Zestawienia przy fakturach
Zestawienia przy fakturach – analizując przedmiotowe zagadnienie, sprowadzające się w praktyce do przekazywania pracodawcom, kierującym w ramach medycyny pracy swoich pracowników na badania, zestawień zawierających dane pracowników oraz rodzaj, albo wyniki badań, zaznaczyć należy, iż takie przekazywanie informacji stanowi przejaw przetwarzania szczególnej kategorii danych.
Podstawy prawne do przetwarzania danych
Zgodnie z art. 9 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)[dalej RODO] cyt.: „(…) zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby (…)”. Przetwarzanie, takich danych, możliwe jest jednak w wyjątkowych sytuacjach, które enumeratywnie wskazane zostały treścią art. 9 ust. 2 RODO. Uprzedzając dalsze rozważania, już na tym etapie warto wskazać, iż przepis art. 9 ust. 2 RODO, nie wprowadza wyjątku, który to pozwalałby pracodawcy na przetwarzanie danych medycznych dotyczących pracownika w związku z medycyną pracy.
Art. 4 ust. 15 RODO „(…)„Dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia(…)”
Rola pracodawcy
Zgodnie z art. 229 § 4 k.p. cyt.: „(…) pracodawca nie może dopuścić do pracy pracownika bez aktualnego orzeczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy na określonym stanowisku w warunkach pracy opisanych w skierowaniu na badania lekarskie (…)”, co oznacza tyle, iż rola pracodawcy ograniczona został do konieczności podjęcia działań, mających na celu ustalenie zdolności pracownika do pracy na określonym stanowisku, poprzez skierowanie go na stosowne badania w ramach medycyny pracy. Badania w wyniku, którego wydawane jest adekwatne orzeczenie lekarskie o zdolności do wykonywania pracy, albo o jej braku. Jak również obowiązkiem pracodawcy jest odpowiednie zareagowanie w sytuacji orzeczenie stwierdzającego brak zdolności do wykonywania pracy danego rodzaju na danym stanowisku.
Zdaniem UODO.
Powyższe jednoznacznie wskazuje, co również podniósł Urząd Ochrony Danych Osobowych w piśmie z dnia 14 maja 2019 r., (znak. ZSZ.ZS.027.79.2019.MS.38722), iż cyt.: „(…) decyzję dotyczącą stwierdzenia bądź istnienia przeciwskazań do pełnienia służby podejmuje tylko i wyłącznie – na podstawie przeprowadzonych badań, lekarz orzecznik (…)”, co oznacza, tyle iż nie jest rolą pracodawcy decydowanie w tym zakresie. Zestawienia przy fakturach zatem jest elementem zbuteczny dla pracodawcy.
Rodzaj badania oraz wyniki badania
Zgodnie z Motywem 35 RODO cyt.: „(…) do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro (…)”, co oznacza tyle, iż do danych medycznych, w analizowanym przypadku, zaliczać będziemy zarówno informacje o rodzaju wykonanych w odniesieniu do pracownika badań, jak i o wynikach tych badań.
Zasady RODO
Zgodnie z art. 5 ust. 1 lit c) RODO cyt.: „(…) Dane osobowe musza być: (…) c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”) (…)” co oznacza tyle, iż przepis nakłada na pracodawcę – jako administratora danych osobowych, obowiązek przetwarzania danych osobowych w sposób adekwatny, stosowny i ograniczony do tego, co jest niezbędne do celów przetwarzania, obowiązek przetwarzania danych osobowych wyłącznie w niezbędnym zakresie. Oznacza to, iż cytowany przepis przyznaje uprawnienie, przysługujące każdej osobie której dane dotyczą, polegające na tym, że oczekiwać może tego, że administrator danych osobowych przetwarza dotyczące jej dane w sposób adekwatny, stosowny i ograniczony do tego co jest niezbędne do celów przetwarzania.
Zakres wykonanych badań a koszty pracodawcy
Argumentem, którym najczęściej posługują się pracodawcy, oczekujący, dostarczania im zestawień wykonanych badań względem poszczególnych pracowników, jest troska o finanse. Troska realizowana poprzez pryzmat ewentualnej kontroli zakresu przeprowadzonych badań w odniesieniu do konkretnych pracowników. W tym miejscu jednak wskazać należy, iż decyzję o zakresie badań, adekwatnych do opisanego rodzaju pracy, stanowiska pracy pracownika poddawanego badaniu, podejmuje lekarz, zgodnie z § 2 ust. 2 Rozporządzenia Ministra Zdrowia i Opieki Społecznej w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy. Zgodnie z ww. przepisem cyt.: „(…) lekarz przeprowadzający badanie profilaktyczne może poszerzyć jego zakres o dodatkowe specjalistyczne badania konsultacyjne oraz badania dodatkowe, a także wyznaczyć krótszy termin następnego badania, niż to określono we wskazówkach metodycznych, jeżeli stwierdzi, że jest to niezbędne dla prawidłowej oceny stanu zdrowia osoby przyjmowanej do pracy lub pracownika (…)”, co oznacza tyle, iż pracodawca nie posiada uprawnień do merytorycznego kwestionowania zakresu przeprowadzonych badań.
Zdaniem UODO
Urząd w treści wyżej wymienionej korespondencji słusznie podnosi, iż cyt.: „(…) prawo do prywatności o ochrony danych osobowych jednostki e zestawieniu z aspektem finansowym – kosztami poniesionym przez pracodawcę na wykonanie badań pracowników – ma nadrzędne znaczenie (…)”. Co więcej w treści ww. wystąpienia czytamy, iż cyt.: „(…) cel służący rozliczeniom nie może prowadzić do udostępniania danych osobowych pracownika dotyczących jego zdrowia. Wskazać należy, że (…) imienny wykaz pracowników wraz z adnotacją o wykonanych badaniach lekarskich i laboratoryjnych – w ocenie organu ochrony danych osobowych, prowadziłby do naruszenia prawa do prywatności i ochrony danych osobowych pracownika (…)”.
Konsekwencje
Naruszenie zasady adekwatności określonej w art. 5 ust. 1 c) RODO, może w skrajnym przypadku prowadzić do nałożenia na pracodawcę – jako administratora danych osobowych gromadzącego dane z naruszeniem ww. zasady – sankcji przewidzianych w art. 83 ust. 5 RODO. Stwarza również ryzyko pociągnięcia go do odpowiedzialności odszkodowawczej, o jakiej mowa w art. 82 ust. 1 RODO.
Art. 82 ust. 1 RODO „(…)Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę(…)”.
Zalecenie praktyczne
Powyższe rozwiązanie w całości wyeliminuje ryzyko po stronie pracodawcy będącego odrębnym administratorem danych osobowych postawienia mu zarzutu przetwarzania danych z naruszeniem zasady adekwatności, minimalizacji danych, oraz po stronie Jednostki możliwość zarzutu przetwarzania danych poprzez ich udostępnianie niezgodnie z przepisami.
Zestawienia przy fakturach zawierające dane pracowników, wraz z wynikami ich badań, nie powinno trafiać do pracodawców, kierujących na badania w ramach medycyny pracy.
Zestawienie imienne pracowników i wyników badań a prawo pracodawcy do kontroli zakresu przeprowadzonych badań w ramach medycyny pracy.
Autorem niniejszego tekstu jest: Dominik Spałek. Copyright by © D.Spałek
Kontakt z autorem: biuro@prostetorodo.pl / www.prostetorodo.pl
Autor wyraża zgodę na niekomercyjne udostępnianie niniejszego tekstu, jednak wyłącznie w niezmienionej formie i treści, łącznie z niniejszymi zapisami.
Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.
Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.
99,00 pln
Lista pytań kontrolnych NIK. Przygotuj się na kontrolę, przeprowadź ją sam, na podstawie wyników raportu NIK.
69,00 pln
Procedura realizacji praw osób, których dane dotyczą z art. 15-20 RODO to narzędzie, które ułatwi Państwu spełnienie obowiązków ADO.