RODO w medycynie pracy, czyli co na temat pracownika może wiedzieć pracodawca?

Efektywność wydatkowania środków publicznych to bardzo ważna sprawa. Fundamentalna dla bilansu ekonomicznego państwa, wpływająca na niemal każdy aspekt życia obywatela. Zadłużenie Skarbu Państwa na koniec marca 2019 r. wyniosło 978.996,9 mln zł, trudno więc się dziwić, że podmioty publiczne oglądają każdą złotówkę kilka razy lub przynajmniej raportują, na co ją wydały.

Jak zatem wygląda sprawdzenie kosztów badań przeprowadzonych u funkcjonariuszy publicznych, w tym policjantów?

Jednym z obowiązków każdego pracodawcy w Polsce, zgodnie z przepisami prawa pracy, jest kierowanie osób zatrudnionych na badania lekarskie. Art. 229 Kodeksu pracy wskazuje w szczególności, że pracodawca może dopuścić do pracy jedynie osobę posiadającą aktualne orzeczenie lekarskie, a wszelkie badania tego typu (wstępne, okresowe, kontrolne) odbywają się na podstawie skierowania wydanego przez pracodawcę. W takim orzeczeniu lekarz stwierdza brak bądź istnienie przeciwwskazań zdrowotnych do pracy na określonym stanowisku służbowym. Zgodnie z polskim prawem tylko tyle wolno pracodawcy wiedzieć na temat stanu zdrowia pracownika, którego skierował na badania lekarskie. Katalog danych, które mogą być przetwarzane przez pracodawcę jest zamknięty.

Takie podejście wpisuje się w wyrażoną w RODO zasadę minimalizacji danych, nakazującą, by przetwarzać tylko dane, które są niezbędne do realizacji celu, dla którego zostały zebrane. W ramach medycyny pracy pracodawca musi dostać „zero-jedynkową” informację czy pracownik jest zdolny do pracy, czy też nie. Więcej informacji na temat zdrowia tego pracownika zostaje w placówce medycznej udzielającej świadczeń z zakresu medycyny pracy – będącej odrębnym administratorem danych.

Tyle przepisy.

W praktyce faktury za wykonanie usług z zakresu medycyny pracy zawierają również zestawienie wykonanych badań. Każde badanie ma swoją cenę a pracodawca chce wiedzieć, za co płaci. Niedopuszczalne jest jednak przekazanie takich informacji w sposób, umożliwiający zestawienie wykonanych badań z konkretnym pracownikiem. Takie zestawienie może ujawniać informacje na temat stanu zdrowia pracownika, co jest niezgodne z obowiązującymi przepisami prawa i wykracza poza zakres danych jakie pracodawca może otrzymywać od lekarza medycyny pracy. Istnieje bowiem szereg badań, gdzie samo ich przeprowadzenie jednoznacznie wskazuje na posiadanie przez pracownika określonych dolegliwości zdrowotnych, np. dodatkowe badania EKG.

O taką imienną listę pracowników wraz ze szczegółowym wykazem wykonanych badań poprosiła jedna z Komend Wojewódzkich Policji szpital, do którego kierowała policjantów na badania z zakresu medycyny pracy. Powód? Mówi się o konieczności prowadzenia ewidencji kosztów, jakie Policja ponosi w związku z wykonywaniem badań wśród policjantów – oczywiście dla zapewnienia większej efektywności wydatkowania środków publicznych. Najprościej było więc poprosić szpital o przygotowanie takiego zestawienia, wskazując na przepisy ustawy o Policji.

Artykuł 71b ustawy o Policji rzeczywiście reguluje kompleksowo kwestię badań lekarskich policjantów. Z przytoczonego przepisu wynika jednak, że orzeczenie lekarskie zawiera tylko i wyłącznie informację czy policjant skierowany na badania lekarskie jest zdolny do służby czy nie. W przepisach tych nie ma mowy o tym, by orzeczenie lekarskie zawierało szczegółowe wyniki, a także wykaz przeprowadzonych badań. Dodatkowo, rozporządzenie ministra Spraw Wewnętrznych I Administracji z dnia 9 stycznia 2017 r. w sprawie badań okresowych i kontrolnych policjantów oraz będący jego integralną częścią załącznik wyraźnie wskazują, że orzeczenie lekarskie o zdolności do służby zawiera tylko podstawowe dane o zdrowiu policjanta, wskazując jego zdolność do służby. Nie ma na tej liście danych o stanie zdrowia, jakimi z całą pewnością mogą być informacje o przeprowadzonych badaniach.

Inspektor Ochrony Danych rzeczonego szpitala wyraźnie sprzeciwił się przekazywaniu takiej imiennej listy, wskazując na brak podstaw prawnych Policji do pozyskiwania informacji o stanie zdrowia na temat swoich pracowników. Przekazanie takich informacji jest związane z przetwarzaniem szczególnej kategorii danych osobowych, o których mówi art. 9 RODO. A takie dane wymagają szczególnych podstaw prawnych i gwarancji ochrony.

UODO

Sprawa trafiła więc do Prezesa Urzędu Ochrony Danych Osobowych, który w piśmie z dnia 14 maja 2019 r. – tutaj dostępne jest pismo z UODO – skierowanym do IOD szpitala wyraźnie wskazał na nielegalność zbierania takich informacji przez Komendę.

„Prawo do prywatności i ochrony danych osobowych jednostki w zestawieniu z aspektem finansowym – kosztami poniesionymi przez pracodawcę na wykonanie badań pracowników – ma nadrzędne znaczenie. Imienny wykaz pracowników wraz z adnotacją o wykonanych badaniach lekarskich i laboratoryjnych – w ocenie organu ochrony danych osobowych – prowadziłby do naruszenia prawa do prywatności i ochrony danych osobowych pracownika”, czytamy w stanowisku PUODO.

Komenda Wojewódzka Policji nie jest więc uprawniona do pozyskiwania od podmiotu leczniczego informacji o przeprowadzonych badaniach medycyny pracy wykonanych w odniesieniu do konkretnego pracownika. Tymczasem taka praktyka stosowana jest, według wiedzy autora, przez wszystkie Komendy Wojewódzkie Policji w Polsce, a podobne pomysły miały również inne służby, w tym Straż Graniczna…