Płatnicy chcą znać dokumentację medyczną zatrudnionych

Występują o nią, gdy sami wnioskowali do ZUS o przeprowadzenie kontroli zwolnienia lekarskiego pracownika. Nie ma jednak możliwości, by organ rentowy ich wniosek rozpatrzył pozytywnie. Dostęp do danych o stanie zdrowia jest chroniony – nawet gdy absencja chorobowa była nadużywana.

Pracownik przebywający na zwolnieniu lekarskim może podlegać kontroli, czy prawidłowo wykorzystuje zwolnienie od pracy, oraz kontroli tego, czy jego zaświadczenie o niezdolności do pracy zostało wystawione zasadnie. Kontrola prawidłowości wykorzystania zwolnienia może być przeprowadzona przez płatnika składek (jeśli zatrudnia i zgłasza do ubezpieczenia chorobowego powyżej 20 ubezpieczonych) lub przez ZUS (w przypadku mniejszego płatnika) wówczas kontrolę zasadności zaświadczenia przeprowadzają lekarze orzecznicy ZUS. We wszystkich tych przypadkach, gdy do kontroli uprawniony jest jedynie ZUS, płatnicy mogą wnioskować o jej przeprowadzenie. O wynikach płatnik zostaje powiadomiony, ale nie może poznać ich szczegółów. I tu wielu z nich jest zaskoczonych. Chcą bowiem poznać zawartości dokumentacji medycznej, a więc np. tego, na co choruje pracownik i czy w ogóle. Jest im to potrzebne np. do przeprowadzenia procesu ewentualnego zwolnienia z pracy. Ale składając wnioski do ZUS o dostęp do takiej dokumentacji, odchodzą z kwitkiem. Na przeszkodzie w udostępnieniu danych o zdrowiu stoją bowiem przepisy o ochronie danych. Uznają one, że są to dane szczególnej kategorii.

Na straży stoi RODO

Zgodnie z definicją legalną określoną w art. 4 pkt 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 29 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej, w tym o korzystaniu z usług opieki zdrowotnej, ujawniające informacje o stanie jej zdrowia. Na podstawie art. 9 ust. 1 RODO zabrania przetwarzania informacji o zdrowiu pracownika. Wyjątki od tej zasady określone zostały w 10 punktach (art. 9 ust. 2 RODO) i są one następujące:

1) na przetwarzanie danych jest zgoda osoby, której dane dotyczą (…);

2) jest niezbędność przetwarzania do wypełnienia obowiązków w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (…);

3) jest niezbędność przetwarzania do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (…);

4) przetwarzanie dokonywane jest w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych (…);

5) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;

6) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;

7) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego (…);

8) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego (…)

9) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego (…);

10) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych (…).

Kodeks pracy w art. 221 par.1 k.p. jednoznacznie określa zakres danych osobowych, których może żądać pracodawca od osoby ubiegającej się o zatrudnienie, jak również już zatrudnionej. Od osoby zatrudnianej może oczekiwać podania: imienia (imion) i nazwiska; daty urodzenia; danych kontaktowych; danych dotyczących wykształcenia; dotyczących kwalifikacji zawodowych; danych o przebiegu dotychczasowego zatrudnienia. Z kolei par. 3 tego artykułu reguluje zakres danych od pracownika, takich jak: adres zamieszkania; numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość; inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy; wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie; numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

Natomiast z par. 4 wynika, że pracodawca może także żądać od pracownika podania innych niż powyższe danych, ale tylko wtedy, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

Jak wynika z powyższych uregulowań, pracodawca co do zasady nie może przetwarzać informacji dotyczących zdrowia pracownika. Tym bardziej nie może mieć wglądu w dokumentację medyczną lub w badania lekarskie pracownika (zob.: Newsletter UODO dla Inspektorów Ochrony Danych 2020, nr 5 (14).

Możliwa zgoda

Warto jeszcze odnieść się do wyżej wymienionych wyjątków w zakresie przetwarzania danych dotyczących zdrowia (art. 9 ust. 2 RODO).

I tak, jeśli chodzi o zgodę pracownika na przetwarzanie przez pracodawcę informacji dotyczącej zdrowia, należy pamiętać, że zgoda musi spełniać określone warunki. Jak wynika z art. 221b par. 1 k.p., zgoda pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych wyłącznie w przypadku, gdy przekazanie tych danych następuje z inicjatywy pracownika. Według natomiast art. 4 pkt 11 RODO zgoda oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Zgoda na przetwarzanie danych musi precyzyjnie określać zakres i cel przetwarzania danych, na który dana osoba ją wyraża. Musi też zawierać oświadczenie, że zgoda została wyrażona dobrowolnie, a także informację, że osoba została poinformowana przez administratora danych osobowych o przysługujących jej prawach do wglądu w swoje dane i możliwości wycofania zgody w dowolnym momencie.

Z kolei wobec przesłanek wskazanych w pkt 2–10 za dopuszczalne należałoby uznać przetwarzanie przez pracodawcę danych dotyczących zdrowia pracownika, w sytuacji gdy uzyskanie takiej informacji przez pracodawcę będzie warunkowało możliwość prawidłowego wykonania ciążących na nim obowiązków. I tak np. w myśl art. 207 par. 2 k.p. pracodawca jest obowiązany chronić zdrowie i życie pracowników przez zapewnienie bezpiecznych i higienicznych warunków pracy przy odpowiednim wykorzystaniu osiągnięć nauki i techniki. W szczególności pracodawca jest obowiązany organizować pracę w sposób zapewniający bezpieczne i higieniczne warunki pracy, a także uwzględniać ochronę zdrowia młodocianych, pracownic w ciąży lub karmiących dziecko piersią oraz pracowników z niepełnosprawnością w ramach podejmowanych działań profilaktycznych.

Podsumowanie

Należy zatem uznać, że dane dotyczące zdrowia są danymi szczególnej kategorii i wymagają szczególnej ochrony, bo ich przetwarzanie może powodować poważne ryzyko dla podstawowych praw i wolności osoby, której dane dotyczą. Zgodnie z jedną z naczelnych zasad wynikających z RODO każdy proces przetwarzania danych osobowych musi być zgodny z prawem. Oznacza to, że przetwarzając dane osobowe szczególnej kategorii, należy legitymować się przynajmniej jedną z przesłanek określonych w art. 9 ust. 2 RODO.

Dlatego w sytuacji gdy pracodawca domaga się dostępu do dokumentacji medycznej znajdującej się w aktach kontroli zaświadczenia lekarskiego przeprowadzanej przez ZUS, jego wniosek nie zostanie spełniony, bo nie ma do tego podstawy prawnej. Prowadzi to do wniosku, że żadne informacje dotyczące zdrowia znajdujące się w aktach kontroli zaświadczenia lekarskiego nie mogą zostać udostępnione pracodawcy (np. dokumentacja medyczna, wydruk zaświadczenia lekarskiego z kodem choroby ICD-10 itp.).

Na marginesie warto dodać, że uprawnienia pracodawcy podczas kontroli prawidłowości wykorzystania zwolnienia także nie dają mu dostępu do dokumentacji medycznej, a sprowadzają się jedynie do ustalenia (np. w miejscu pracy, miejscu zamieszkania, miejscu czasowego pobytu pracownika), czy pracownik w okresie zwolnienia lekarskiego nie wykonuje pracy zarobkowej lub nie wykorzystuje zwolnienia lekarskiego w sposób niezgodny z jego celem. ZUS natomiast jako organ rentowy jest z mocy prawa uprawniony do występowania z wnioskiem o udostępnienie dokumentacji medycznej. ©℗