Prezes Urzędu Ochrony Danych Osobowych stwierdził, iż pracodawcy nie są uprawnieni do umieszczania danych o zdrowiu w treści skierowań na badania profilaktyczne. Nie powinni też mieć możliwości weryfikacji rodzaju przeprowadzanych badań oraz ich wyników. Organ udzielił upomnienia administratorowi, który umieścił na skierowaniu na kontrolne badania lekarskie pracownika dane nadmiarowe, w tym m.in. adnotację o jego złym stanie psychicznym. Zapraszamy do lektury analizy tej sprawy.
Tło sprawy
Pracodawca skierował na kontrolne badania lekarskie pracownicę przebywającą na zwolnieniu lekarskim powyżej 30 dni. Na skierowaniu, niezależnie od uzupełnienia wzoru wynikającego z rozporządzenia, pracodawca umieścił adnotację o przyczynie zwolnienia lekarskiego (zły stan zdrowia psychicznego) oraz jego wystawieniu przez lekarza psychiatrę. Dodatkowo pracodawca poprosił o skierowanie pracownicy na konsultacje psychologiczną lub psychiatryczną.
Administrator tłumaczył, iż informacje o przyczynie zwolnienia lekarskiego uzyskał bezpośrednio i dobrowolnie od pracownicy. Zamieszczenie prośby o konsultację miało być uzasadnione rodzajem wykonywanych przez nią zadań i zakresem jej odpowiedzialności służbowej.
Stanowisko organu
Prezes UODO podkreślił, iż wynikający z obowiązujących przepisów wzór skierowania na kontrolne badania lekarskie określa dokładny i wiążący zakres danych, jakie mogą znaleźć się w tym dokumencie.
Pracodawca nie jest więc upoważniony do umieszczenia na skierowaniu dodatkowych danych, w tym o stanie zdrowia pracownika. Nie może również wskazywać potencjalnych badań profilaktycznych, którym w jego ocenie powinien zostać poddany pracownik. Pracodawca nie jest także uprawniony do uzyskania informacji, jakim badaniom profilaktycznym został poddany pracownik. Może on jedynie uzyskać zaświadczenie o stwierdzeniu braku przeciwwskazań lub też o przeciwwskazaniach zdrowotnych pracownika do pracy na określonym stanowisku.
Upoważnienia wciąż istotne
W toku postępowania wyjaśniającego, UODO zwrócił uwagę, iż pracownik działu HR nie był prawidłowo uprawniony do przetwarzania danych osobowych. Osoba przetwarzająca dane wyznaczona przez administratora powinna działać wyłącznie na jego polecenie i w ramach udzielonego upoważnienia (precyzyjnie określającego cel i zakres przetwarzania danych). W tym przypadku, administrator udzielił upoważnienia, mimo iż sam nie był upoważniony do przetwarzania danych w tym zakresie. W konsekwencji PUODO stwierdził naruszenie przepisów o ochronie danych osobowych poprzez ich przetwarzanie bez podstawy prawnej oraz poprzez ich udostępnienie osobie nieuprawnionej.
OW ocenia
Decyzja Prezesa UODO wskazuje, jak ważne jest przetwarzanie danych adekwatnych do określonego celu oraz prawidłowe nadawanie upoważnień do przetwarzania danych osobowych. Stanowisko to nie jest nowością, i pokazuje, jak istotna jest dbałość o szczególne kategorie danych osobowych pracowników.
W tym obszarze mogą Państwo skorzystać ze wsparcia doradców OW – zapraszamy do kontaktu.