Z uwagi na zły stan zdrowia byłam przez ponad miesiąc na zwolnieniu lekarskim. Pracodawca na wystawionym skierowaniu na kontrolne badania lekarskie podał przyczynę mojej niezdolności do pracy (depresja) oraz wskazał specjalizację lekarza, który wystawił zwolnienie lekarskie (lekarz psychiatra). Czy pracodawca miał prawo umieścić takie informacje na druku skierowania?
Konieczność wystawienia takiego skierowania wynika z art. 229 par. 2 kodeksu pracy. Zgodnie z nim w przypadku niezdolności do pracy spowodowanej chorobą trwającą dłużej niż 30 dni pracownik podlega kontrolnym badaniom lekarskim w celu ustalenia zdolności do wykonywania pracy na dotychczasowym stanowisku. Wstępne, okresowe i kontrolne badania lekarskie przeprowadza się na podstawie skierowania wydanego przez pracodawcę. Skierowanie na badania lekarskie jest wydawane w dwóch egzemplarzach, z których jeden otrzymuje osoba kierowana na badania. W powyższej sprawie niezbędne jest także uwzględnienie przepisów o ochronie danych osobowych, w tym w szczególności RODO.
Szczególna kategoria danych
W art. 5 RODO zawarto ogólne zasady dotyczące przetwarzania danych osobowych, tj. zasadę legalności, rzetelności, przejrzystości, ograniczenia celu przetwarzania, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności oraz rozliczalności. Ustęp 2 tego artykułu nakłada natomiast na administratora obowiązki w zakresie przestrzegania zasad i obarcza go odpowiedzialnością za ich naruszenie. Pracodawca jako administrator danych musi przestrzegać zasad przetwarzania danych wynikających z art. 5 RODO.
Należy również przypomnieć, że przetwarzanie danych osobowych powinno spełniać określone warunki wymienione w art. 6 ust. 1 RODO. Co do zasady RODO zabrania przetwarzania informacji o zdrowiu pracownika jako danych szczególnej kategorii. Jednak są wyjątki od tej zasady określone art. 9 ust. 2 RODO. Obejmują one następujące sytuacje:
- osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo UE lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić takiego zakazu;
- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem UE lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
- przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
- przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
- przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa UE lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków oraz zabezpieczeń, o których mowa w art. 9 ust. 3 (pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej);
- przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
- przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 rozporządzenia RODO, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
W kontekście przedstawionej sprawy istotna jest też zasada legalności przetwarzania (art. 5 ust. 1 lit. a RODO), na mocy której dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
!Dane o zdrowiu pracownika są danymi szczególnej kategorii objętymi generalnym zakazem przetwarzania. Można je przetwarzać tylko w sytuacjach określonych w przepisach RODO.
Ponadto należy zwrócić uwagę, że załącznik nr 3a do rozporządzenia ministra zdrowia i opieki społecznej w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w kodeksie pracy dokładnie określa zakres danych, jakie pracodawca powinien zamieścić w skierowaniu na badania. Załącznik nie wskazuje, że na skierowaniu powinny znaleźć się informacje o stanie zdrowia ani o specjalizacji lekarza, który wystawił pracownikowi zwolnienie lekarskie.
Podsumowanie
W opisywanej sytuacji nie miała miejsca żadna z wymienionych wyżej sytuacji stanowiących wyjątek od ogólnej zasady zakazu przetwarzania informacji o zdrowiu pracownika. Zatem działanie pracodawcy stanowiło naruszenie art. 9 ust. 2 RODO w zw. z art. 5 ust.1 lit. a RODO, co może być podstawą skargi pracownika do prezesa Urzędu Ochrony Danych Osobowych. W analogicznej sprawie, zakończonej decyzją z 27 kwietnia 2022 r., znak DS. 523.7376.2021, prezes UODO udzielił pracodawcy upomnienia oraz nakazał usunięcie spornych danych osobowych pracownika z wystawionych skierowań na badania. ©℗
Podstawa prawna
Podstawa prawna
• art. 229 par. 2 ustawy z 26 czerwca 1974 r. ‒ Kodeks pracy (t.j. Dz.U. z 2023 r. poz. 1465)
• art. 5, art. 6 ust. 1, art. 9 ust. 2‒3, art. 89 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 29 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; ost.zm. Dz.Urz. UE z 2021 r. L 74, s. 35; RODO)
• załącznik nr 3a do rozporządzenia ministra zdrowia i opieki społecznej z 30 maja 1996 r. w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy (t.j. Dz.U. z 2023 r. poz. 607)