Czy audyt RODO jest obowiązkowy?

Dane osobowe w BHP: Co musisz wiedzieć?

29/06/2025

Rating: 4.02 (8575 votes)

Bezpieczeństwo i higiena pracy (BHP) to kluczowy aspekt funkcjonowania każdej organizacji. Wraz z nim nieodłącznie wiąże się przetwarzanie danych osobowych pracowników. W dzisiejszym artykule przyjrzymy się bliżej temu, jakie dane osobowe przetwarza BHP, jakie są podstawy prawne tego przetwarzania w kontekście RODO oraz na co należy zwrócić szczególną uwagę, aby działać zgodnie z przepisami.

Jakie są trzy rodzaje audytu środowiskowego?
Są to audyty zgodności, funkcjonalne i zarządzania . Audyty zgodności środowiskowej, koncentrują się na określeniu zgodności z konkretną i zdefiniowaną listą kontrolną. Audyty zgodności oceniają i weryfikują aspekty związane z organizacją lub podejmowane przez nią w odniesieniu do określonego celu.
Spis treści

Szkolenia BHP a dane osobowe

Organizacja szkoleń BHP jest nieodzownym elementem zapewnienia bezpieczeństwa w miejscu pracy. Wyróżniamy dwa główne modele organizacji szkoleń: szkolenia zamknięte i szkolenia otwarte. Oba modele różnią się podejściem do przetwarzania danych osobowych.

Szkolenia zamknięte

Szkolenia zamknięte organizowane są na zlecenie konkretnego pracodawcy dla jego pracowników. W tym modelu, to pracodawca, jako administrator danych, decyduje o celu i sposobie przetwarzania danych osobowych pracowników. Celem jest oczywiście przeszkolenie pracowników z zakresu BHP. Pracodawca wybiera firmę szkoleniową, której powierza przeprowadzenie szkolenia. Aby firma szkoleniowa mogła wystawić zaświadczenia o ukończeniu szkolenia, pracodawca powierza jej dane osobowe pracowników. To powierzenie danych powinno być uregulowane umową powierzenia przetwarzania danych, która musi zawierać elementy wymienione w art. 28 RODO. Zakres powierzanych danych osobowych zazwyczaj obejmuje: imię, nazwisko, datę urodzenia i typ zajmowanego stanowiska.

Szkolenia otwarte

Szkolenia otwarte są organizowane przez zewnętrzne firmy szkoleniowe i są dostępne dla każdego. W tym przypadku firma szkoleniowa działa jako odrębny administrator danych. Dane osobowe uczestników szkoleń pozyskiwane są bezpośrednio od pracowników lub z niewielkim udziałem pracodawcy (np. pracodawca opłaca szkolenie i informuje firmę o liczbie pracowników). Firma szkoleniowa sama decyduje o zakresie przetwarzanych danych, sposobie ich przechowywania i usuwania. Zakres danych niezbędnych do wystawienia zaświadczenia o ukończeniu szkolenia BHP jest podobny jak w przypadku szkoleń zamkniętych: imię, nazwisko, data urodzenia i typ zajmowanego stanowiska.

Ważne: Zarówno w szkoleniach zamkniętych, jak i otwartych, nie należy żądać od pracownika podawania miejsca urodzenia, zgodnie z nowelizacją art. 221 Kodeksu pracy.

Osoba do kontaktu w razie wypadku – prawnie uzasadniony interes

Często pracodawcy zbierają dane osoby do kontaktu w razie wypadku. Choć obowiązek ten nie wynika wprost z przepisów prawa, to jest to praktyka uzasadniona troską o bezpieczeństwo pracowników. Wzorcowy kwestionariusz osobowy sugeruje możliwość przetwarzania tych danych za zgodą pracownika. Jednak, w kontekście RODO, bardziej odpowiednią podstawą prawną jest prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO). Chociaż ochrona żywotnych interesów osoby trzeciej (art. 6 ust. 1 lit. d RODO) mogłaby się wydawać naturalną podstawą, motyw 46 preambuły RODO wskazuje, że powinna być ona stosowana tylko, gdy nie ma innej podstawy prawnej. W tym przypadku, prawnie uzasadniony interes pracodawcy w zapewnieniu bezpieczeństwa pracownikom wydaje się wystarczającą i bezpieczniejszą podstawą prawną.

Wypadki przy pracy i postępowania powypadkowe a RODO

W przypadku wypadków przy pracy dochodzi do przetwarzania danych osobowych zarówno ofiar wypadków, jak i świadków zdarzenia. W przypadku ofiar wypadków, podstawą prawną przetwarzania danych jest obowiązek prawny ciążący na administratorze (art. 6 ust. 1 lit. c RODO dla danych zwykłych i art. 9 ust. 2 lit. b RODO dla danych wrażliwych, takich jak dokumentacja medyczna). Obowiązek ten wynika z art. 234 § 1 Kodeksu pracy i Rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej w sprawie wzoru protokołu ustalenia okoliczności i przyczyn wypadku przy pracy.

W przypadku świadków wypadku, sytuacja jest nieco bardziej złożona. Przepisy nie regulują wprost pozyskiwania danych od świadków, ale jest to praktyka niezbędna do ustalenia okoliczności wypadku. Niektórzy pracodawcy opierają przetwarzanie danych świadków na prawnie uzasadnionym interesie administratora (art. 6 ust. 1 lit. f RODO), co jest akceptowane przez Urząd Ochrony Danych Osobowych (UODO). Alternatywą jest zgoda świadka (art. 6 ust. 1 lit. a RODO), ale jest ona mniej rekomendowana ze względu na trudność w udowodnieniu jej dobrowolności.

Obowiązek informacyjny: Niezależnie od podstawy prawnej, pracodawca ma obowiązek informacyjny wobec wszystkich osób, których dane są przetwarzane w związku z wypadkiem – ofiar wypadku, członków ich rodzin i świadków zdarzenia.

Inspektor/specjalista ds. BHP – upoważnienie czy powierzenie?

Sposób dopuszczenia specjalisty ds. BHP do przetwarzania danych osobowych zależy od formy współpracy. Pracownik etatowy powinien otrzymać od administratora upoważnienie do przetwarzania danych osobowych. Upoważnienie do przetwarzania danych wrażliwych musi być udzielone na piśmie (art. 221b § 3 Kodeksu pracy). W przypadku firm zewnętrznych świadczących usługi BHP, co do zasady mamy do czynienia z powierzeniem przetwarzania danych. Wymagana jest umowa powierzenia. Wyjątkiem mogą być osoby prowadzące jednoosobową działalność gospodarczą, które działają „jak pracownicy” – w takim przypadku upoważnienie może być wystarczające.

Lista osób upoważnionych do udzielania pierwszej pomocy

Art. 2071 § 1 pkt 3 Kodeksu pracy nakłada na pracodawcę obowiązek informowania pracowników o osobach wyznaczonych do udzielania pierwszej pomocy. § 2 tego artykułu precyzuje, że chodzi o imię, nazwisko, miejsce wykonywania pracy i numer telefonu służbowego lub innego środka komunikacji elektronicznej. Udostępnienie tych danych w widocznym miejscu w zakładzie pracy jest niezbędne dla zapewnienia bezpieczeństwa pracowników. W tym przypadku, bezpieczeństwo ma wartość nadrzędną nad ochroną danych osobowych. Dlatego dopuszczalne jest wywieszenie listy osób upoważnionych w widocznym miejscu, zamiast indywidualnego informowania każdego pracownika.

Klauzula informacyjna dla pracowników w kontekście BHP

RODO nie wymaga przedstawiania klauzuli informacyjnej przy każdym zbieraniu danych. Umiejętnie skonstruowana klauzula, przedstawiona na odpowiednim etapie (np. pod kwestionariuszem osobowym), może być wystarczająca. Klauzula powinna zawierać podstawy prawne przetwarzania danych (art. 6 ust. 1 lit. c RODO i art. 9 ust. 2 lit. b RODO), okres przechowywania dokumentacji BHP (z uwzględnieniem wyjątków, np. 10 lat dla dokumentacji powypadkowej) oraz kategorie odbiorców danych (np. firmy szkoleniowe, ZUS).

Podsumowanie i inne aspekty

Kwestie ochrony danych osobowych w dziale BHP są szerokie i nie ograniczają się jedynie do omówionych zagadnień. Przetwarzanie danych osobowych w kontekście badań lekarskich, badań trzeźwości, monitoringu czy zatrudniania pracowników tymczasowych to kolejne obszary, które wymagają uwagi. Proces przetwarzania danych w BHP jest kluczowy i niesie ze sobą ryzyko błędów. Kontrola ze strony UODO lub Państwowej Inspekcji Pracy (PIP) jest realna. PIP ma uprawnienia do kontroli kwestii ochrony danych osobowych w kontekście przepisów prawa pracy i BHP. Dlatego ważne jest, aby dbać o prawidłowe przetwarzanie danych osobowych w dziale BHP, aby uniknąć potencjalnych problemów i kar.

FAQ – Najczęściej zadawane pytania

Pytanie: Czy musimy pytać pracownika o zgodę na przetwarzanie danych osobowych w kontekście BHP?

Odpowiedź: Zgoda nie zawsze jest konieczna. W wielu przypadkach, podstawą prawną przetwarzania danych w BHP jest obowiązek prawny lub prawnie uzasadniony interes administratora. Zgoda jest rzadziej stosowana w tym kontekście.

Pytanie: Jak długo powinniśmy przechowywać dokumentację BHP zawierającą dane osobowe?

Odpowiedź: Okres przechowywania dokumentacji BHP zależy od rodzaju dokumentacji. Wiele danych pracownika jest przechowywanych przez okresy wynikające z przepisów o archiwizacji dokumentacji pracowniczej (10 lub 50 lat). Dokumentacja powypadkowa, zgodnie z Kodeksem Pracy, powinna być przechowywana przez 10 lat.

Pytanie: Czy możemy udostępniać listę osób upoważnionych do udzielania pierwszej pomocy wszystkim pracownikom?

Odpowiedź: Tak, ze względu na nadrzędną wartość bezpieczeństwa pracowników, dopuszczalne jest udostępnienie listy w widocznym miejscu w zakładzie pracy.

Jeśli chcesz poznać inne artykuły podobne do Dane osobowe w BHP: Co musisz wiedzieć?, możesz odwiedzić kategorię Rachunkowość.

Go up