Każdy pracodawca jest zobowiązany do ochrony zdrowia swoich pracowników. Przepisy prawa pracy nakładają na niego liczne obowiązki w tym zakresie. Zapewniając pracownikom profilaktyczną opiekę medyczną, pracodawca wybiera podstawową jednostkę służby medycyny pracy i zawiera z nią umowę o świadczenia zdrowotne.
W całym opisanym wyżej procesie, dochodzi niewątpliwie do przetwarzania danych osobowych. Dane pracowników są gromadzone i przetwarzane zarówno przez pracodawcę, jak i wybraną podstawową jednostkę służby medycyny pracy. Jaki charakter ma relacja pomiędzy tymi dwoma podmiotami z perspektywy ochrony danych osobowych i przepisów RODO?
Czy pracodawca powinien zawrzeć umowę powierzenia z jednostką służby medycyny pracy?
Odpowiedź na to pytanie brzmi „nie”. W przypadku medycyny pracy, każdy z tych podmiotów będzie odrębnym administratorem. Przekazanie danych osobowych pomiędzy tymi podmiotami będzie miało więc formę udostępnienia.
Podstawa prawna dla pracodawcy
Podstawę prawną przetwarzania przez pracodawcę danych osobowych swoich pracowników w zakresie wykonywania obowiązków związanych z ochroną zdrowia pracowników, stanowią:
- w zakresie danych osobowych zwykłych – art. 6 ust. 1 lit. c RODO, tj. wypełnienie obowiązku prawnego polegającego na zapewnieniu pracownikom profilaktycznej opieki medycznej, w tym m.in. skierowania pracownika na badania lekarskie (wstępne, okresowe i kontrolne),
- w zakresie tzw. szczególnych kategorii danych osobowych (stan zdrowia) – art. 9 ust. 2 lit. h RODO, tj. przetwarzanie niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy.
Zgodnie z definicją zawartą w art. 4 pkt 2) RODO, przez przetwarzanie danych osobowych rozumie się operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak (…) rozpowszechnianie lub innego rodzaju udostępnianie (…).
Powyższe oznacza, że w celu zapewnienia swoim pracownikom profilaktycznej opieki medycznej, pracodawca ma prawo m.in. do udostępniania ich danych osobowych innym podmiotom.
W zakresie realizacji swoich zadań, podstawowa jednostka służby medycyny pracy, pozostaje podmiotem działającym niezależnie od pracodawcy.
Podstawa prawna dla podstawowej jednostki służby medycyny pracy
Podstawę przetwarzania przez podstawową jednostkę służby medycyny pracy danych osobowych pracowników, stanowią:
- w zakresie danych osobowych zwykłych – art. 6 ust. 1 lit. c RODO tj. wypełnienie obowiązku prawnego polegającego na realizacji zadań służby medycyny pracy określonych w art. 6 Ustawy o służbie medycyny pracy,
- w zakresie tzw. szczególnych kategorii danych osobowych (stan zdrowia) – art. 9 ust. 2 lit. h RODO tj. przetwarzanie niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy.
Kto administratorem danych?
Powyższe oznacza, że przekazane przez pracodawcę dane osobowe, podstawowa jednostka służby medycyny pracy przetwarza jako samodzielny administrator danych.
Zgodnie z art. 4 pkt 7 RODO przez administratora danych rozumie się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Do momentu przekazania danych osobowych podstawowej jednostce służby medycyny pracy, pracodawca pozostaje administratorem przekazywanych danych osobowych pracowników, gdyż dokonuje przetwarzania (w tym ich udostępnienia) w celu realizacji zadań pracodawcy w zakresie zapewnienia profilaktycznej opieki zdrowotnej swoim pracownikom (m.in. skierowanie na badania lekarskie).
W momencie przekazania danych, administratorem tych danych staje się podstawowa jednostka służby medycyny pracy. Jednostka ta przetwarza bowiem przyjęte od pracodawcy dane osobowe w ramach realizacji własnych zadań tj. służby medycyny pracy.
| Pracodawca | Podstawowa jednostka służby medycyny pracy | |
| Podstawa przetwarzania danych osobowych |
|
|
| Cel przetwarzania danych osobowych | zapewnienie pracownikom profilaktycznej opieki medycznej obejmującej m.in. skierowanie pracownika na badania lekarskie (wstępne, okresowe i kontrolne) | realizacja zadań służby medycyny pracy określonych w art. 6 Ustawy o służbie medycyny pracy |
Potrzebujesz poszerzenia wiedzy z zakresu RODO w HR?
Ze szkolenia dowiesz się jak sprawnie i zgodnie z RODO: rekrutować, zatrudniać, gromadzić i usuwać dane, wykorzystywać wizerunek oraz monitoring wizyjny i poczty elektronicznej, udostępniać spółkom z grupy kapitałowej, placówkom medycznym i dostawcom benefitów.
Sprawdź jak przetwarzać dane osobowe pracowników i kandydatów do pracy.
Przekazywanie danych osobowych do ZUS i US
Analogiczna, jak w przypadku medycyny pracy sytuacja, następuje przy udostępnianiu przez pracodawcę danych osobowych pracownika takim podmiotom jak Zakład Ubezpieczeń Społecznych lub Urząd Skarbowy. Wówczas pracodawca, zobowiązany m.in. przez Ustawę o systemie ubezpieczeń społecznych, przekazuje ZUS dane osobowe pracownika. Od momentu przekazania tych danych, ich administratorem staje się ZUS, gdyż dalsze przetwarzanie danych odbywa się już w celu realizacji zadań tego organu.
Podsumowanie
Przekazanie danych osobowych pracowników przez pracodawcę podstawowej jednostce służby medycyny pracy, w zakresie w jakim podmiot ten świadczy usługi z zakresu medycyny pracy, ma formę udostępnienia danych osobowych. Każdy z podmiotów przetwarza te dane, jako niezależny administrator, a przetwarzanie następuje w oparciu o inną podstawę prawną przetwarzania. Tym samym, brak jest podstaw do zawarcia pomiędzy podmiotami, umowy powierzenia przetwarzania danych osobowych w rozumieniu art. 28 RODO.
Takie stanowisko podkreślił również Prezes UODO w swojej publikacji Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców.
W związku z przekazywaniem danych osobowych podstawowym jednostkom służby medycyny pracy, każdy pracodawca powinien pamiętać o odpowiednim dopełnieniu obowiązku informacyjnego wobec swoich pracowników. Zgodnie bowiem z art. 13 RODO, administrator, informując osobę, której dane dotyczą o przetwarzaniu jej danych, powinien przekazać jej informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją. Takim odbiorcą będzie m.in. podstawowa jednostka służby medycyny pracy.
Z drugiej strony, jednostka ta, jako podmiot odbierający dane powinna dopełnić wobec pracownika tzw. wtórnego obowiązku informacyjnego. Gromadząc dane osobowe z innych źródeł, administrator danych jest zobowiązany przekazać osobie, której dane dotyczą odpowiednie informacje, we wskazanym w art. 14 RODO terminie. Jedną z takich informacji będzie między innymi wskazanie źródła z jakich dane osobowe zostały pozyskane.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych)
- Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (Dz.U. z 2019 r. poz. 1040 ze zm.)
- Ustawa z dnia 27 czerwca 1997 r. o służbie medycyny pracy (Dz.U. z 2019 r. poz. 1175 ze zm.)
- Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców, październik 2018
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.