństwie i higienie pracy czy w związku z zatrudnianiem pracowników tymczasowych można by poświęcić kolejny artykuł. Proces przetwarzania danych w ramach zatrudnienia jest nie tylko kluczowy z punktu widzenia działania organizacji, ale przez sam swój charakter i szeroki zakres zbieranych w nim (często newralgicznych) danych pracowników niesie za sobą duże ryzyko błędu administratora danych, który w konsekwencji może sprowadzić na administratora kontrolę Prezesa UODO. W tej sytuacji nie pomaga także, że Państwowa Inspekcja Pracy również posiada uprawnienia do kontroli kwestii związanych z ochroną danych osobowych, a znajdujących odzwierciedlenie w przepisach prawa pracy (w tym przepisach i zasadach bezpieczeństwa i higieny pracy – zgodnie z art. 10 ust. 1 pkt 1) ustawa o Państwowej Inspekcji Pracy), a widmo kontroli PIP-u jest znacznie wyraźniejsze niż kontroli Prezesa UODO.

Masz jeszcze kilka pytań dotyczących RODO? Cezary Lutyński, nasz specjalista ds. ochrony danych udzieli Ci pełnych informacji i rozwieje Twoje wątpliwości. Skontaktuj się z nim już teraz!