Organizowanie szkoleń BHP
Wyróżniamy dwa podstawowe modele organizacji szkoleń dla pracowników przy współpracy z zewnętrznymi firmami: zamknięte i otwarte.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Z kolei przez szkolenia otwarte rozumie się szkolenia organizowane w całości przez zewnętrzny podmiot – takie szkolenia nie są dedykowane pracownikom jednej tylko firmy, a zapisać może się tak naprawdę każdy. Wówczas dane najczęściej pozyskiwane są bezpośrednio od pracownika bądź przy niewielkim udziale pracodawcy (przykładowo pracodawca opłacając szkolenie dla paru swoich pracowników, przekazuje firmie informację o ich liczbie i – siłą rzeczy – ich miejscu zatrudnienia, natomiast wszelkie dane niezbędne do uzyskania zaświadczenia pracownik przekazuje samodzielnie). To po stronie firmy szkoleniowej leżą wówczas wszelkie kwestie organizacyjne, w tym te związane z tym, jakie dane osobowe uczestników przetwarzać, jak je przechowywać, komu udostępniać czy po jakim czasie usuwać. W tym modelu firma szkoleniowa będzie odrębnymi administratorem danych uczestników szkoleń.
Uwaga:
Zakres danych niezbędnych do wystawienia zaświadczenia o ukończonym szkoleniu BHP to: imię, nazwisko, data urodzenia i typ zajmowanego stanowiska (robotnicze, administracyjno-biurowe itp.). Ani pracodawca, ani firma szkoleniowa nie powinna żądać od pracownika podania miejsca urodzenia (w zwiazku z nowelizacją art. 221 Kodeksu pracy).
Osoba do kontaktu w razie wypadku
Obowiązek zbierania danych osoby do kontaktu w razie wypadku pracownika nie wynika z żadnych przepisów prawa. Wzorcowy kwestionariusz osobowy dla pracownika opublikowany przez Ministerstwo Rodziny, Pracy i Polityki Społecznej może wprowadzać w błąd, sugerując, że dane takiej osoby możemy przetwarzać, „jeśli pracownik wyrazi zgodę na podanie danych takiej osoby” (patrz: pkt 10 kwestionariusza). Przypominamy, że art. 6 ust. 1 lit. a RODO mówi o zgodzie osoby, której dane dotyczą – czyli w tym przypadku męża/żony/rodzica/przyjaciela pracownika.
Najbardziej odpowiednią podstawą prawną przetwarzania takich danych wydaje się art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes realizowany przez administratora lub stronę trzecią. i choć naturalnym wyborem byłby art. 6 ust. 1 lit. d RODO, czyli ochrona żywotnych interesów osoby trzeciej (przetwarzamy dane osoby do kontaktu, aby chronić żywotne interesy pracownika, który uległby wypadkowi), to motyw 46 preambuły do RODO stanowi, że „Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej”. Czy w analizowanej sytuacji ewidentnie nie da się oprzeć przetwarzania na art. 6 ust. 1 lit. f RODO? Trudno to założyć, stąd (niejako dla bezpieczeństwa,) rekomendowaną podstawą prawną przetwarzania danych osoby do kontaktu w razie wypadku jest prawnie uzasadniony interes.
Wypadki i postępowania powypadkowe a RODO
Przy wypadkach przy pracy dochodzi co do zasady do przetwarzania danych dwóch grup osób: pracowników, czyli ofiar wypadków (ewentualnie członków rodziny pracownika), oraz świadków zdarzenia, którymi nie zawsze muszą być pracownicy. Dane jednych i drugich z oczywistych powodów możemy przetwarzać, różnica natomiast może polegać na podstawie prawnej, w oparciu o którą dojdzie do przetwarzania. W przypadku osób, które uległy wypadkowi bez wątpienia przetwarzanie powinniśmy oprzeć na obowiązku prawnym ciążącym na administratorze, tj. art. 6 ust. 1 lit. c RODO – przy danych zwykłych oraz art. 9 ust. 2 lit. b RODO – w odniesieniu do danych wrażliwych, w tym chociażby dokumentacji medycznej ze szpitala (mowa o obowiązku prawnym wynikającym z art. 234 § 1 Kodeksu pracy, doprecyzowany w Rozporządzeniu Ministra Rodziny, Pracy i Polityki Społecznej z dnia 24 maja 2019 r. w sprawie wzoru protokołu ustalenia okoliczności i przyczyn wypadku przy pracy).
Na jakiej podstawie prawnej przetwarzamy w takim razie dane osobowe świadków wypadku przy pracy? z jednej strony powołanie się na art. 6 ust. 1 lit. c RODO – analogicznie jak w przypadku ofiar wypadków – wydaje się rozwiązaniem słusznym, natomiast wątpliwości dotyczą faktu, że pozyskiwanie danych świadków nie jest wprost uregulowane w przepisach, a wynika z nich pośrednio. Tak samo przepisy żadnej rangi nie regulują, jakich danych można od świadka żądać. Zespół powypadkowy podczas ustalania okoliczności i przyczyn wypadku zbiera informacje od świadków zdarzenia, które to stanowią najczęściej załącznik do protokołu powypadkowego (wzór protokołu powypadkowego określa wyżej wskazane rozporządzenie, natomiast sam protokół w żaden sposób nie uwzględnia świadków wypadku).
Niektórzy administratorzy (pracodawcy) decydują się oprzeć w takiej sytuacji przetwarzanie danych świadka o przesłankę prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO), co zasługuje na aprobatę. Zwłaszcza w świetle stanowiska Urzędu Ochrony Danych Osobowych wyrażonego w jednej z decyzji Prezesa UODO, zgodnie z którą „ma to być interes prawnie usprawiedliwiony, a zatem taki, który znajduje uzasadnienie w konkretnych przepisach prawa" – gdzie Kodeks pracy zdecydowanie takim prawnym uzasadnieniem jest. Ostatnia opcja to zgoda, czyli art. 6 ust. 1 lit. a RODO – nie rekomendujemy jej jednak z uwagi na dużą szansę, że trudno będzie udowodnić jej dobrowolny charakter.
W kontekście powyższego zwracamy uwagę na konieczność spełnienia obowiązku informacyjnego w stosunku do wszystkich osób, których dane są pozyskiwane – od pracowników, przez ich członków rodzin, po świadków wypadku niebędących pracownikami administratora danych. Odpowiednio skonstruowana klauzula informacyjna mogłaby się znaleźć przykładowo w protokole ustalenia okoliczności i przyczyn wypadku przy pracy (dedykowana ofiarom wypadku i członkom ich rodzin) czy w obowiązującym w organizacji wzorze dokumentu informacji świadka wypadku.
Inspektor/specjalista ds. BHP w organizacji – upoważnienie czy powierzenie?
W zależności od tego, czy w zakładzie pracy zatrudniony jest specjalista ds. BHP, czy pracodawca korzysta z usług zewnętrznych ekspertów, inaczej powinno zostać uregulowane dopuszczenie danej osoby do przetwarzania danych osobowych, których administratorem jest pracodawca. Etatowy pracownik wykonujący obowiązki z zakresu BHP powinien zostać upoważniony przez administratora do przetwarzania danych osobowych do tego niezbędnych (uwaga: należy pamiętać, że upoważnienie do przetwarzania danych wrażliwych musi zostać udzielone na piśmie – zgodnie z art. 221b § 3 Kodeksu pracy). Zewnętrzne firmy, do których pracodawca outsourcuje kwestie związane z BHP co do zasady będą pełnić funkcję podmiotów przetwarzających, a więc rozpoczęcie współpracy z nimi będzie nierozerwalnie związane z koniecznością zawarcia umowy powierzenia. Wyjątkiem mogą być osoby spoza organizacji (np. prowadzące jednoosobowe działalności gospodarcze), które wykonują swoje obowiązki „jak pracownicy”, działając na sprzęcie administratora i zgodnie z jego instrukcjami – wówczas upoważnienie można uznać za wystarczające.
Lista osób upoważnionych do udzielania pierwszej pomocy
Zgodnie z art. 2071 § 1 pkt 3 „Pracodawca jest obowiązany przekazywać pracownikom informacje o pracownikach wyznaczonych do udzielania pierwszej pomocy i wykonywania działań w zakresie zwalczania pożarów i ewakuacji pracowników”. Co więcej, § 2 tego art. precyzuje, o jakie dane chodzi: imię, nazwisko, miejsce wykonywania pracy i numer telefonu służbowego lub innego środka komunikacji elektronicznej. Udostępnienie takich danych w łatwo dostępnych miejscach z zakładzie, aby w razie potrzeby sprawnie można było do nich dotrzeć i powiadomić odpowiednie osoby, jest niezbędne, aby zapewnić pracownikom bezpieczeństwo. To ono ma tu wartość nadrzędną nad ochroną danych osobowych osób upoważnionych, stąd nie dajmy się „zwariować” i zamiast udostępniać taką listę na piśmie każdemu z osobna, wywieśmy ją w odpowiednich do tego miejscach w zakładzie pracy.
Jakie informacje uwzględnić w klauzuli informacyjnej dla pracowników w związku z BHP?
Praktyczny kurs IOD
potwierdzi Twoje wysokie kompetencje
Rekomendujemy również szczególną uwagę poświęcić katalogowi odbiorców (lub ich kategorii), których wskazanie jest obligatoryjnym elementem każdej klauzuli informacyjnej. z jednej strony takimi odbiorcami mogą być zewnętrzne firmy szkoleniowe czy wspierające pracodawcę w wykonywaniu obowiązków związanych z BHP, a z drugiej choćby Zakład Ubezpieczeń Społecznych.
Czy na tym możemy poprzestać?
Zagadnienia związane z ochroną danych osobowych w dziale BHP oczywiście nie ograniczają się do podniesionych wyżej kwestii. Przetwarzaniu danych osobowych w ramach wstępnych/okresowych badań lekarskich, badania trzeźwości pracowników, monitoringu w kontekście przepisów o bezpieczeństwie i higienie pracy czy w związku z zatrudnianiem pracowników tymczasowych można by poświęcić kolejny artykuł. Proces przetwarzania danych w ramach zatrudnienia jest nie tylko kluczowy z punktu widzenia działania organizacji, ale przez sam swój charakter i szeroki zakres zbieranych w nim (często newralgicznych) danych pracowników niesie za sobą duże ryzyko błędu administratora danych, który w konsekwencji może sprowadzić na administratora kontrolę Prezesa UODO. W tej sytuacji nie pomaga także, że Państwowa Inspekcja Pracy również posiada uprawnienia do kontroli kwestii związanych z ochroną danych osobowych, a znajdujących odzwierciedlenie w przepisach prawa pracy (w tym przepisach i zasadach bezpieczeństwa i higieny pracy – zgodnie z art. 10 ust. 1 pkt 1) ustawa o Państwowej Inspekcji Pracy), a widmo kontroli PIP-u jest znacznie wyraźniejsze niż kontroli Prezesa UODO.
Masz jeszcze kilka pytań dotyczących RODO? Cezary Lutyński, nasz specjalista ds. ochrony danych udzieli Ci pełnych informacji i rozwieje Twoje wątpliwości. Skontaktuj się z nim już teraz!