Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Medycyna pracy – powierzenie czy udostępnienie? #RODOFAQ

Każdy pracodawca jest zobowiązany do ochrony zdrowia swoich pracowników. Przepisy prawa pracy nakładają na niego liczne obowiązki w tym zakresie. Zapewniając pracownikom profilaktyczną opiekę medyczną, pracodawca wybiera podstawową jednostkę służby medycyny pracy i zawiera z nią umowę o świadczenia zdrowotne.

W całym opisanym wyżej procesie, dochodzi niewątpliwie do przetwarzania danych osobowych. Dane pracowników są gromadzone i przetwarzane zarówno przez pracodawcę, jak i wybraną podstawową jednostkę służby medycyny pracy. Jaki charakter ma relacja pomiędzy tymi dwoma podmiotami z perspektywy ochrony danych osobowych i przepisów RODO?

Czy pracodawca powinien zawrzeć umowę powierzenia z jednostką służby medycyny pracy?

Odpowiedź na to pytanie brzmi „nie”. W przypadku medycyny pracy, każdy z tych podmiotów będzie odrębnym administratorem. Przekazanie danych osobowych pomiędzy tymi podmiotami będzie miało więc formę udostępnienia.

Podstawa prawna dla pracodawcy

Podstawę prawną przetwarzania przez pracodawcę danych osobowych swoich pracowników w zakresie wykonywania obowiązków związanych z ochroną zdrowia pracowników, stanowią:

  • w zakresie danych osobowych zwykłych – art. 6 ust. 1 lit. c RODO, tj. wypełnienie obowiązku prawnego polegającego na zapewnieniu pracownikom profilaktycznej opieki medycznej, w tym m.in. skierowania pracownika na badania lekarskie (wstępne, okresowe i kontrolne),
  • w zakresie tzw. szczególnych kategorii danych osobowych (stan zdrowia) – art. 9 ust. 2 lit. h RODO, tj. przetwarzanie niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy.

Zgodnie z definicją zawartą w art. 4 pkt 2) RODO, przez przetwarzanie danych osobowych rozumie się operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak (…) rozpowszechnianie lub innego rodzaju udostępnianie (…).

Powyższe oznacza, że w celu zapewnienia swoim pracownikom profilaktycznej opieki medycznej, pracodawca ma prawo m.in. do udostępniania ich danych osobowych innym podmiotom.

W zakresie realizacji swoich zadań, podstawowa jednostka służby medycyny pracy, pozostaje podmiotem działającym niezależnie od pracodawcy.

Podstawa prawna dla podstawowej jednostki służby medycyny pracy

Podstawę przetwarzania przez podstawową jednostkę służby medycyny pracy danych osobowych pracowników, stanowią:

  • w zakresie danych osobowych zwykłych – art. 6 ust. 1 lit. c RODO tj. wypełnienie obowiązku prawnego polegającego na realizacji zadań służby medycyny pracy określonych w art. 6 Ustawy o służbie medycyny pracy,
  • w zakresie tzw. szczególnych kategorii danych osobowych (stan zdrowia) – art. 9 ust. 2 lit. h RODO tj. przetwarzanie niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy.

Kto administratorem danych?

Powyższe oznacza, że przekazane przez pracodawcę dane osobowe, podstawowa jednostka służby medycyny pracy przetwarza jako samodzielny administrator danych.

Zgodnie z art. 4 pkt 7 RODO przez administratora danych rozumie się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Do momentu przekazania danych osobowych podstawowej jednostce służby medycyny pracy, pracodawca pozostaje administratorem przekazywanych danych osobowych pracowników, gdyż dokonuje przetwarzania (w tym ich udostępnienia) w celu realizacji zadań pracodawcy w zakresie zapewnienia profilaktycznej opieki zdrowotnej swoim pracownikom (m.in. skierowanie na badania lekarskie).

W momencie przekazania danych, administratorem tych danych staje się podstawowa jednostka służby medycyny pracy. Jednostka ta przetwarza bowiem przyjęte od pracodawcy dane osobowe w ramach realizacji własnych zadań tj. służby medycyny pracy.

 PracodawcaPodstawowa jednostka służby medycyny pracy
Podstawa przetwarzania danych osobowych
  • art. 6 ust. 1 lit. c RODO
  • art. 9 ust. 2 lit. h RODO
  • art. 6 ust. 1 lit. c RODO
  •  art. 9 ust. 2 lit. h RODO
Cel przetwarzania danych osobowychzapewnienie pracownikom profilaktycznej opieki medycznej obejmującej m.in. skierowanie pracownika na badania lekarskie (wstępne, okresowe i kontrolne)realizacja zadań służby medycyny pracy określonych w art. 6 Ustawy o służbie medycyny pracy
e-learning RODO w kadrach

Potrzebujesz poszerzenia wiedzy z zakresu RODO w HR?

Ze szkolenia dowiesz się jak sprawnie i zgodnie z RODO: rekrutować, zatrudniać, gromadzić i usuwać dane, wykorzystywać wizerunek oraz monitoring wizyjny i poczty elektronicznej, udostępniać spółkom z grupy kapitałowej, placówkom medycznym i dostawcom benefitów.

Sprawdź jak przetwarzać dane osobowe pracowników i kandydatów do pracy.

Sprawdź

Przekazywanie danych osobowych do ZUS i US

Analogiczna, jak w przypadku medycyny pracy sytuacja, następuje przy udostępnianiu przez pracodawcę danych osobowych pracownika takim podmiotom jak Zakład Ubezpieczeń Społecznych lub Urząd Skarbowy. Wówczas pracodawca, zobowiązany m.in. przez Ustawę o systemie ubezpieczeń społecznych, przekazuje ZUS dane osobowe pracownika. Od momentu przekazania tych danych, ich administratorem staje się ZUS, gdyż dalsze przetwarzanie danych odbywa się już w celu realizacji zadań tego organu.

Podsumowanie

Przekazanie danych osobowych pracowników przez pracodawcę podstawowej jednostce służby medycyny pracy, w zakresie w jakim podmiot ten świadczy usługi z zakresu medycyny pracy, ma formę udostępnienia danych osobowych. Każdy z podmiotów przetwarza te dane, jako niezależny administrator, a przetwarzanie następuje w oparciu o inną podstawę prawną przetwarzania. Tym samym, brak jest podstaw do zawarcia pomiędzy podmiotami, umowy powierzenia przetwarzania danych osobowych w rozumieniu art. 28 RODO.

Takie stanowisko podkreślił również Prezes UODO w swojej publikacji Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców.

W związku z przekazywaniem danych osobowych podstawowym jednostkom służby medycyny pracy, każdy pracodawca powinien pamiętać o odpowiednim dopełnieniu obowiązku informacyjnego wobec swoich pracowników. Zgodnie bowiem z art. 13 RODO, administrator, informując osobę, której dane dotyczą o przetwarzaniu jej danych, powinien przekazać jej informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją. Takim odbiorcą będzie m.in. podstawowa jednostka służby medycyny pracy.

Z drugiej strony, jednostka ta, jako podmiot odbierający dane powinna dopełnić wobec pracownika tzw. wtórnego obowiązku informacyjnego. Gromadząc dane osobowe z innych źródeł, administrator danych jest zobowiązany przekazać osobie, której dane dotyczą odpowiednie informacje, we wskazanym w art. 14 RODO terminie. Jedną z takich informacji będzie między innymi wskazanie źródła z jakich dane osobowe zostały pozyskane.

 

Pobierz artykuł

Pobierz artykuł w PDF

Źródła:

 

Powiązane artykuły

Współadministrowanie danymi osobowymi
przekazywanie-danych
Powierzenie a udostępnienie danych – różne formy przekazywania
RODOFAQ
Czy usuwanie danych osobowych należy potwierdzać protokołem? #RODOFAQ

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.