Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

RODO a BHP

Szkolenie pracowników w zakresie BHP

Przeprowadzanie szkoleń BHP jest obligatoryjnym obowiązkiem Pracodawcy    wynikającym z przepisów Ustawy Kodeks Pracy z dnia 26 czerwca 1974 r.

  • Pracodawca przeprowadza szkolenie sam, korzystając z usług pracownika BHP    zatrudnionego wewnątrz organizacji. Pracodawca przetwarza dane pracowników na podstawie art. 6 ust. 1 lit. c) ogólnego rozporządzenia o ochronie danych osobowych tj. w celu wypełnienia ciążącego na nim obowiązku prawnego. Oznacza to, że nie musi uzyskiwać zgody od pracowników na przetwarzanie ich danych.
  • Pracodawca korzysta z usług podmiotu zewnętrznego – przekazywanie danych     pracowników biorących udział w szkoleniu następuje również bez ich zgody i odbywa     się na podstawie art. 6 ust. 1 lit. c) ogólnego rozporządzenia o ochronie danych    osobowych tj. w celu wypełnienia ciążącego na Pracodawcy obowiązku prawnego.

Status zewnętrznej firmy szkoleniowej z zakresu BHP w świetle przepisów ogólnego rozporządzenia o ochronie danych.

Realizacja szkolenia bhp przez zewnętrzną firmę szkoleniową odbywa się na wyraźne polecenie Pracodawcy. Polecenie to wiąże się z koniecznością przetwarzania, zleceniem przetwarzania, przez zewnętrzną firmę danych osobowych pracowników skierowanych przez Pracodawcę na szkolenie. W konsekwencji konieczne jest zawarcie z zewnętrzną firmą szkoleniową umowy powierzenia przetwarzania danych osobowych zgodnie z art. 28 Rozporządzenia RODO na podstawie, której Pracodawca zleca przetwarzanie danych pracowników wyłącznie w zakresie niezbędnym do realizacji zadania głównego.

Temat ten poruszony został w stanowisku UODO z dnia 15 października 2020r, w którym to czytamy:

W celu ustalenia, czy w danej sytuacji mamy do czynienia z odrębnym administratorem, czy jednak istnieje konieczność zawarcia umowy powierzenia, należy przede wszystkim dokonać analizy okoliczności faktycznych z uwzględnieniem zadań określonych podmiotów wynikających m.in. z przepisów prawa oraz zawartej pomiędzy nimi umowy. Trzeba brać pod uwagę, jak w szczegółach realizowane są obowiązki przeprowadzenia szkolenia w konkretnym przypadku i jak pracodawca i firma szkoleniowa uzgodniły swoje role oraz zadania w zakresie przetwarzania danych, a także na ile samodzielnie i w jakich celach podmioty te przetwarzają dane w celach związanych ze szkoleniem. W wielu przypadkach, gdy następuje przekazanie realizacji zadania innemu podmiotowi, który realizuje je (także w zakresie przetwarzania danych) w sposób niezależny, samodzielnie decydując o sposobach i celach przetwarzania, a zadania i obowiązki tego podmiotu są dodatkowo dość szczegółowo określone w przepisach prawa, istnieją podstawy do uznania ich za odrębnych administratorów. Powierzenie przetwarzania powinno mieć natomiast miejsce wówczas, jeśli zewnętrzny podmiot przetwarza dane w imieniu administratora, w celach i w sposób przez niego określony. W niektórych przypadkach warto zwrócić uwagę na rozwiązanie określone w art. 26 RODO, tj. instytucję współadministrowania.
 

Zgodnie z art. 94 pkt 4 ustawy Kodeks pracy, pracodawca jest obowiązany w szczególności zapewniać bezpieczne i higieniczne warunki pracy oraz prowadzić systematyczne szkolenie pracowników w zakresie bezpieczeństwa i higieny pracy. Natomiast zgodnie z brzmieniem § 4 ust. 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy, szkolenie może być organizowane i prowadzone przez pracodawców lub, na ich zlecenie, przez jednostki organizacyjne prowadzące działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy. Pracodawca może zatem realizować obowiązek nałożony na niego w art. 94 pkt 4 Kodeksu pracy samodzielnie lub za pośrednictwem firmy zewnętrznej (korzystając z jej usług).

Firma zewnętrzna w procesie przetwarzania może występować w roli organizatora szkolenia, o którym mowa w § 4 pkt 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy. W § 5 pkt. 1-6 tego rozporządzenia zostały określone obowiązki organizatora szkolenia. Należy do nich zapewnienie: programu poszczególnych rodzajów szkolenia opracowanego dla określonych grup stanowisk; programu szkolenia instruktorów w zakresie metod prowadzenia instruktażu – w przypadku prowadzenia takiego szkolenia; wykładowców i instruktorów posiadających zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia; odpowiednich warunków lokalowych do prowadzenia działalności szkoleniowej; wyposażenie dydaktyczne niezbędne do właściwej realizacji programów szkolenia; właściwy przebieg szkolenia oraz prowadzenia dokumentacji w postaci programów szkolenia, dzienników zajęć, protokołów przebiegu egzaminów i rejestru wydanych zaświadczeń.

Jednostka organizacyjna prowadząca działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy, realizując nałożone na nią w ww. rozporządzeniu obowiązki, przetwarza dane pracownika w związku ze sporządzaniem protokołów z przebiegu egzaminów i rejestru wydanych zaświadczeń oraz w zakresie nawiązania współpracy (zawarcia stosownych umów) z wykładowcami i instruktorami posiadającymi zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia (§ 5 pkt. 3 i 6 ww. rozporządzenia Ministra Gospodarki i Pracy). W tym zakresie zasadnie można uznać, że przetwarza dane jako administrator w rozumieniu przepisów o ochronie danych osobowych.

Odnosząc się do zagadnienia, kto jest administratorem w przypadku „szkoleń podnoszących kwalifikacje pracowników”, wskazuję, że również w tym wypadku należy dokonać analizy, kto podejmuje decyzje w zakresie kluczowych kwestii dla danego procesu przetwarzania. Na przykład, rola pracodawcy, który kieruje swoich pracowników na szkolenie, może ograniczać się tylko do rozdysponowania formularzy przygotowanych przez firmę, która oferuje szkolenie, a wszystkie kluczowe decyzje co do procesu przetwarzania danych należą do firmy szkoleniowej.

Postępowania powypadkowe związane z naruszeniem przepisów BHP.

Na podstawie § 7 ust. 1 pkt 4 Rozporządzenia Rady Ministrów z 01.07.2009 r. w sprawie ustalenia okoliczności i przyczyn wypadków przy pracy[1] Inspektor BHP niezwłocznie od otrzymania wiadomości o wypadku jest zobowiązany do ustalenia okoliczności przyczyn wypadku, w szczególności: do zebrania informacji od świadków wypadku. Podstawą pozyskiwania danych osobowych świadka będzie art. 6 ust. 1 lit. c) Rozporządzenia RODO tj. konieczność wypełnienia obowiązku prawnego ciążącego na Administratorze danych osobowych a także art.  6 ust. 1 lit. f) Rozporządzenia RODO, czyli prawnie uzasadniony interes Administratora danych osobowych,  w którego organizacji doszło do wypadku tj. w szczególności zapewnienie ochrony przed przyszłymi roszczeniami. 

Świadek powinien zostać poinformowany, że dane osobowe będą przetwarzane tylko dla potrzeb sporządzenia dokumentacji powypadkowej, którą otrzymają osoby uprawnione i podmioty wymienione w przepisach prawa tj. w szczególności: poszkodowany/ewentualnie członek jego rodziny, ZUS, lub wg potrzeby: Państwowa Inspekcja Pracy, Policja, Prokurator, Sędzia. Dokumentacja powypadkowa będzie przechowywana przez Administratora danych osobowych przez 10 lat, a następnie niszczona, z zastrzeżeniem, że jeśli celem przetwarzania będzie dochodzenie roszczeń to przez okres ich przedawnienia.

Inspektor BHP wykonuje swoje obowiązki w tym zakresie posiadając pisemne polecenie i upoważnienie od Administratora danych osobowych do przetwarzania danych w granicach sporządzania protokołu ustalania okoliczności i przyczyn wypadku.

[1] http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20091050870

Wykorzystywanie nagrań z monitoringu stosowanego w organizacji do celów szkoleniowych z BHP.

Pracodawca w oparciu o prawnie uzasadniony interes w rozumieniu art. 6 ust. 1 lit. f) Rozporządzenia RODO ma prawo użyć fragmentów nagrań z monitoringu i pokazywać je w celu szkoleniowym wyselekcjonowanej grupie pracowników, mając na uwadze ochronę przed incydentami, a tym samym zapewnienie bezpieczeństwa wewnątrz organizacji. Pracodawca musi jednak pamiętać, by takie działania nie narażały nikogo na naruszenie czci, czy dobrego imienia.

Zawiadomienie o wypadku przy pracy osoby wskazanej przez pracownika w treści kwestionariusza osobowego/ protokołu powypadkowego.

Podstawę prawną z zakresu przepisów o ochronie danych osobowych w tym zakresie stanowią art. 6 ust. 1 lit. e) oraz art. 9 ust. 2 lit. c) Rozporządzenia RODO tj. działanie w oparciu o ochronę żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej. Oznacza to, że zgoda osoby wskazanej przez pracownika w treści kwestionariusza osobowego/protokołu powypadkowego – nie jest wymagana.

Zespół powypadkowy.

Zespół powypadkowy, powoływany przez Pracodawcę, jest zobowiązany wykorzystać materiały zebrane przez organy prowadzące śledztwo lub dochodzenie, jeżeli materiały te zostaną mu udostępnione. Zespół powypadkowy jest zobowiązany również zasięgnąć opinii lekarza, a w razie potrzeby opinii specjalistów, w zakresie niezbędnym do oceny rodzaju i skutków wypadku. Zespół powypadkowy w przypadku

Wypadku, który miał rozmiary katastrofy lub spowodował zagrożenie dla bezpieczeństwa publicznego, wykorzystuje ustalenia zespołu specjalistów,  powołanego przez właściwy organ sprawujący nadzór. Członkowie Zespołu powypadkowego sporządzają stosowne oświadczenia dotyczące dokumentacji  dostarczonej przez poszkodowanego do wglądu, zawierające:

  • imię i nazwisko poszkodowanego
  • pesel
  • rozpoznanie (opis  doznanego urazu), historię choroby
  • datę i podpis sporządzającego dokument

Pracodawca w związku z postępowaniem w sprawie zaistniałego wypadku w pracy, wypadku w drodze do pracy i z pracy, podejrzenia i stwierdzenia choroby zawodowej przetwarza następujące dane osobowe:

w protokole ustalenia okoliczności i przyczyn wypadku przy pracy na podstawie Rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 24 maja 2019 r. w sprawie wzoru protokołu ustalenia okoliczności i przyczyn wypadku przy pracy:

  • nazwa lub imię i nazwisko Pracodawcy, adres siedziby Pracodawcy, NIP, seria i numer dowodu osobistego lub innego dokumentu potwierdzającego tożsamość Pracodawcy, pesel, kod PKD
  • imię, nazwisko i funkcja/stanowisko członków zespołu powypadkowego
  • imię i nazwisko poszkodowanego, data urodzenia, miejsce zamieszkania (kod pocztowy, miejscowość, ulica, numer domu lub lokalu) seria i numer dowodu osobistego lub innego dokumentu potwierdzającego tożsamości, pesel, dane o zatrudnieniu, stanowisko służbowe, data i godzina wypadku, miejsce wypadku, ustalenie okoliczności i przyczyn wypadku
  • skutki wypadku dla poszkodowanego – rodzaj i umiejscowienie urazu
  • imię i nazwisko osoby zgłaszającej wypadek

Zgodnie z Rozporządzeniem Rady Ministrów z dnia 1 lipca 2009 roku w sprawie ustalania okoliczności i przyczyn wypadków przy pracy ;

W dokumencie wewnętrznym Pracodawcy (zarządzeniu):

  • imię, nazwisko i funkcja/stanowisko członków zespołu powypadkowego

W Rejestrze wypadków przy pracy:

  • imię i nazwisko poszkodowanego
  • miejsce i datę wypadku
  • informacje dotyczące skutków wypadku poszkodowanego
  • datę sporządzenia protokołu powypadkowego
  • stwierdzenie czy wypadek jest wypadkiem przy pracy czy nie
  • datę przekazania do Zakładu Ubezpieczeń Społecznych wniosku oświadczenia z tytułu wypadku przy pracy
  • liczbę dni niezdolności do pracy
  • inne informacje, niebędące danymi osobowymi, których zamieszczenie w rejestrze jest celowe, w tym wnioski i zalecenia profilaktyczne zespołu powypadkowego

W dokumencie stanowiącym wyjaśnienie poszkodowanego:

  • imię (imiona) i nazwisko, data urodzenia poszkodowanego
  • seria i numer dowodu osobistego lub innego dokumentu potwierdzającego tożsamość
  • pesel
  • miejsce zatrudnienia – nazwa i adres
  • stanowisko służbowe
  • data i godzina wypadku, miejsce wypadku
  • miejsce zamieszkania
  • opis okoliczności i przyczyn wypadku

W dokumencie zawierającym informacje uzyskane od świadka wypadku:

  • imię (imiona) i nazwisko świadka wypadku
  • miejsce zamieszkania świadka wypadku
  • miejsce zatrudnienia – nazwa i adres pracodawcy
  • stanowisko służbowe
  • data i godzina wypadku
  • miejsce wypadku
  • opis okoliczności i przyczyn wypadku

Dokumentacja niezbędna do ustalenia uszczerbku na zdrowiu ubezpieczonego, jaką Płatnik składek jest zobowiązany przesłać do ZUS zgodnie z Rozporządzeniem Ministra Pracy i Polityki Społecznej z dnia 18 grudnia 2002 roku w sprawie szczegółowych zasad orzekania o stałym lub długotrwałym uszczerbku na zdrowiu, trybu postępowania przy ustalaniu tego uszczerbku oraz postępowania o wypłatę jednorazowego odszkodowania :

  • wniosek o jednorazowe odszkodowanie
  • protokół powypadkowy
  • prawomocny wyrok sądu pracy
  • karta wypadku
  • decyzja o stwierdzeniu choroby zawodowej
  • zaświadczenie o stanie zdrowia wydane przez lekarza, pod którego opieką znajduje się ubezpieczony
  • odpis aktu zgonu – w przypadku zgonu osoby, która uległa wypadkowi przy pracy, lub u której stwierdzono chorobę zawodową

Dane zawarte na Karcie wypadku w drodze do pracy lub z pracy zgodnie z Rozporządzeniem Ministra Pracy i Polityki Społecznej z dnia 27 kwietnia 2012 roku zmieniające rozporządzenie w sprawie szczegółowych zasad oraz trybu uznawania za wypadek w drodze do pracy lub z pracy, sposobu jego dokumentowania, wzoru karty wypadku w drodze do pracy lub z pracy oraz terminu jej sporządzania

  • wniosek o jednorazowe odszkodowanie
  • protokół powypadkowy
  • prawomocny wyrok sądu pracy
  • karta wypadku
  • decyzja o stwierdzeniu choroby zawodowej
  • zaświadczenie o stanie zdrowia wydane przez lekarza, pod którego opieką znajduje się ubezpieczony
  • odpis aktu zgonu – w przypadku zgonu osoby, która uległa wypadkowi przy pracy, lub u której stwierdzono chorobę zawodową

Dane w Rejestrze wypadków w drodze do pracy i z pracy do domu:

  • imię i nazwisko poszkodowanego, data wypadku, data sporządzenia karty wypadku, uwagi

Dane przetwarzane przy zgłoszeniu podejrzenia choroby zawodowej zgodnie z Rozporządzeniem Ministra Zdrowia z dnia 1 sierpnia 2002 r. w sprawie dokumentowania chorób zawodowych i skutków tych chorób:

Zgłoszenie podejrzenia choroby zawodowej:

  • nazwa i adres podmiotu zgłaszającego podejrzenie choroby zawodowej
  • imię i nazwisko, data i miejsce urodzenia, adres zamieszkania, pesel, aktualna sytuacja zawodowa, aktualny pracodawca – pełna nazwa, adres, numer identyfikacyjny regon, stanowisko i rodzaj pracy, okresy zatrudnienia osoby u której wystąpiło podejrzenie choroby zawodowej
  • miejsce zatrudnienia lub wykonywania pracy, w którym nastąpiło narażenie zawodowe będące powodem zgłoszenia podejrzenia choroby zawodowej, adres, regon, stanowisko i rodzaj pracy byłego pracodawcy
  • pełna nazwa choroby zawodowej której dotyczy zgłoszenie, z wykazu chorób zawodowych
  • czynniki i okres narażenia zawodowego.

Karta oceny narażenia zawodowego w związku z podejrzeniem choroby zawodowej:

  • nazwa i adres podmiotu sporządzającego kartę
  • imię i nazwisko, data i miejsce urodzenia, pesel, adres zamieszkania osoby u której wystąpiło podejrzenie choroby zawodowej
  • aktualna sytuacja zawodowa osoby u której wystąpiło podejrzenie choroby zawodowej tj. aktualny pracodawca – pełna nazwa, adres, regon
  • nazwa i pozycja choroby zawodowej
  • imię i nazwisko, funkcja/stanowisko zgłaszającego podejrzenie choroby zawodowej

Zawiadomienie o skutkach choroby zawodowej:

  • nazwa i adres pracodawcy u którego powstała choroba zawodowa pracownika
  • regon pracodawcy
  • imię i nazwisko chorego, płeć, data urodzenia, adres chorego, liczbę dni niezdolności do pracy, informacja o odszkodowaniu

Dane przetwarzane w Rejestrze podejrzeń o choroby zawodowe i w Rejestrze stwierdzonych chorób zawodowych zgodnie z Ustawą z dnia 26 czerwca 1974 roku Kodeks Pracy:

Rejestr podejrzeń o choroby zawodowe:

  • imię i nazwisko pracownika, u którego wystąpiło podejrzenie o zachorowanie na chorobę zawodową
  • data zgłoszenia podejrzenia o chorobę zawodową
  • data zgłoszenia do Państwowej Inspekcji Pracy i Państwowej Inspekcji Sanitarnej
  • nazwa choroby zawodowej
  • data i numer decyzji Państwowego Inspektora Sanitarnego

Rejestr stwierdzonych chorób zawodowych:

  • imię i nazwisko oraz stanowisko pracownika chorego na chorobę zawodową
  • data stwierdzenia choroby zawodowej
  • data i numer decyzji Państwowego Inspektora Sanitarnego
  • nazwa choroby zawodowej (oraz numer statystyczny )
  • skutki choroby zawodowej
  • data wysłania do Instytutu Medycyny Pracy w Łodzi oraz do Państwowej Inspekcji Sanitarnej zawiadomienia o skutkach choroby zawodowej
  • wnioski w zakresie poprawy stanu BHP jeżeli choroba powstała wskutek pracy w tym zakładzie pracy

Autorka: Magdalena Waszak

Magdalena Waszak

Autor: Magdalena Waszak

Inspektor ochrony danych w dużych instytucjach publicznych i prywatnych podmiotach świadczących usługi zdrowotne. Absolwentka studiów podyplomowych z ochrony danych osobowych pod patronatem UODO. Uczestniczka wielu konferencji naukowych i szkoleń z dziedziny bezpieczeństwa danych osobowych. Audytor wewnętrzny Systemu Zarządzania Jakością ISO 9001:2015 i ISO/IEC 27001. Od 12 lat związana z branżą medyczną i sportową. Zajmuje się głównie prawami pacjenta, prawem pracy i prawem zamówień publicznych. Zaangażowana we wspieranie organizacji pozarządowych broniących praw człowieka m.in. Amnesty International.