Obowiązki służby bhp a ochrona danych osobowych

25.02.2015AKTUALNE

Obowiązki służby bhp a ochrona danych osobowych

Ochrona danych osobowych to obecnie temat na topie. Pracownicy służby bhp lub osoby wykonujące zadania tej służby z racji zawodu i wykonywanych czynności w ramach obowiązków służbowych, mają stały kontakt z danymi osobowymi innych pracowników przedsiębiorstwa. Rodzi się zatem pytanie, czy pracownikom służby bhp pracodawca powinien udzielać imiennego upoważnienia do przetwarzania danych osobowych?

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. W praktyce takim administratorem jest każdy podmiot mający pracowników – zarówno osoba fizyczna prowadząca działalność gospodarczą, jak i np. spółka akcyjna, spółka z o.o. itp.

Upoważnienie dla pracowników służby bhp

Mało kto zdaje sobie sprawę, że pracowników służby bhp lub osoby wykonujące zadania tej służby przetwarzają dane osobowe pracowników, wykonując swoje codzienne obowiązki służbowe.

Pracownicy służby bhp lub osoby wykonujące zadania tej służby, mają stały kontakt z danymi osobowymi innych pracowników przedsiębiorstwa.

Tak sytuacja ma miejsce m.in.

  • w czasie dokumentowania szkoleń bhp,
  • sporządzania dokumentacji powypadkowej,
  • prowadzenia rejestrów chorób zawodowych i podejrzeń o takie choroby.

Oczywiście nie oznacza to, że pracownik służby bhp powinien mieć pełen dostęp do wszystkich informacji. Należy ograniczyć go do jedynie tych informacji, które są niezbędne do wypełniania obowiązków służbowych – nie powinien znać np. wynagrodzeń pozostałych pracowników.

Forma upoważnienia

Przepisy nie określają jednoznacznie formy udzielenia upoważnienia. Na wszelki wypadek – do celów dowodowych – najlepiej jest go sporządzić na piśmie. Nie ma też nigdzie oficjalnego wzoru upoważnienia. Nie ulega jednak wątpliwości, że powinno ono określać:

  • nazwę i adres administratora danych,
  • osobę, która uzyskuje upoważnienie do przetwarzania danych,
  • datę nadania jej takich uprawnień (gdy upoważnienie nadane jest na czas określony),
  • zakres upoważnienia do przetwarzania danych osobowych.

Pracodawca, który jest administratorem danych, ma obowiązek prowadzić ewidencję osób upoważnionych do ich przetwarzania, która zawiera:

  • imię i nazwisko osoby upoważnionej,
  • datę nadania i ustania oraz
  • zakres upoważnienia do przetwarzania danych osobowych,
  • identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Uwaga!

Pracownik służby bhp, który został upoważniony do przetwarzania danych, ma obowiązek zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Upoważnienie dla firmy zewnętrznej

Powstaje jeszcze jedno pytanie, co w sytuacji jeżeli zadania służby bhp powierzone zostały specjaliście spoza zakładu pracy?

W takiej sytuacji, gdy zadania służby bhp wykonuje np. firma zewnętrzna, administrator danych osobowych (pracodawca) ma obowiązek zawrzeć umowę powierzenia przetwarzania danych osobowych, która określi zakres oraz cel przetwarzania danych osobowych.

Natomiast firma zewnętrzny może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie oraz ma obowiązek odpowiednio zabezpieczyć zbiór danych.

Skutki braku upoważnienia

Za przetwarzanie danych bez upoważnienia grozi:

  • grzywna,
  • w drastycznych przypadkach nawet do dwóch lat więzienia.

Administrator zbioru danych, który umożliwia dostęp do nich osobom nieupoważnionym albo nie zabezpiecza ich odpowiednio, także popełnia przestępstwo.

Instytucją odpowiedzialną za nadzór nad przetwarzaniem danych osobowych jest GIODO. W wyniku kontroli inspektor tego organu odnotowawszy uchybienia może wydają np. nakaz ich usunięcia, poprawienia danych, wprowadzenia dodatkowych zabezpieczeń. Wolno mu również skierować do prokuratury zawiadomienie o popełnieniu przestępstwa przez pracownika lub kierownika kontrolowanej firmy.

Podstawa prawna