Konieczność wystawienia takiego skierowania wynika z art. 229 par. 2 kodeksu pracy. Zgodnie z nim w przypadku niezdolności do pracy spowodowanej chorobą trwającą dłużej niż 30 dni pracownik podlega kontrolnym badaniom lekarskim w celu ustalenia zdolności do wykonywania pracy na dotychczasowym stanowisku. Wstępne, okresowe i kontrolne badania lekarskie przeprowadza się na podstawie skierowania wydanego przez pracodawcę. Skierowanie na badania lekarskie jest wydawane w dwóch egzemplarzach, z których jeden otrzymuje osoba kierowana na badania. W powyższej sprawie niezbędne jest także uwzględnienie przepisów o ochronie danych osobowych, w tym w szczególności RODO.

Szczególna kategoria danych

W art. 5 RODO zawarto ogólne zasady dotyczące przetwarzania danych osobowych, tj. zasadę legalności, rzetelności, przejrzystości, ograniczenia celu przetwarzania, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności oraz rozliczalności. Ustęp 2 tego artykułu nakłada natomiast na administratora obowiązki w zakresie przestrzegania zasad i obarcza go odpowiedzialnością za ich naruszenie. Pracodawca jako administrator danych musi przestrzegać zasad przetwarzania danych wynikających z art. 5 RODO.

Należy również przypomnieć, że przetwarzanie danych osobowych powinno spełniać określone warunki wymienione w art. 6 ust. 1 RODO. Co do zasady RODO zabrania przetwarzania informacji o zdrowiu pracownika jako danych szczególnej kategorii. Jednak są wyjątki od tej zasady określone art. 9 ust. 2 RODO. Obejmują one następujące sytuacje:

  • osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo UE lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić takiego zakazu;
  • przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem UE lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
  • przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
  • przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
  • przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
  • przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa UE lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków oraz zabezpieczeń, o których mowa w art. 9 ust. 3 (pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej);
  • przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
  • przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 rozporządzenia RODO, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

W kontekście przedstawionej sprawy istotna jest też zasada legalności przetwarzania (art. 5 ust. 1 lit. a RODO), na mocy której dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

!Dane o zdrowiu pracownika są danymi szczególnej kategorii objętymi generalnym zakazem przetwarzania. Można je przetwarzać tylko w sytuacjach określonych w przepisach RODO.

Ponadto należy zwrócić uwagę, że załącznik nr 3a do rozporządzenia ministra zdrowia i opieki społecznej w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w kodeksie pracy dokładnie określa zakres danych, jakie pracodawca powinien zamieścić w skierowaniu na badania. Załącznik nie wskazuje, że na skierowaniu powinny znaleźć się informacje o stanie zdrowia ani o specjalizacji lekarza, który wystawił pracownikowi zwolnienie lekarskie.

Podsumowanie

W opisywanej sytuacji nie miała miejsca żadna z wymienionych wyżej sytuacji stanowiących wyjątek od ogólnej zasady zakazu przetwarzania informacji o zdrowiu pracownika. Zatem działanie pracodawcy stanowiło naruszenie art. 9 ust. 2 RODO w zw. z art. 5 ust.1 lit. a RODO, co może być podstawą skargi pracownika do prezesa Urzędu Ochrony Danych Osobowych. W analogicznej sprawie, zakończonej decyzją z 27 kwietnia 2022 r., znak DS. 523.7376.2021, prezes UODO udzielił pracodawcy upomnienia oraz nakazał usunięcie spornych danych osobowych pracownika z wystawionych skierowań na badania. ©℗