Od momentu kiedy zaczęło obowiązywać RODO minęło już prawie 5 miesięcy. Mimo to wciąż pojawia się wiele wątpliwości i praktycznych problemów związanych z właściwą interpretacją aktualnych przepisów o ochronie danych osobowych. Jednym z takich problematycznych obszarów była kwestia realizowania przez placówki medyczne świadczeń z zakresu medycyny pracy.
Po 25 maja 2018 wielu pracodawców wysyłało umowy powierzenia do placówek medycznych w związku z obowiązkiem badań okresowych i profilaktycznych pracowników i kandydatów, co stawiało placówki w niekorzystnej pozycji procesora.
Eksperci JAMANO od samego początku przekonywali, że w relacji pracodawca-jednostka medycyny pracy mamy do czynienia z udostępnieniem, nie zaś powierzeniem przetwarzania danych – co oznacza, że w tym wypadku jest dwóch odrębnych administratorów danych. Dlaczego?
Jednym z obowiązków pracodawcy, zgodnie z przepisami prawa pracy, jest kierowanie osób zatrudnionych na badania lekarskie. Artykuł 229 Kodeksu pracy wskazuje w szczególności, że pracodawca może dopuścić do pracy jedynie osobę posiadającą aktualne orzeczenie lekarskie, a wszelkie badania tego typu (wstępne, okresowe, kontrolne) odbywają się na podstawie skierowania wydanego przez pracodawcę. Regulacja ta jednoznacznie przesądza, że to pracodawca – w odniesieniu do danych pracowników kierowanych na badania – jest ich administratorem w rozumieniu przepisów ogólnego rozporządzenia o ochronie danych (RODO).
Opisane wyżej badania lekarskie są realizowane przez odrębny podmiot – placówkę medyczną, świadczącą usługi z zakresu medycyny pracy. Ustawa o służbie medycyny pracy określa, że badania wstępne, okresowe i kontrolne pracowników oraz inne świadczenia zdrowotne są wykonywane na podstawie pisemnej umowy między pracodawcą a placówką medyczną – umowa powinna określać w szczególności osoby objęte świadczeniami z tytułu umowy. Obowiązek przekazania danych osobowych pracowników i osób przyjmowanych do pracy wynika zatem z przywołanych przepisów.
Jednostka medycyny pracy staje się zatem odrębnym administratorem wobec tych danych osobowych, przetwarza bowiem szerszy zakres informacji na temat tych osób. Artykuł 11 przywołanej ustawy o służbie medycyny pracy zobowiązuje taką jednostkę do prowadzenia dokumentacji medycznej, która zawiera – poza informacjami przekazanymi przez pracodawcę – inne dane, w tym przede wszystkim dotyczące zdrowia pracowników i osób przyjmowanych do pracy.
Co więcej, pracodawca nie ma nawet prawa przetwarzania danych w takim zakresie, stałoby to bowiem w sprzeczności z art. 22[1] Kodeksu pracy, który zawiera zamkniętą listę informacji o pracowniku i osobie przyjmowanej do pracy, jakie pracodawcy wolno przetwarzać. Danych wrażliwych o stanie zdrowia tam nie znajdziemy, nie mogą więc trafić do pracodawcy.
Realizacja zadań wynikających z przepisów o medycynie pracy oznacza w praktyce, że jednostka medycyny pracy występuje w roli odrębnego administratora danych, nie zaś procesora. Podstawą prawną, legitymizującą tę jednostkę do przetwarzania danych pracowników i osób przyjmowanych do pracy, jest art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. h RODO w związku z art. 11 i art. 12 ust. 2 pkt. 1 Ustawy o służbie medycyny pracy.
Miło nam poinformować, że w ostatnich dniach Prezes Urzędu Ochrony Danych Osobowych zaprezentował opinię potwierdzającą stanowisko JAMANO. W najnowszej publikacji Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców z 4 października 2018 r. czytamy: Czy kierując pracowników na badania profilaktyczne pracodawca musi zawrzeć z jednostką służby medycyny pracy umowę powierzenia? Nie. Pracodawca i podstawowa jednostka służby medycyny pracy zawierając umowę, o której mowa powyżej, działają niezależnie od siebie (każdy z nich samodzielnie ustala cele i środki przetwarzania danych osobowych). A zatem są oddzielnymi administratorami danych.
Mamy nadzieję, że opinia PUODO ostatecznie przekona pracodawców oraz placówki medyczne i przekazywanie danych osobowych pracowników dla potrzeb realizacji zadań z zakresu medycyny pracy nie będzie już budziło większych wątpliwości.
Interesuje Cię tematyka udostępniania danych? Przeczytaj również Niebezpieczne udostępnianie danych o stanie zdrowia.