RODO (GDPR) dla Górnictwa

Czym jest RODO / GDPR?

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych (ang. GDPR – General Data Protection Regulation), to unijny akt prawny obowiązujący od 25 maja 2018 roku, który reguluje zasady przetwarzania danych osobowych obywateli Unii Europejskiej. Rozporządzenie nakłada na organizacje obowiązek zapewnienia wysokiego poziomu ochrony danych, transparentności w ich przetwarzaniu oraz respektowania praw osób, których dane dotyczą. Naruszenie przepisów RODO może skutkować karami finansowymi sięgającymi nawet 20 milionów euro lub 4% rocznego globalnego obrotu firmy.

RODO / GDPR a branża Górnictwo

Sektor górniczy, mimo swojego przemysłowego charakteru, przetwarza znaczne ilości danych osobowych – zarówno pracowników, jak i kontrahentów, dostawców czy osób postronnych. Kopalnie i przedsiębiorstwa górnicze zatrudniają setki, a nierzadko tysiące pracowników, co oznacza konieczność przetwarzania rozbudowanych zbiorów danych kadrowych, płacowych, medycznych i dotyczących bezpieczeństwa.

W branży górniczej szczególne znaczenie mają dane dotyczące stanu zdrowia pracowników – badania profilaktyczne, orzeczenia lekarskie, wyniki badań toksykologicznych czy dokumentacja wypadkowa stanowią dane wrażliwe w rozumieniu RODO. Ponadto, systemy monitoringu wizyjnego w zakładach górniczych, elektroniczne kontrole dostępu do szybów i wyrobisk, a także systemy lokalizacji pracowników pod ziemią (systemy DOP – dozorowania obecności pracowników) generują dane osobowe, które muszą być przetwarzane zgodnie z przepisami rozporządzenia.

Przykładem konkretnego wyzwania jest wdrożenie systemów telemetrycznych w kopalniach węgla kamiennego lub miedzi, które rejestrują aktywność i położenie każdego pracownika przebywającego pod ziemią. Dane te, choć zbierane przede wszystkim w celach bezpieczeństwa, podlegają rygorom RODO w zakresie podstawy prawnej przetwarzania, okresu retencji i dostępu do informacji.

Kluczowe wymagania

• Rejestr czynności przetwarzania danych (RCPD): Każde przedsiębiorstwo górnicze zatrudniające powyżej 250 pracowników lub przetwarzające dane wrażliwe jest zobowiązane do prowadzenia szczegółowego rejestru wszystkich operacji przetwarzania danych osobowych, obejmującego m.in. cel, zakres i podstawę prawną przetwarzania.
• Powołanie Inspektora Ochrony Danych (IOD): Ze względu na skalę przetwarzania danych pracowniczych oraz danych szczególnych kategorii (dane o zdrowiu), firmy górnicze są co do zasady zobowiązane do wyznaczenia IOD, który nadzoruje zgodność z RODO i pełni funkcję doradczą.
• Podstawa prawna przetwarzania danych zdrowotnych: Przetwarzanie danych medycznych pracowników (wyniki badań profilaktycznych, informacje o chorobach zawodowych) musi opierać się na wyraźnej podstawie prawnej – najczęściej jest to obowiązek prawny wynikający z Kodeksu pracy i przepisów BHP w górnictwie.
• Ocena skutków dla ochrony danych (DPIA): Systemy masowego monitoringu, lokalizacji pracowników czy biometryczne kontrole dostępu wymagają przeprowadzenia oceny skutków dla ochrony danych przed ich wdrożeniem.
• Umowy powierzenia przetwarzania danych: Współpraca z zewnętrznymi dostawcami usług IT, laboratoriów medycznych czy firm ochroniarskich wymaga zawarcia odpowiednich umów powierzenia przetwarzania danych osobowych.
• Realizacja praw osób, których dane dotyczą: Pracownicy kopalni mają prawo do dostępu do swoich danych, ich sprostowania, usunięcia (w ograniczonym zakresie) oraz przenoszenia danych – firma musi posiadać procedury umożliwiające terminową realizację tych wniosków.
• Procedura zgłaszania naruszeń: W przypadku wycieku lub nieuprawnionego dostępu do danych osobowych, przedsiębiorstwo górnicze ma obowiązek zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) w ciągu 72 godzin.
• Polityki retencji danych: Dokumentacja pracownicza, wyniki badań lekarskich czy zapisy z monitoringu muszą być przechowywane przez ściśle określony czas, a następnie bezpiecznie usuwane lub anonimizowane.

Kroki wdrożenia w firmie z branży Górnictwo

1. Przeprowadzenie audytu danych osobowych: Pierwszym krokiem jest inwentaryzacja wszystkich zbiorów danych osobowych w organizacji – od akt pracowniczych, przez dane kontrahentów, po nagrania z monitoringu zakładowego i dane z systemów lokalizacyjnych. Należy zidentyfikować, jakie dane są gromadzone, w jakim celu, przez kogo i jak długo są przechowywane.
2. Mapowanie procesów przetwarzania danych: Na podstawie audytu należy sporządzić szczegółowe mapy procesów przetwarzania, uwzględniające wszystkie działy – dział kadr i płac, służby BHP, dział IT, dział ochrony oraz komórki odpowiedzialne za kontrakty z podwykonawcami.
3. Powołanie Inspektora Ochrony Danych: W większości przedsiębiorstw górniczych wyznaczenie IOD jest obowiązkiem ustawowym. Inspektor powinien posiadać wiedzę prawną i techniczną, a jego dane kontaktowe muszą być opublikowane i dostępne dla pracowników oraz organów nadzorczych.
4. Stworzenie i wdrożenie dokumentacji RODO: Należy opracować lub zaktualizować politykę ochrony danych osobowych, klauzule informacyjne (dla pracowników, kandydatów do pracy, gości zakładu), procedury obsługi wniosków o realizację praw osób, których dane dotyczą, oraz procedurę zarządzania incydentami.
5. Przeprowadzenie ocen skutków dla ochrony danych (DPIA): Dla systemów wysokiego ryzyka – monitoringu wizyjnego na terenie zakładu, systemów lokalizacji pracowników pod ziemią, biometrycznych systemów kontroli dostępu – konieczne jest przeprowadzenie pełnej oceny DPIA przed uruchomieniem lub modernizacją tych systemów.
6. Zawarcie umów powierzenia przetwarzania: Należy przejrzeć wszystkie umowy z podmiotami zewnętrznymi mającymi dostęp do danych osobowych (np. firmy medycyny pracy, dostawcy oprogramowania kadrowego, firmy outsourcingowe) i uzupełnić je o stosowne klauzule lub odrębne umowy powierzenia.
7. Szkolenie pracowników: Cały personel mający kontakt z danymi osobowymi – od pracowników kadr, przez ochronę, po kadrę zarządzającą – powinien przejść szkolenia z zakresu RODO, dostosowane do specyfiki swoich obowiązków i ryzyk charakterystycznych dla górnictwa.
8. Wdrożenie środków technicznych i organizacyjnych: Należy zadbać o odpowiednie zabezpieczenia systemów informatycznych, szyfrowanie danych, ograniczenie dostępu do danych na zasadzie minimalnych uprawnień (ang. least privilege), a także regularne tworzenie kopii zapasowych i testy procedur odtwarzania danych.
9. Regularne przeglądy i aktualizacje: RODO wymaga ciągłego podejścia do ochrony danych. Należy ustalić harmonogram regularnych audytów wewnętrznych, aktualizacji dokumentacji oraz testów procedur bezpieczeństwa, uwzględniając zmiany w przepisach prawa i technologii stosowanej w zakładzie.

Najczęstsze pytania

Czy małe przedsiębiorstwa górnicze i firmy podwykonawcze również muszą stosować RODO?

Tak. RODO obowiązuje każdy podmiot przetwarzający dane osobowe osób fizycznych na terenie Unii Europejskiej, niezależnie od wielkości firmy. Małe firmy podwykonawcze działające na zlecenie kopalni, przetwarzające dane pracowników lub klientów, są w pełni zobowiązane do przestrzegania przepisów rozporządzenia. Różnica polega na tym, że firmy zatrudniające mniej niż 250 osób są co do zasady zwolnione z obowiązku prowadzenia rejestru czynności przetwarzania, chyba że przetwarzają dane wrażliwe lub regularne przetwarzanie może naruszać prawa osób fizycznych.

Jak traktować dane z systemów lokalizacji pracowników pod ziemią w kontekście RODO?

Dane z systemów DOP (dozorowania obecności pracowników) i systemów lokalizacyjnych stosowanych w wyrobiskach górniczych są danymi osobowymi, ponieważ pozwalają zidentyfikować konkretne osoby i śledzić ich aktywność. Podstawą prawną ich przetwarzania może być uzasadniony interes prawny (bezpieczeństwo pracowników, wymogi regulacyjne w górnictwie) lub obowiązek wynikający z przepisów prawa pracy i BHP. Pracownicy muszą zostać poinformowani o stosowaniu takich systemów, celu ich działania oraz okresie przechowywania danych.

Jak długo można przechowywać dane medyczne pracowników kopalni?

Dokumentacja medyczna pracowników – wyniki badań wstępnych, okresowych i kontrolnych – powinna być przechowywana przez okres wynikający z przepisów prawa pracy. Akta osobowe pracowników, w tym dokumentacja medyczna, są co do zasady przechowywane przez 10 lat od ustania stosunku pracy (przy zatrudnieniu po 1 stycznia 2019 roku). W przypadku chorób zawodowych lub wypadków przy pracy terminy te mogą być dłuższe, wynikając z przepisów ubezpieczeń społecznych i prawa cywilnego dotyczącego roszczeń.

Co grozi firmie górniczej za naruszenie RODO?

Prezes Urzędu Ochrony Danych Osobowych może nałożyć na firmę górniczą administracyjną karę pieniężną w wysokości do 10 milionów euro lub 2% rocznego światowego obrotu (za naruszenia mniej poważne) albo do 20 milionów euro lub 4% obrotu (za naruszenia fundamentalnych zasad RODO). Poza karami finansowymi, naruszenie może skutkować odpowiedzialnością odszkodowawczą wobec osób, których prawa zostały naruszone, a także poważnymi konsekwencjami reputacyjnymi, które w branży górniczej – silnie uzależnionej od zaufania pracowników i partnerów biznesowych – mogą być szczególnie dotkliwe.

Podsumowanie

Wdrożenie RODO w branży górniczej to nie tylko obowiązek prawny, ale przede wszystkim inwestycja w bezpieczeństwo danych pracowników i wiarygodność przedsiębiorstwa na rynku. Kompleksowe podejście do ochrony danych – obejmujące audyt, dokumentację, szkolenia i odpowiednie środki techniczne – pozwala uniknąć kosztownych kar i buduje kulturę organizacyjną opartą na odpowiedzialności. Nie zwlekaj z wdrożeniem lub aktualizacją procedur RODO w swojej firmie górniczej – każdy dzień bez właściwej ochrony danych to realne ryzyko finansowe i prawne, któremu można łatwo zapobiec.