Zapraszam na wpis dotyczący RODO w pracach służby BHP. Na najczęściej zadawane pytania Czytelników odpowiada Wojciech Wawrzak - radca prawny, autor bloga praKreacja.pl.
Pytanie: Jak bezpiecznie przechowywać dokumenty zawierające dane osobowe w biurze? Czy wymagane są jakieś specjalne środki ostrożności?
Wojciech Wawrzak: RODO nie daje nam żadnych wytycznych technicznych. W rozporządzeniu nie znajdziemy, jakie szafki mamy zastosować, jakie mają mieć zamki, czy mają być metalowe, czy drewniane itp. Dowiemy się za to, że mamy wdrożyć takie środki techniczne i organizacyjne, by dane były bezpieczne.
Uważam, że minimum powinno być przechowywanie dokumentów w zamykanych szafach, do których dostęp mają wyłącznie osoby upoważnione. Chodzi po prostu o to, by do dokumentów z danymi osobowymi miały dostęp tylko te osoby, które są upoważnione do przetwarzania danych osobowych.
Warto pamiętać również o ryzyku utraty dokumentów, np. w wyniku pożaru. Stąd system przeciwpożarowy albo chociaż gaśnica w pokoju są jak najbardziej wskazane.
Generalnie, w każdej organizacji poziom zaawansowania środków może być różny. Dokonując wyboru środków, musimy po prostu koncentrować się na tym, by zapewnić rzeczywistą ochronę danych i ich poufność.
Pytanie: Pracodawca jest zobowiązany do podawania listy osób upoważnionych do udzielania pierwszej pomocy oraz listę osób wyznaczonych do prowadzenia ewakuacji i zwalczania pożarów (art. 2071 pkt 3 K.p.). Czy takie listy mogą wisieć w dowolnym miejscu w zakładzie, a może podlegają jakimś szczególnym wymogom ochrony danych osobowych?
Wojciech Wawrzak: Uważam, że w tym przypadku ochrona danych osób upoważnionych do udzielania pierwszej pomocy i wyznaczonych do prowadzenia ewakuacji i zwalczania pożarów ustępuje nadrzędnemu celowi, jakiemu jest zapewnienie sprawnego przeprowadzenia ewentualnej akcji ewakuacyjnej. Owszem, można byłoby stosowną informację przekazywać każdemu pracownikowi z osobna na piśmie, ale bardziej zasadne wydaje się umieszczenie listy w takim miejscu w zakładzie, by w razie potrzeby można było z łatwością uzyskać do niej dostęp i rzeczywiście powiadomić właściwe osoby. W przeciwnym przypadku obowiązek informacyjny pracodawcy w tym zakresie traci sens. Uważam zatem, że w tym przypadku lista może wisieć w ogólnodostępnym miejscu, dobranym tak, by była przydatna w razie sytuacji kryzysowej.
Pytanie: Podczas zlecania prac firmom zewnętrznym w zakładzie, pracodawca ma obowiązek zapoznać pracowników tych frm z zagrożeniami (art. 208 § 3 K.p.). Aby zapewnić sobie bezpieczeństwo prawne, pracodawca musi uzyskać potwierdzenia przeprowadzenia tych szkoleń. Czy w związku z tym, można zbierać dane osobowe (imię i nazwisko) oraz podpisy pracowników podwykonawców. Czy wymaga to specjalnej umowy? Ile czasu można przechowywać te dokumenty?
Wojciech Wawrzak: Wydaje mi się, że art. 208 § 3 k.p. nie przewiduje obowiązku wprost skierowanego do pracowników, ale do pracodawców. Pracodawca ma przekazać informacje innemu pracodawcy, a dopiero ten swoim pracownikom:
Pytanie: Jakie obowiązki nakłada RODO na jednoosobowe działalności gospodarcze obsługujące firmy w zakresie BHP?
Wojciech Wawrzak: To jest pytanie tak szerokie, że aż strach myśleć, co trzeba byłoby tutaj powiedzieć, by wyczerpać temat. Generalnie, każdego przedsiębiorcę RODO dotyczy w podobnym stopniu i powinien uświadomić sobie całość zagadnień związanych z RODO. Tutaj odsyłam do swojego artykułu, w którym spróbowałem w jednym miejscu zebrać wszystkie obowiązki: https://prakreacja.pl/rodo-czy-naprawde-trzeba-sie-bac/.
Pytanie: Aby przeprowadzić szkolenia okresowe w dziedzinie BHP, frma prowadząca obsługę w zakresie BHP potrzebuje następujących danych: imiona, nazwiska pracowników oraz daty i miejsca urodzenia. Te dane wykorzystuje do wydania zaświadczeń ukończenia szkoleń okresowych oraz przechowywania dokumentacji szkoleniowej (dzienniki zajęć, protokoły przebiegu egzaminów, rejestr wydanych zaświadczeń). Jak długo można przechowywać te dane.
Wojciech Wawrzak: RODO nie daje żadnych konkretnych wskazówek, gdy chodzi o czas przetwarzania danych, poza tym, że taki czas przetwarzania rzeczywiście trzeba określić. Określamy go, zastanawiając się, jak długo nam dane są potrzebne do realizacji określonego celu. Niekiedy terminy wynikają z przepisów, np. w kontekście dokumentacji księgowej, czy dokumentacji pracowniczej. Jeżeli w kontekście danych, o które pytasz, brak takich ustawowych terminów, to trzeba byłoby się zastanowić, jak długo nam te dane są potrzebne. Wydaje się, że można byłoby argumentować, że tak długo, jak długo nie upłynie termin przedawnienia roszczeń z tytułu umów, na podstawie których świadczyliśmy usługi. Chodzi o to, by w razie sporu z naszym klientem móc wykazać określone fakty. Możliwe jednak, że przekonasz mnie, że inny termin jest tutaj wskazany, bo jakiś określony cel decyduje, że dane muszą być przez taki a nie inny okres potrzebne. Generalnie, zawsze trzeba właśnie patrzeć na ten cel i zastanawiać się, jak długo dane do tego celu muszą być przetwarzane.
Pytanie: Pracownicy służby BHP często wykonują zdjęcia nieprawidłowości i wysyłają je kierownikom, aby ci usunęli stwierdzone niezgodności. Jeśli na zdjęciach są przedmioty, maszyny, regały, to nie ma tematu. Ale jeśli wykona się zdjęcie pracownika - to czy to w ogóle jest dopuszczalne? Zdjęcie nie jest udostępniane nikomu, poza osobami kierującymi pracownikami i tylko na potrzeby wewnętrzne, związane z dbałością o bezpieczeństwo.
Wojciech Wawrzak: Uważam, że wykonanie zdjęcia pracownika w opisanych przez Ciebie okolicznościach jest dopuszczalne. Zawsze można się powołać na uzasadniony interes pracodawcy polegający na konieczności podejmowania działań w celu zapewnienia bezpieczeństwa pracy. Oczywiście należy pamiętać, by podejmować działania wyłącznie w tym zakresie, nie idąc dalej, np. nie piętnując pracowników publicznie z wykorzystaniem ich zdjęcia itp.
Odpowiedzi udzielił:
Wojciech Wawrzak
Radca prawny, autor bloga praKreacja.pl, na którym od 5 lat pomaga branży kreatywnej rozwiązywać ich problemy prawne.