Kontrola zwolnień lekarskich a ochrona danych osobowych

Upoważnienie do przeprowadzenia kontroli

Zgodnie z ustawą o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (dalej: ustawa o świadczeniach pieniężnych) oraz na podstawie Rozporządzenia Ministra Pracy i Polityki Społecznej w sprawie szczególnych zasad i trybu kontroli prawidłowości wykorzystania zwolnień lekarskich od pracy oraz formalnej kontroli zaświadczeń lekarskich, pracodawcom zatrudniającym ponad 20 pracowników przysługuje uprawnienie do skontrolowania prawidłowości wykorzystania przez pracowników zwolnień lekarskich.

Kontrola może się odbyć w każdym czasie oraz w miarę potrzeb pracodawcy. Przeprowadza ją imiennie upoważniona przez pracodawcę osoba. Upoważnienie uprawnia do przeprowadzenia kontroli w miejscu zamieszkania, miejscu czasowego pobytu lub miejscu zatrudnienia osoby kontrolowanej. Przepisy nie wprowadzają ograniczenia co do tego, kto może zostać upoważniony. W związku z powyższym może to być osoba, która jest zatrudniona u pracodawcy (np. w dziale kadr) bądź też osoba zatrudniona przez podmiot zewnętrzny.

W praktyce pracodawcy chętnie korzystają z usług firm lub osób zawodowo zajmujących się kontrolą pracowników przebywających na zwolnieniach lekarskich. Podpisywane są z nimi umowy określające warunki współpracy w zakresie realizacji usług związanych z kontrolą absencji chorobowych. Należy jednak w takiej sytuacji zadbać o kwestie związane z ochroną danych osobowych.

Kontrola zwolnień lekarskich przez podmiot zewnętrzny a ochrona danych osobowych pracowników

Pracodawca przetwarza zwykłe dane osobowe osób fizycznych na podstawie jednej z przesłanek uregulowanych w art. 6 ust. 1 RODO. Bez względu na zgodę pracownika, pracodawca będący administratorem danych osobowych przetwarza dane m.in. gdy jest to niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub podjęcia działań na żądanie osoby, której dane dotyczą, a także gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust 1 lit. b i c RODO).

Ponadto, w zakresie legalności przetwarzania szczególnych kategorii danych osobowych, danych dotyczących zdrowia, art. 9 ust. 2 lit. b RODO wprost przewiduje, że dopuszczalne jest przetwarzanie gdy jest ono niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, ubezpieczenia społecznego i ochrony socjalnej.

Art. 68 ustawy o świadczeniach pieniężnych przewiduje wprost uprawnienie pracodawców do kontrolowania zwolnień lekarskich, a co za tym idzie upoważnienie pracownika lub zlecenie przeprowadzenia kontroli podmiotowi zewnętrznemu należy traktować jako realizację szczególnego prawa przez administratora.

Decyzja Prezesa Urzędu Ochrony Danych Osobowych z 20 marca 2019 r.

Niedawno do Urzędu Ochrony Danych Osobowych wpłynęła skarga na nieprawidłowość w procesie przetwarzania danych osobowych przez pracodawcę polegająca na udostępnieniu danych osobowych osobom nieuprawnionym.

Skarżąca była zatrudniona na podstawie umowy o pracę na czas nieokreślony. W sierpniu 2018 r. umowa została rozwiązana z zachowaniem miesięcznego terminu wypowiedzenia, a skarżąca została zwolniona z obowiązku świadczenia pracy. We wrześniu 2018 r., kiedy pracownica przebywała na zwolnieniu lekarskim, pracodawca postanowił skontrolować zasadność tego zwolnienia, zlecając przeprowadzenie kontroli podmiotowi zewnętrznemu. Do mieszkania skarżącej przyszło dwóch kontrolujących, czego skutkiem było wniesienie przez nią skargi do Prezesa UODO, a także wniosku o zobowiązanie osób, którym jej dane osobowe zostały przekazane, do nieudostępniania ich oraz nałożenie na pracodawcę kary administracyjnej.

Po analizie stanu faktycznego Prezes UODO stwierdził, że nie ma podstaw do stwierdzenia niezgodności z RODO przetwarzania danych osobowych skarżącej. Pracodawca realizując szczególne prawa administratora zawarł z podmiotem zewnętrznym zgodną z przepisami prawa pracy umowę o świadczenie usług oraz umowę powierzenia przetwarzania danych osobowych spełniającą wymogi art. 28 RODO, a co za tym idzie prawidłowo określającą zakres i kategorie powierzanych danych osobowych. Ponadto osoby przeprowadzające kontrolę posiadały imienne upoważnienia, a także zostały im przekazane wyłącznie dane niezbędne do przeprowadzenia kontroli, tj. imię, nazwisko, adres zamieszkania oraz informacje o przebywaniu na zwolnieniu lekarskim – bez podawania treści tego zwolnienia, a więc przekazane zostały dane wynikające z umowy powierzenia.

Polecamy: Serwis Inforlex RODO 3 m-ce + książka RODO dla księgowych i biur rachunkowych

Prezes UODO orzekł, że proces przetwarzania danych osobowych odbywał się w oparciu o art. 28 RODO w zw. z przesłankami określonymi w art. 6 ust. 1 lit. b i c RODO w zakresie tzw. zwykłych danych tj. imienia, nazwiska i adresu zamieszkania oraz art. 9 ust. 2 lit. b RODO w zakresie danych dot. stanu zdrowia skarżącej.

Podsumowując, obowiązujące przepisy nie ograniczają możliwości powierzenia przez pracodawcę przeprowadzenia kontroli wykorzystania zwolnienia lekarskiego podmiotowi zewnętrznemu. Należy natomiast pamiętać o zawarciu umowy o powierzenie przetwarzania danych osobowych. Ponadto powierzenie przetwarzania danych osobowych w celu przeprowadzenia kontroli zwolnień lekarskich powinno być zgodne z zasadą minimalizacji danych. W związku z tym osobie kontrolującej nie można przekazać informacji o przyczynie wydania zwolnienia lekarskiego, a także nie ma ona prawa wymagać od osoby kontrolowanej podania informacji na temat swojego stanu zdrowia.

Niniejszy artykuł powstał w oparciu o Decyzję Prezesa Urzędu Ochrony Danych Osobowych z 20 marca 2019 r. (Decyzja ZSZZS.440.727.2018)

Magdalena Kęska, prawnik
KSP Legal & Tax Advice – www.ksplegal.pl