Aktualności
Zlecenie kontroli zwolnienia lekarskiego a ochrona danych osobowych
autor: Grzegorz Gryciuk
Opublikowana przez Urząd Ochrony Danych Osobowych (UODO) decyzja Prezesa UODO z dnia 20 marca 2019 r., ZSZZS.440.727.2018, dotyczy możliwości zlecenia przez pracodawcę zatrudniającego ponad 20 pracowników (ubezpieczonych) firmie zewnętrznej przeprowadzenia kontroli prawidłowości wykorzystywania przez pracownika zwolnienia lekarskiego od pracy i w związku z tym odmowy uwzględnienia wniosku skarżącej, będącej pracownikiem, zarzucającej nieprawidłowości w procesie przetwarzania jej danych osobowych przez pracodawcę polegające na udostępnieniu jej danych osobowych osobom nieuprawnionym (https://uodo.gov.pl/decyzje/ZSZZS.440.727.2018).
We wskazanym w ww. decyzji stanie faktycznym kontrola została przeprowadzona na podstawie zawartej przez pracodawcę i firmę zewnętrzną umowy o współpracy na świadczenie usług związanych z kontrolą absencji chorobowej pracowników, a także umowę powierzenia przetwarzania danych osobowych oraz udzielone imiennie upoważnienia do przeprowadzenia kontroli. Dla osób w ten sposób upoważnionych zostały przez pracodawcę udostępnione dane osobowe pracownika w postaci imienia i nazwiska, adresu zamieszkania oraz informacji o przebywaniu na zwolnieniu lekarskim w celu sprawdzenia, czy pracownik przebywa w miejscu zamieszkania, a więc czy wykorzystuje zwolnienie lekarskie zgodnie z jego celem. Pracodawca, jako zatrudniający ponad 20 pracowników, mógł przeprowadzić kontrolę zasadności wykorzystania przez pracownika zwolnienia lekarskiego, gdyż działał zgodnie z art. 68 ust. 1 ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa oraz § 1 ust. 1 rozporządzenia MPiPS z dnia 27 lipca 1999 r. w sprawie szczegółowych zasad i trybu kontroli prawidłowości wykorzystania zwolnień lekarskich od pracy oraz formalnej kontroli zaświadczeń lekarskich, a wystawiając ww. imiennie upoważnienia, zgodne ze wzorem upoważnienia stanowiącego załącznik do 1 do tego rozporządzenia, działał zgodnie z § 8 tego rozporządzenia.
W uzasadnieniu ww. decyzji Prezes UODO wskazał, iż obowiązujące przepisy prawne nie ograniczają możliwości powierzenia przez pracodawcę przeprowadzenia kontroli wykorzystania zwolnienia lekarskiego niezgodnie z jego celem podmiotowi zewnętrznemu, a ww. podmiot, zgodnie z art. 28 ust. 3 RODO, był uprawniony do przetwarzania danych osobowych pracownika na podstawie ww. umowy powierzenia przetwarzania danych osobowych, a kontrola została przeprowadzona przez osoby posiadające do tego imienne upoważnienia. Na podstawie tych upoważnień osoby przeprowadzające kontrolę były uprawnione do jej przeprowadzenia w miejscu zamieszkania pracownika, a pracodawca przekazał im dane osobowe w zakresie wynikającym z umowy powierzenia przetwarzania danych osobowych, które były niezbędne do przeprowadzenia przedmiotowej kontroli.
W powyższych okolicznościach Prezes UODO uznał, że pracodawca przeprowadzając kontrolę zasadności wykorzystania zwolnienia lekarskiego przez pracownika skorzystał z przysługującego mu uprawnienia określonego w ww. przepisach prawa, co stanowi wypełnienie przesłanki legalizującej proces przetwarzania danych osobowych, na podstawie art. 6 ust. 1 lit. b) i c) RODO w zakresie zwykłych danych osobowych pracownika oraz art. 9 ust. 2 lit. b) RODO w zakresie danych dotyczących jego stanu zdrowia.
Grzegorz Gryciuk
radca prawny, starszy konsultant
Masz pytanie?
Grzegorz Gryciuk
radca prawny, starszy konsultant