Skip to content

Jakie możemy odnieść szkody z nierespektowania wymagań prawnych i regulacyjnych ISO 9001?

Edyta Nogaj

Przez formę słowną stosowaną w normie ISO 9001 „powinien, należy” – rozumiemy wymaganie. Niespełnienie wymagania jest równoznaczne z niezgodnością.

Norma ISO 9000:2015 „Systemy zarządzania jakością. Podstawy i terminologia” mówi, że niezgodność to niespełnienie wymagań [1], tzn., że coś nie jest robione, coś jest robione częściowo lub coś jest robione w zły sposób.

Na wielkość niezgodności w obszarze prawnym ma jej siła oddziaływania na dostarczane klientowi wyroby i usługi.

Przykładem niezgodności może być niewłaściwe usytuowanie biurka względem okna – biurko, na którym znajduje się monitor komputerowy, jest ustawione równolegle do okna. Jeśli jest umieszczone naprzeciwko okna, światło dzienne odwraca uwagę od monitora i powoduje zmęczenie oczu. Jeśli użytkownik siedzi tyłem do okna, światło dzienne sprawia, że monitor staje się nieczytelny. Może to doprowadzić do błędów we wprowadzanych danych do dokumentów, np. dokumentacji technicznej, co prowadzi do bezpośredniego wpływu na wykonanie produktu zgodnie z wymaganiami klienta. Podstawą prawną jest w tym przypadku Rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 1 grudnia 1998 r. w sprawie bezpieczeństwa i higieny pracy na stanowiskach wyposażonych w monitory ekranowe [2].

Poza regulacjami prawnymi, obowiązującymi w konkretnych dziedzinach, o których będę mówić w dalszej części artykułu, warto wspomnieć, że wymagania prawne dotyczące odpowiedzialności za produkt, korelują z wymaganiami normy w tym zakresie. W opracowaniu Quality Austria – Polska [3] znajdziemy konkretny przykład:

Dyrektywy ogólne, zwane też horyzontalnymi, dotyczą całego obszaru, niezależnie od sektora oraz faktu, czy istnieje dyrektywa szczegółowa regulująca dany sektor:

  • Dyrektywa 1999/34/EWG Odpowiedzialność za produkty wadliwe [4]
  • Dyrektywa 2001/95/WE Ogólne bezpieczeństwo produktów – wraz z aktami zmieniającymi [5]:
    • rozporządzenie WE nr 765/2008 [6]
    • rozporządzenie WE nr 596/2009 [7]

Zgodnie z ustawą o odpowiedzialności za produkt, zwolnienie od odpowiedzialności jest możliwe wtedy, gdy udokumentowano:

  • wolność od wad produktu w momencie wprowadzenia go do obrotu
  • wolność od wad półproduktów w momencie dostawy do zakładu produkcyjnego
  • instrukcje producenta wyrobu gotowego dla podwykonawców odnośnie wykonania podzespołów
  • uwzględniony stan wiedzy technicznej i naukowej do momentu wprowadzenia produktu do obrotu

My jednak skoncentrujemy się na regulacjach prawnych, mających wpływ na działalność biznesową każdego przedsiębiorcy, jak np. przepisy BHP (w tym Kodeks pracy) czy akty prawne dotyczące ochrony danych osobowych.

Aby czytelnie powiązać normę ISO 9001 z wymaganiami i regulacjami prawnymi, posłużę się – tak, jak zrobiłam to wcześniej – siedmioma zasadami zarządzania jakością i powiążę niektóre z nich z konkretnymi przykładami z zastosowania przepisów prawa w organizacji.

Tym razem zacznę od … drugiej zasady, czyli przywództwa.

Tak, jak w poprzednim, tak i w tym artykule z ogromną przyjemnością zamieszczam wypowiedź pana st. kpt. Mariusza Basiaka z Centralnej Szkoły PSP w Częstochowie. Pan kapitan jest ekspertem, dydaktykiem, osobą ogromnej wiedzy i doświadczenia, oraz moim mentorem.

„Zasada przywództwa przy zarządzaniu jakością powinna być sprawą kluczową, wręcz priorytetową z punktu widzenia szefa, lidera, dowódcy. To przecież od „samej góry” rozpoczyna się proces właściwego profesjonalnego zarządzania przedsiębiorstwem.

Jak już wspominaliśmy w poprzednim artykule, prawidłowa organizacja struktury firmy, zakresu zadań na poszczególnych stanowiskach, określenie kompetencji i umiejętności niezbędnych do wykonywania wskazanych czynności zaczyna się od kierownictwa, które będzie prezentować swoją wizję zarządzania, koncepcje i kierunki rozwoju przedsiębiorstwa. W konsekwencji możemy powiedzieć, że przywódca będzie o tych sprawach decydować – zbierać sukcesy i porażki swoich decyzji. Jednak na tym etapie nie można skupić się tylko i wyłącznie na oczekiwaniach (rezultatach, wynikach). Ważne jest aby wprowadzić nawyk właściwej weryfikacji realizowanych zadań oraz co bardzo istotne kontroli innych czynników (środowiskowych, organizacyjnych itp.) występujących w danym miejscu, mogących wpływać zarówno na efektywność działań, jak również na bezpieczeństwo naszego przedsiębiorstwa.

Aby właściwie to zrobić, należy wprowadzić jasne i czytelne zasady weryfikacji elementów mogących wpływać na poziom ryzyka w naszym przedsiębiorstwie, uwzględnić również czasookresy raportowania, jakość prowadzonej dokumentacji itp. Dokumenty audytowe opracowane przez odpowiednich specjalistów dziedzinowych powinny trafiać do szefa (to szczególnie ważne, aby poziom merytoryki oraz zaangażowania przy tego typu działaniach szedł w parze z oczekiwaniami). Bo to on jako główny zarządzający będzie musiał (czy to przy pomocy odpowiednich organów doradczych czy indywidualnie) podjąć decyzje zmierzające do poprawy bezpieczeństwa i jakości – czyli elementów niezbędnych do stabilnego funkcjonowania przedsiębiorstwa. Jak wspominaliśmy w poprzedniej części artykułu, słowem klucz musi być ŚWIADOMOŚĆ. A kto ma być tego najbardziej świadomy jak nie właściciel, szef, lider, który powinien dawać przykład?

Dlatego właśnie należy sobie w tym miejscu zadać pytanie. Co stanie się, jeżeli zabraknie właściwych działań ze strony przywódcy? Co jeżeli zaczną pojawiać się nieprawidłowości w funkcjonowaniu poszczególnych działów, stanowisk, „trybików w maszynie”, a z naszej strony nie będzie reakcji? Co jeśli zabraknie odpowiedniego stałego, konsekwentnego nadzoru nad tymi zagadnieniami? Te pytania dotyczące tak naprawdę szeroko pojętej ANALIZY RYZYKA zarządzający powinien stawiać na równi z pytaniami o prawidłowe funkcjonowanie i kierunkami dalszego rozwoju swojego przedsiębiorstwa. Poniżej przedstawię przykłady zaniedbań mogących wystąpić w związku z brakiem przestrzegania podstawowych przepisów przeciwpożarowych przez pracowników oraz brakiem odpowiedniej reakcji ze strony przełożonego.

Rozporządzenie MSWiA z dnia 07 czerwca 2010r. w sprawie ochrony przeciwpożarowej budynków, innych obiektów budowlanych i terenów (Dz. U. Nr 109, poz. 719 z późn. zm.), już w Rozdziale 2 „Czynności zabronione i obowiązki w zakresie ochrony przeciwpożarowej” wskazuje, że:

„§ 4.1. W budynkach i na terenach przyległych do nich jest zabronione wykonywanie następujących czynności, które mogą spowodować pożar, jego rozprzestrzenianie się, utrudnienie prowadzenia działań ratowniczych lub ewakuacji:”

Po tym zapisie występuje lista 20 punktów zawierających szereg czynności na które powinniśmy zwrócić uwagę – oczywiście w odniesieniu do swojej firmy i rodzaju prowadzonej działalności. Poniżej przytoczę, trzy punkty z którymi najczęściej spotkałem się audytując wiele zakładów pracy zarówno tych mniejszych jak i większych.

„Pkt. 11) Składowanie materiałów palnych na drogach komunikacji ogólnej służących ewakuacji lub umieszczanie przedmiotów na tych drogach w sposób zmniejszający ich szerokość albo wysokość poniżej wymaganych wartości określonych w przepisach techniczno-budowlanych”. Zapis choć oczywisty, niejednokrotnie sprawiających duży problem w przestrzeniach biurowych. Bo przecież gdzie postawić urządzenie wielofunkcyjne do kopiowania i drukowania dokumentów firmowych? Może do tego dołożymy jakiś stolik, szafę, bądź inny element wyposażenia, który nie znalazł miejsca w pomieszczeniu biurowym? Idealnym miejscem będzie przecież korytarz, całkiem „przypadkowo” będący również ewakuacyjnym. W końcu, co się może stać? Codziennie ludzie nim przechodzą, wykonują swoje zadania, rozmawiają, kopiują itp. Niestety musimy pamiętać o starym dobrym powiedzeniu „Jest dobrze jak jest dobrze!”. W sytuacji stresowej wygenerowanej np. na skutek zagrożenia pożarowego w obiekcie, osoby będą chciały jak najszybciej znaleźć się poza strefą zagrożenia. Może to doprowadzić do powstania tłoku wśród ewakuujących się osób, a jeżeli do tego dołożymy jeszcze zatory i przewężenia, spowodowane usytuowaniem różnych przedmiotów na drodze ewakuacyjnej – to problem gotowy. Mam realne zagrożenie życia i zdrowia osób, którym powinniśmy zapewnić bezpieczeństwo w miejscu pracy. A przecież wystarczyło znaleźć inne miejsce dla wskazanych wyżej elementów, może przeorganizować jakąś przestrzeń. Jeżeli zarządzający firmą nie potraktuje tak banalnej sprawy poważnie, to raczej nie ma co liczyć na to, że pracownicy to zrobią. Niestety czasem konsekwencje takiego zaniedbania mogą być opłakane.

„Pkt. 14) Zamykanie drzwi ewakuacyjnych w sposób uniemożliwiający ich natychmiastowe użycie w przypadku pożaru lub innego zagrożenia powodującego konieczność ewakuacji”. Oczywiście tą sytuację można uznać za „błąd krytyczny”, czyli taki który może doprowadzić do prawdziwej tragedii. Odcięcie drogi ewakuacji zawsze generuje zagrożenie dla życia i zdrowia osób przebywających w obiekcie. A jeżeli tego „odcięcia” dokonujemy „my” jako osoby zarządzające firmą, to pojawia się poważny problem. Powody takich działań są bardzo różne: „żeby pracownicy nie wychodzili na zewnątrz bocznymi drzwiami”, „żeby nie było możliwości dostania się do firmy osób niepożądanych”, „przecież i tak nikt z tych drzwi nie korzysta”. I mimo, że mamy do dyspozycji cały wachlarz możliwych do zastosowania logicznych rozwiązań technicznych i organizacyjnych, to niestety często zdarza się, że przez nasze zaniedbanie, drzwi służące zapewnieniu naszym ludziom możliwości bezpiecznej ewakuacji w przypadku zagrożenia pozostają zamknięte, zaryglowane czy zastawione. Gorzej jak czas refleksji nad tym problemem przychodzi zbyt późno, po fakcie, gdy „mleko już się rozlało”.

„Pkt. 15) Blokowanie drzwi i bram przeciwpożarowych w sposób uniemożliwiający ich samoczynne zamknięcie w przypadku powstania pożaru”. Ograniczenie rozprzestrzeniania się pożaru na sąsiednie strefy pożarowe jest sprawą bardzo ważną z punktu widzenia szybkości powrotu do „normalnego funkcjonowania” naszego przedsiębiorstwa, jeżeli do takiego zdarzenia już doszło. Podział na strefy pożarowe budynku pozwala na zmniejszenie strat spowodowanych zagrożeniem pożarowym lub po prostu pozwala uratować jakąś część obiektu, co daje szanse na dalsze działanie naszej firmy. Dzięki przepisom techniczno-budowlanym, które wskazują cały szereg wymagań które musi spełnić inwestor czy właściciel w zakresie podziału obiektu na strefy pożarowe oraz tego jakie parametry muszą spełnić elementy oddzielenia przeciwpożarowego, które w takiej sytuacji są zastosowane w obiekcie, pojawia się nadzieja, że poniesione straty pożarowe zostaną zminimalizowane. Żeby jednak tak było, musimy zapewnić właściwe funkcjonowanie takich elementów w naszych obiektach. I o ile w przypadku stropów czy ścian oddzielenia przeciwpożarowego, ciężko na etapie użytkowania budynku „coś zepsuć” (jeżeli tylko nie uszkodzimy takiego elementu jakimś uderzeniem czy celowym „dziurawieniem”), to już w odniesieniu do otworów funkcjonalnych, w których zastosowano różne zamknięcia, takie jak: drzwi, bramy czy kurtyny przeciwpożarowe, możemy spotkać się z celowym blokowaniem takich elementów „przed zamknięciem”. Powody są po raz kolejny bardzo błahe: „bo są ciężkie i ciężko się otwierają”, „często się przez nie przejeżdża więc po co za każdym razem je otwierać i zamykać”, „przecież podłożenie takiego klina pod drzwi nie zrobi nic złego”. Niestety, przez brak zamknięcia takiej przegrody „zapraszamy” pożar do dalszego rozprzestrzeniania się w kolejnej części obiektu. Powoduje to często, że cały dorobek naszego życia idzie z dymem. Ale zaraz! Czy ja jako zarządzający zwróciłem kiedykolwiek na to uwagę? Ile razy przechodziłem przez te drzwi zabezpieczone przed zamknięciem „klinem”? Czy zastanawiałem się wtedy nad konsekwencjami braku reakcji na ten fakt? Niejednokrotnie refleksje przychodzą zbyt późno…

PRZYWÓDCO PAMIĘTAJ! To ty jesteś odpowiedzialny za bezpieczeństwo swoich ludzi i swoje mienie! Dlatego dbaj o prawidłowe nawyki wśród pracowników oraz odpowiednie rozwiązania techniczne i organizacyjne na terenie swojego przedsiębiorstwa.”

Pierwsza zasada: orientacja na klienta

W poprzednim artykule przywołałam przykład stosowania hełmu ochronnego, potocznie zwanego kaskiem. I w tym także posłużę się tym środkiem ochrony indywidualnej, jako przykładem. Wiemy, że klient oczekuje bezproblemowego wykonania zleconych prac. Do osiągnięcia takiego stanu rzeczy przyczynić się może m.in. zachowanie bezpieczeństwa. Za brak kasku mogą grozić dotkliwe kary – grzywny i mandaty, a nawet kara pozbawienia wolności, ale konsekwencje pracy bez kasku na głowie w niebezpiecznych miejscach mogą być przede wszystkim zagrożeniem dla zdrowia i życia pracownika.

Karę grzywny dla pracodawcy przyznaje się na podstawie art. 283 Katalog wykroczeń związanych z BHP Kodeksu pracy [8].

’Art. 283. Katalog wykroczeń związanych z BHP

§1. Kto, będąc odpowiedzialnym za stan bezpieczeństwa i higieny pracy albo kierując pracownikami albo innymi osobami fizycznymi, nie przestrzega przepisów lub zasad bezpieczeństwa i higieny pracy, podlega karze grzywny od 1000 zł do 30 000 zł.”

Do tak karanych naruszeń związanych bezpośrednio z hełmami ochronnymi należy również „§2. 4) wbrew obowiązkowi dostarczenie pracownikowi środki ochrony indywidualnej, które nie spełniają wymagań dotyczących oceny zgodności.”

Odpowiedzialność karna pracodawcy wynika z art. 220 Kodeksu karnego [9]:

„Art. 220. Narażenie życia albo zdrowia pracownika.

§1. Kto, będąc odpowiedziany za bezpieczeństwo i higienę pracy, nie dopełnia wynikającego stąd obowiązku i przez to naraża pracownika na bezpośrednie niebezpieczeństwo utraty życia albo ciężkiego uszczerbku na zdrowiu, podlega karze pozbawienia wolności do lat 3.

§2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

§3. Nie podlega karze sprawca, który dobrowolnie uchylił grożące niebezpieczeństwo.”

Stanie się tak, kiedy dojdzie do popełnienia przestępstwa, np. śmierci pracownika wskutek braku odpowiednich przepisów regulujących bezpieczne i higieniczne warunki pracy oraz związanego z tym wypadku. Warto pamiętać, że w tym przypadku katalog osób, które mogą zostać pociągnięte do odpowiedzialności, jest bardzo szeroki. Z jednej strony może być nim pracodawca, z drugiej – wszelkie inne osoby odpowiedzialne za przestrzeganie zasad BHP, np. kierownicy działów czy brygadziści. Odpowiedzialność karną zawsze będzie ponosić osoba fizyczna.

Ale przestrzeganie przepisów BHP należy do wspólnych obowiązków tak pracodawcy, jak i pracownika.

Pracownikom, którzy świadomie decydują się działać wbrew obowiązującym przepisom BHP pracodawca może, zgodnie z Kodeksem pracy [8], wymierzyć karę porządkową:

„Art. 108. Kary porządkowe.

§1. Za nieprzestrzeganie przez pracownika ustalonej organizacji i porządku w procesie pracy, przepisów bezpieczeństwa i higieny pracy, przepisów przeciwpożarowych (…) pracodawca może stosować:

  1. karę upomnienia;
  2. karę nagany,

§2. Za nieprzestrzeganie przez pracownika przepisów bezpieczeństwa i higieny pracy lub przepisów przeciwpożarowych (…) – pracodawca może również stosować karę pieniężną.”

W art. 108 Kodeksu pracy znajdziemy również ciekawy zapis:

„§4. Wpływy z kar pieniężnych przeznacza się na poprawę warunków bezpieczeństwa i higieny pracy.” Ciekawa jestem, czy jest to praktykowane w firmach, w których pracujecie?

Najpoważniejszym skutkiem braku kasku ochronnego będą jednak urazy pracownika od lekkich uderzeń w głowę, przez rozcięcia skóry, pęknięcie czaszki czy wstrząśnienie mózgu. Poważniejsze konsekwencje niesie ze sobą jednak uraz kręgosłupa czy uszkodzenie układu nerwowego. Czasami kask ochronny na głowie może wręcz uchronić pracownika przed kalectwem czy śmiercią.

Dodatkowo, jeżeli mówimy o wymaganiach prawnych, nie sposób nie zaakcentować, że zgodnie z art. 237. §3 Kodeksu pracy [9] „Pracodawca jest obowiązany dostarczać pracownikowi środki ochrony indywidualnej, które spełniają wymagania dotyczące oceny zgodności określone w odrębnych przepisach.” Dlatego właśnie podczas audytu systemu zarządzania jakością ISO 9001:2015, my, audytorzy, szukamy dowodów na to, że środki ochrony idndywidualnej, w które pracodawca wyposaża pracowników, spełniają wymagania dotyczące oceny zgodności, co potwierdza znak CE [10], umieszczony na środkach ochrony indywidualnej  w sposób widoczny, czytelny i trwały. W przypadku, gdy nie jest to możliwe lub nie jest to uzasadnione z uwagi na ich charakter, znak CE znajdziemy na opakowaniu oraz w dokumentach towarzyszących tym środkom.

Ponadto poszczególne rodzaje kasków muszą być wykonane zgodnie z odpowiednimi grupami przepisów, np.:

  • EN 812 „Przemysłowe hełmy lekkie” [11]
  • PN-EN 397+A1:2013-04 „Przemysłowe hełmy ochronne” [12]
  • PN-EN 14052+A1:2013-05 „Wysokoskuteczne przemysłowe hełmy ochronne” [13]
  • PN-EN 50365:2024-10 „Prace pod napięciem – Hełmy elektroizolacyjne do prac przy instalacjach nieskiego i średniego napięcia” [14]
  • EN 12492 „Sprzęt alpinistyczny – Kaski dla alpinistów – Wymagania bezpieczeństwa i metody badań” [15]

I już na koniec dodam tylko, że kask stosowany zimą powinien również chronić przed niską temperaturą – jeśli nie spełnia tego zadania, to czy pracownicy będą chętnie go nosili, czy nie?

To tylko wybrane szkody, wynikające z nierespektowania wymagań prawnych i regulacyjnych, w odniesieniu do  środków ochrony indywidualnej na przykładzie hełmów ochronnych, potocznie nazywanych kaskami.

Chcę jeszcze podkreślić, że zawsze w takiej sytuacji – najbardziej cierpi zaufanie klienta do firmy. Pamiętajmy, że tym klientem, klientem wewnętrznym, są pracownicy organizacji.

Czy widzimy ogrom reperkusji? Sankcje prawne, które mogą mieć charakter finansowy lub niemajątkowy, procesy sądowe, pozbawienie wolności, karna odpowiedzialność i wreszcie utrata reputacji i klientów – to wszystko są koszty, które może ponieść nie tylko właściciel przedsiębiorstwa, ale cała organizacja.

W takiej sytuacji proces nadzoru nad wymaganiami prawnymi i regulacyjnymi w organizacji ma fundamentalne znaczenie, ponieważ będzie obejmował wybór odpowiednich aktów (w tym norm, dyrektyw, itd. istotnych z punktu widzenia funkcjonowania przedsiębiorstwa oraz zapewnienia wymagań, dotyczących wyrobów i usług), ale również zabezpieczał aktualizowanie dotychczasowych, implementację nowych, zapewnienie dostępności oraz zabezpieczenie przed wykorzystaniem nieaktualnych.

Trzecia zasada: zaangażowanie ludzi

Chciałoby się zacząć: dawno, dawno temu… . No dobrze, 8 lat temu przeprowadzałam audyt zerowy w firmie zajmującej się wykonywaniem robót budowlanych i instalacji elektrycznych. Naturalnie te roboty wiążą się z ryzykowną i wymagającą pracą na wysokości. Państwowa Inspekcja Pracy podaje, że upadek z wysokości jest przyczyną co 6 wypadku śmiertelnego w całej gospodarce narodowej i aż co 3 wypadku śmiertelnego w budownictwie (dane z 2009 roku) [16]. Pracownicy muszą spełniać konkretne wymagania, a na pracodawców nakłada się szereg obowiązków, co przekłada się z kolei na konkretne zapisy i dokumenty, które muszą znaleźć się w aktach osobowych. Również szkody, wynikające z niespełnienia wymagań prawnych, zarówno tych, które dotyczą zaniedbań prowadzenia teczek osobowych, jak i tych związanych z pracami na wysokości, czy ochroną danych osobowych – są wielowymiarowe.

W przypadku audytowanej przeze mnie firmy, prowadzenie teczek osobowych powierzono księgowości zewnętrznej. Firma zatrudniała kilkanaście osób w ramach stosunku pracy. Jednak biuro księgowe udostępniło mi zaledwie kilka teczek osobowych, które zawierały szczątkową dokumentację. Proces uzupełnienia i uporządkowania dokumentacji trwał bardzo długo i prowadzony był z pomocą pracowników, którzy udostępniali np. swoje umowy do skopiowania i uzupełnienia akt. W takiej sytuacji firma traci zaufanie w oczach pracowników, tj. swojego klienta wewnętrznego / strony zainteresowanej.

Obecnie prowadzenie dokumentacji pracowniczej, w skład której wchodzą m.in. akta osobowe, reguluje znowelizowany w 2023 roku Kodeks pracy [8]. Nowelizacja Kodeksu pracy, która weszła w życie 26 kwietnia 2023 roku, wprowadziła do polskiego prawa przepisy dwóch dyrektyw Parlamentu Europejskiego i Rady Unii Europejskiej. Pierwsza dyrektywa (nr 2019/1152) dotyczy przejrzystych i przewidywalnych warunków pracy w Unii Europejskiej [17], natomiast druga dyrektywa (nr 2019/1158) dotyczy równowagi między życiem zawodowym a prywatnym rodziców i opiekunów [18].

Warto pamiętać, że obok dokumentacji pracowniczej, konieczne jest utrzymanie dokumentacji związanej z ZUS oraz kwestiami podatkowymi.

W art. 281 Katalog wykroczeń przeciwko prawom pracownika Kodeksu pracy znajdziemy informację o wysokości kary grzywny w wysokości od 1000 zł do 30 000 zł dla pracodawcy za zaniedbania czy niewłaściwe prowadzenie dokumentacji pracowniczej. A trzeba dodać, że nie jest to jedyna sankcja w tym obszarze.

Inne uregulowana prawne dot. prowadzenia akt osobowych to np.:

  • Ustawa z dnia 7 października 1999 r. o języku polskim [19],
  • Rozporządzenia Ministra Rodziny i Polityki Społecznej z dnia 9 maja 2023 r. zmieniające rozporządzenie w sprawie dokumentacji pracowniczej [20, 21]
  • Ustawa z dnia 9 marca 2023 r. o zmianie ustawy – Kodeks pracy oraz niektórych innych ustaw [22].

Odrębnym tematem, obarczonym wieloma konsekwencjami, jest tzw. praca na czarno, a mianowicie m.in.:

  • brak gwarancji zatrudnienia
  • brak gwarancji świadczeń, np. wynagrodzenia, odszkodowania za wypadek przy pracy czy zasiłku dla bezrobotnych w razie utraty pracy
  • kara grzywny w przypadku bezrobotnych, którzy nie wyrejestrowali się z urzędu pracy, a podjęli zatrudnienie, inną pracę zarobkową lub działalność gospodarczą [23].

Dane osobowe dotyczące pracowników, gromadzone m.in. w aktach osobowych, stanowią zbiór danych osobowych podlegających ochronie w odniesieniu do zarówno uchylonej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych [24], jak również ustawy z 10 maja 2018 r. o ochronie danych osobowych [25]. Celowo przywołuję uchyloną ustawę z 1997 roku, żeby przypomnieć, że Polska wcześniej, niż pojawiło się słynne Rozporządzenie 2016/679 (RODO) w 2016 roku [26], już posiadała akt prawny chroniący dane osobowe! Dlatego uważam, że RODO nie było rewolucją w tym obszarze, a tylko wartościowym pretekstem do podwyższenia świadomości, choć niestety nierzadko okazją do zarobienie łatwych pieniędzy na gotowych szablonach dokumentacji i szybkich, bezrefleksyjnych wdrożeniach – bez audytu zerowego.

Ogólnie rzecz biorąc, zakres danych, które pracodawca może wykorzystywać precyzuje art. 22 Kodeksu pracy [8], w tym zakres danych, jakie można pozyskiwać w trakcie rekrutacji, bazując na realizacji obowiązku prawnego – art. 6 ust. 1 lic. C RODO (pracodawca ma prawo żądać tych danych).

W kontekście akt osobowych warto podkreślić, że przetwarzanie danych osobowych kandydatów do pracy i pracowników skutkuje dla pracodawcy tym, że staje się on administratorem tych danych i bierze na siebie szereg obowiązków, które zostały określone we właściwych aktach prawnych dot. ochrony danych osobowych.

Najistotniejsze z nich jest to, że pracodawca może żądać od osób ubiegających się o zatrudnienie i od pracowników podania jedynie tych danych, do zbierania których uprawniają go przepisy prawa (nie na zapas i nie na wszelki wypadek); po zakończeniu rekrutacji dane kandydatów powinny być niezwłocznie usunięte – chyba, że ze względu na zainteresowanie przyszłymi naborami sami wyrażą zgodę na dłuższe wykorzystywanie ich danych; szczególnej świadomości wymaga wykorzystywanie nowoczesnych technologii np. podczas prowadzenia elektronicznej ewidencji czasu pracy, czy monitorowania aktywności zatrudnionych; zabezpieczenie danych osobowych przed działaniem osób nieupoważnionych do ich przetwarzania, czy wreszcie zapewnienie bezpieczeństwa przetwarzania danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, przed oraz w trakcie przetwarzania. Środki techniczne mogą mieć charakter materialny, odnoszący się do pomieszczeń, gdzie przetwarzane są dane, oraz charakter informatyczny, w przypadku przetwarzania za pomocą systemów informatycznych. Środki organizacyjne mogą dotyczyć wewnętrznych norm prawnych oraz polityk bezpieczeństwa.

I teraz, znowu to powtarzam, szkody wynikające z niespełnienia wymagań prawnych ochrony danych osobowych są wielowymiarowe, że wymienię tylko niektóre z nich.

Przepisy o administracyjnych karach pieniężnych i przepisy karne znajdziemy w rozdziale 11 Ustawy o ochronie danych osobowych [25].

M.in. zgodnie z „art. 107:

  1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawiony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
  2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.”

Przykład – pracodawca / administrator umyślnie pobiera od pracowników dane dotyczące karalności, kiedy nie ma ku temu podstawy w przepisach prawa.

Z kolei skutki za naruszenie RODO znajdziemy w Rozdziale XIII (Środki ochrony prawnej, odpowiedzialność i sankcje) Rozporządzenia 2016/679 [26].

Naruszenia przepisów od a do c wymienionych w artykule 83 Ogólne warunki nakładania administracyjnych kar pieniężnych punkt 4 „podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.”

Natomiast naruszenia przepisów od a do e wymienionych w punkcie 5 tego artykułu „podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.”

Przykładem naruszenia jest umieszczenie na skierowaniu na badania profilaktyczne informacji o stanie zdrowia pracownika bez podstawy prawnej i udostępnienie ich osobom nieupoważnionym.

Rozmiar kar pieniężnych możemy znaleźć na stronie Urzędu Ochrony Danych Osobowych zakładce Decyzje Prezesa UODO i np. stronie orodo.pl/kary-rodo/, gdzie znajdziemy aktualną listę kar nałożonych przez organy nadzorcze w całej Europie, szczegółowe analizy najbardziej znaczących przypadków, za które firmy otrzymały kary RODO. Te case studies dostarczają cennych wniosków i praktycznych wskazówek, jak uniknąć podobnych błędów w Waszej organizacji.

Siódma zasada – zarządzanie relacjami

W art. 107 ust. 2 u.o.d.o. przywołano rodzaj przetwarzanych danych, a mianowicie danych szczególnych kategorii (tzw. danych wrażliwych), których katalog został określony w art. 9 ust. 1 rozporządzenia 2016/679. W poprzednim artykule podałam przykład gabinetu podologicznego, który zlecił kancelarii prawnej zaprojektowanie dokumentacji przetwarzania danych osobowych. Dokumentacji, którą mi przedłożono do podpisania jako klientowi (ale również konsultantowi, wdrożeniowcowi i audytorowi w obszarze ochrony danych osobowych) nie przyjęłam, ponieważ kategorycznie nie spełniała wymagań RODO. Nie zastosowano również żadnych środków technicznych i organizacyjnych. Tablet, na którym powinnam była złożyć, wg zasad gabinetu, swój podpis – był podczas zabiegów pozostawiany bez żadnego nadzoru w recepcji.

Wystarczy tylko, aby niezadowolony klient wniósł skargę do Prezesa UODO (niezgodne z prawem przetwarzanie danych osobowych, w tym danych szczególnej kategorii bez podstawy prawnej, oraz niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniający stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych) – i gabinet z dnia na dzień traci, z powodu swojej nieodpowiedzialności biznesowej – pieniądze, klientów, wiarygodność, a w skrajnym przypadku – pracownicy tracą zatrudnienie.

Próbowałam Wam przekazać, że w żadnej mierze nie opłaca się „być na bakier z prawem”. Z całą pewnością również i Wy możecie tutaj przywołać wiele przykładów  konsekwencji, sankcji, strat biznesowych. Dlatego uważam, że organizacje powinny podjąć wszelkie możliwe działania aby doprowadzić do zgodności z wymaganiami prawnymi.

Jak tego dokonać? Możliwe rozwiązania przedstawię w kolejnym artykule z tego cyklu, do którego przeczytania już dziś serdecznie Państwa zachęcam.

Jeżeli macie pytania dotyczące wymagań prawnych i regulacyjnych w odniesieniu do wymagań normy ISO 9001:2015 postaram się na nie odpowiedzieć, wedle mojej najlepszej wiedzy z uwzględnieniem konkretnych podstaw prawnych.

Dzielcie się też, proszę, swoimi spostrzeżeniami, doświadczeniami związanymi z wymaganiami prawnymi i regulacyjnymi ISO 9001, i ich zastosowaniem w doskonaleniu organizacji.

Wszyscy chcemy się przecież rozwijać, a jednym z lepszych na to sposobów jest dzielenie się wiedzą, ale także zadawanie pytań!

[1] PN-EN ISO 9000:2015, Systemy zarządzania jakością. Podstawy i terminologia…, pkt. 3.6.9, s. 23

[2] Rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 1 grudnia 1998 r. w sprawie bezpieczeństwa i higieny pracy na stanowiskach wyposażonych w monitory ekranowe, Dz..U. 1998 nr 148, poz. 973

[3] Quality Austria-Polska Sp. z o.o., ISO 9001:2015. Rewizja normy w prostych słowach, Quality Austria-Polska Sp. z o.o., Wersja: 2, maj 2016 rok, dostęp w dniu 6.11.2023 r.

[4] Document 31999L0034, Dyrektywa 1999/34/WE Parlamentu Europejskiego i Rady z dnia 10 maja 1999 r. zmieniająca dyrektywę Rady 85/374/EWG sprawie zbliżenia przepisów ustawowych, wykonawczych i administracyjnych Państw Członkowskich dotyczących odpowiedzialności za produkty wadliwe, Dz.U. L 141 z 4.6.1999, p. 20–21 (ES, DA, DE, EL, EN, FR, IT, NL, PT; Polskie wydanie specjalne: Rozdział 15 Tom 004 P. 147 – 148  

[5] Document 32001L0095, Dyrektywa 2001/95/WE Parlamentu Europejskiego i Rady z dnia 3 grudnia 2001 r. w sprawie ogólnego bezpieczeństwa produktówTekst mający znaczenie dla EOG. Dz.U. L 11 z 15.1.2002, p. 4–17 (ES, DA, DE, EL, EN, FR, IT, NL, PT, FI, SV); Polskie wydanie specjalne: Rozdział 15 Tom 006 P. 447 – 462

[6] Document 32008R0765, Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 765/2008 z dnia 9 lipca 2008 r. ustanawiające wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzania produktów do obrotu i uchylające rozporządzenie (EWG) nr 339/93 (Tekst mający znaczenie dla EOG), Dz.U. L 218 z 13.8.2008, p. 30–47 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

[7] Document 32009R0596, Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 596/2009 z dnia 18 czerwca 2009 r. dostosowujące do decyzji Rady 1999/468/WE niektóre akty podlegające procedurze, o której mowa w art. 251 Traktatu, w zakresie procedury regulacyjnej połączonej z kontrolą – Dostosowanie do procedury regulacyjnej połączonej z kontrolą – Część czwarta, Dz.U. L 188 z 18.7.2009, p. 14–92 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

[8] Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 16 czerwca 2023 r. w sprawie ogłoszenia jednolitego tekstu ustawy – Kodeks pracy, Dz.U. 2023 poz. 1465

[9] Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny. Dz.U. 1997 nr 88 poz. 553

[10] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/425 z dnia 9 marca 2016 r. w sprawie środków ochrony indywidualnej oraz uchylenia dyrektywy Rady 89/686/EWG, Document 32016R0425

[11] PN-EN 812:2012 – wersja angielska, Przemysłowe hełmy lekkie, data publikacji 28-03-2012

[12] PN-EN 397+A1:2013-04 – wersja angielska, Przemysłowe hełmy ochronne, data publikacji 30.04.2013 r.

[13] PN-EN 14052+A1:2013-04 – wersja angielska, Wysokoskuteczne przemysłowe helmy ochronne, data publikacji 30.04.2013 r.

[14] PN-EN 50365:2024-10 – wersja angielska, Hełmy elektroizolacyjne do prac przy instalacjach niskiego i średniego napięcia, data publikacji 7.10.2024 r.

[15] EN 12492:2012 – wersja angielska, Sprzęt alpinistyczny – Kaski dla alpinistów. Wymagania bezpieczeństwa i metod badań. Data publikacji 5.04.2012 r.

[16] Andrzej Herzberg „Prace na wysokości”, data publikacji 16.03.2023 r., www.pip.gov.pl/publikacje/publikacje-dla-pracownikow/prace-nawysokosci, dostęp: 6.11.2023 r.

[17] Document 32019L1152 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1152 z dnia 20 czerwca 2019 r. w sprawie przejrzystych i przewidywalnych warunków pracy w Unii Europejskiej PE/43/2019/REV/1 Dz.U. L 186 z 11.7.2019, p. 105–121 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

[18] Document 32019L1158 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1158 z dnia 20 czerwca 2019 r. w sprawie równowagi między życiem zawodowym a prywatnym rodziców i opiekunów oraz uchylająca dyrektywę Rady 2010/18/UE PE/20/2019/REV/1 Dz.U. L 188 z 12.7.2019, p. 79–93 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

[19] Ustawa z dnia 7 października 1999 r. o języku polskim, Dz.U. 1999 nr 90 poz. 999

[20] Rozporządzenie Ministra Rodziny i Polityki Społecznej z dnia 9 maja 2023 r. zmieniające rozporządzenie w sprawie dokumentacji pracowniczej Dz.U. 2023 poz. 879

[21] Rozporządzenie Ministra Rodziny i Polityki Społecznej z dnia 6 marca 2023 r. zmieniające przepisy w sprawie dokumentacji pracowniczej, Dz.U.2023.471

[22] Ustawa z dnia 9 marca 2023 r. o zmianie ustawy – Kodeks pracy oraz niektórych innych ustaw, Dz. U. 2023.641

[23] Ustawa z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy, Dz.U. 2004 nr 99 poz. 1001

[24] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz. U. 1997 nr 133 poz. 883

[25] Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz. U. 2018 poz. 1000

[26] Document 32016R0679 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)  Dz.U. L 119 z 4.5.2016, p. 1–88 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)