Jeszcze raz o RODO na gruncie BHP

08.11.2018AKTUALNE

Jeszcze raz o RODO na gruncie BHP

Choć przepisy RODO obowiązują od maja br., nadal pojawiają się problemy z ich błędną interpretacją, często dochodzi wręcz do nadinterpretacji przepisów. Wątpliwości rodzą się także przy stosowania RODO w odniesieniu do kwestii związanych z BHP, np. badań lekarskich pracowników, szkoleń bhp. Dodatkowo sprawa komplikuje się, gdy w grę wchodzi współpraca z podwykonawcami. Sprawdź, jak w tym przypadku stosować przepisy RODO.

Dane osobowe pracowników w firmach przetwarzane są głównie w działach personalny i służby BHP. Regulacje RODO mają zastosowanie właściwie w każdej czynności prowadzonej lub organizowanej przez te komórki – począwszy od utworzenia i prowadzenia teczki osobowej pracownika, przez wstępne i okresowe badania lekarskie, po dokumentację chorób zawodowych czy wypadków przy pracy. Każdy pracodawca jest w związku z tym administratorem danych osobowych (ADO). Dotyczy to także kwestii monitoringu wizyjnego stanowisk pracy czy służbowej poczty elektronicznej – warto wiedzieć, że w tych dwóch kwestiach wejście w życie RODO zaowocowało zmianami w Kodeksie pracy.

Zgoda na przetwarzanie danych osobowych nie zawsze potrzebna

W wielu przypadkach RODO stało się argumentem na rzecz utajniania wszelkich możliwych danych, ewentualnie traktowania jak dane osobowe informacji, które takimi danymi nie są. To z kolei skutkuje imposybilizmem: „nie można, nie da się, bo RODO, bo przecież potrzebujemy zgód na przetwarzanie danych osobowych”.

Tymczasem, chociaż rzeczywiście w większości przypadków wymagana jest wyraźna zgoda na przetwarzanie danych osobowych osoby, której dane dotyczą, to nie brakuje też sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązków i szczególnych praw ADO, np. w dziedzinie prawa pracy. Tak dzieje się chociażby w przypadku szczególnej kategorii danych osobowych, jakimi są informacje dotyczące stanu zdrowia.

Z jednej strony RODO zabrania przetwarzania takich danych, z drugiej istnieją przesłanki legalizacyjne ich przetwarzania, np. w przypadku oceny zdolności pracownika do pracy. Wówczas zgoda pracownika na przetwarzanie jego danych osobowych nie jest potrzebna.

– Wyobraźmy sobie absurdalność sytuacji, w której człowiek, u którego lekarz medycyny pracy orzekł niezdolność do pracy, mógłby nie wyrazić zgody na przetwarzanie tej informacji i przekazanie jej pracodawcy. Konsekwencje takiej sytuacji mogłyby okazać się bardzo niebezpieczne zarówno dla tej osoby, jej współpracowników, jak i samego pracodawcy – mówi Piotr Kowalski, trener w Akademii EcoMS, która prowadzi m.in. szkolenia z zarządzania bezpieczeństwem pracy w świetle przepisów o ochronie danych osobowych.

Uwaga!

Opisanej powyżej sytuacji nie można jednak rozciągać na całość czynności związanych z przeprowadzeniem okresowych badań albo szkoleń BHP. Przetwarzanie danych pracowników w celu umieszczenia publicznie dostępnych list osób zobowiązanych do odbycia badań czy szkolenia może już bowiem stanowić naruszenie przepisów o ochronie danych osobowych. Podobnie wygląda kwestia wysyłki do wielu odbiorców, bez ukrywania ich adresów e-mail, maila na ten temat, jeśli nie uzyskamy wcześniej stosownej zgody od każdej z tych osób.

Zaspokoić ciekawość generalnego wykonawcy

Warto wiedzieć, że regulacje umożliwiające przetwarzanie danych osobowych bez konieczności uzyskania zgody pracowników dotyczą nie tylko ściśle określonych sytuacji, ale i wyłącznie bezpośredniego pracodawcy takich osób.

Co w sytuacji, gdy np. na budowie pracują osoby zatrudnione przez różnych podwykonawców, a generalny wykonawca żąda od firmy podwykonawczej kserokopii lub skanów orzeczeń lekarza medycyny pracy czy zaświadczeń o odbyciu szkoleń z zakresu BHP?

– Takie oczekiwania nie mają uzasadnienia ani na gruncie przepisów RODO, ani na podstawie prawa pracy. To rolą bezpośredniego pracodawcy jest zapewnienie okresowych badań lekarskich czy szkoleń BHP. Żadne przepisy nie upoważniają podwykonawcy – będącego administratorem danych osobowych swoich pracowników – do udostępniania informacji na ten temat generalnemu wykonawcy. Nie może on w tym przypadku powołać się na przepisy Kodeksu pracy regulujące zasady współdziałania pracodawców, w sytuacji gdy w jednym miejscu pracę wykonują pracownicy zatrudnieni przez różnych pracodawców. Te przepisy nie dają bowiem bezpośrednich podstaw do udostępniania na zewnątrz dokumentacji medycznej lub związanej ze szkoleniami BHP – wyjaśnia Piotr Kowalski.

Czy możliwe jest zatem zgodne z przepisami prawa spełnienie wspomnianego żądania ze strony generalnego wykonawcy?

– Tak, jednak po uprzednim zawarciu umowy powierzenia danych pomiędzy podwykonawcą a wykonawcą zatrudniającym firmy zewnętrzne w zakresie przetwarzania danych osobowych oraz uzyskania stosownych zgód od każdego z pracowników, których dane miałyby zostać przekazane generalnemu wykonawcy. – tłumaczy Piotr Kowalski.

Niewiedza może kosztować

Biorąc pod uwagę fakt, że coraz częściej przedsiębiorcy działają nie tylko na rynku krajowym, lecz również paneuropejskim czy globalnym, w każdym z tym przypadków należy być świadomym i stosować się do zapisów i regulacji wynikających z RODO. Nieznajomość przepisów prawa nie zwalnia z odpowiedzialności za ich łamanie.

----