Cypryjski organ nadzorczy: warunki wyrażenia zgody pracownika

22.07.2021

W styczniu 2021 r. Cypryjski organ nadzorczy (Commissioner for Personal Data Protection) wydał decyzję odnoszącą się do armatora statków Sea Chefs Cruises Ltd., który pozyskiwał uprzednie zgody pracowników na udostępnianie danych medycznych pracodawcy oraz wielu innym podmiotom. 

Organ nadzorczy nakazał pracodawcy, na podstawie art 58 ust. 2 lit. d RODO, zaprzestanie przetwarzania danych dotyczących zdrowia pracowników na podstawie wyraźnej zgody oraz przetwarzanie wyłącznie tych danych dotyczących zdrowia w kontekście zatrudnienia, które są niezbędne do wywiązania się z obowiązków określonych przepisami prawa lub układami zbiorowymi do celów rekrutacji, wykonywania umowy wykonania umowy o pracę, bezpieczeństwa i higieny pracy, oraz wykonywania i korzystania z praw i przywilejów przez pracowników.

Postępowanie przed tym Cypryjskim organem nadzorczym rozpoczęło się od skargi pracownika złożonej do Niemieckiego organu nadzorczemu, który uznał, że wiodącym organem nadzorczym jest ten Cypryjski będący organem właściwym ze względu na siedzibę administratora danych.

Z ustalonego stanu faktycznego wynika, że kandydat do pracy na statku zarządzanym przez Sea Chefs Cruises Ltd. był zobowiązany do podpisania generalnego upoważnienia/zezwolenia na udostępnianie jego danych dotyczących zdrowia szerokiej gamie podmiotów współpracujących z pracodawcą w przypadku sytuacji kryzysowych. 

Podpisywany dokument stanowił, iż kandydat na pracownika wyraża wyraźną zgodę na udostępnienie jego danych dotyczących zdrowia szeregu podmiotom:

Namely the “Authorisation for release of medical records” provides multiple purposes inter alia (1) the authorisation given to any doctor, pharmacist, insurance company etc. to disclose to Sea Chefs Cruises Ltd all health information and medical records […] (2) consent given to any other company or any other doctor […] who is in possession of medical/health data to allow Sea Chefs Cruises Ltd free access to those data (3) consent to the ability of the Company to ask questions and discuss the medical information […] (4) consent to transfer or disclose medical data to local or foreigh.

Administrator danych uważał jednak, że:

The company prepared and made available to its staff (data subjects) a Privacy Notice for the purpose, inter alia, of transparent communication and information about the personal data held in the company (including special categories of data), the purpose of their collection and processing, their rights regarding personal data, the legal basis for their collection, the administrative and technical protection measures applied, their retention period, etc.

The personal data collected from the data subjects is necessary for the execution of the work [contact] and the observance of the obligations of the company as an employer arising from its contractual obligations, from the relevant legal framework and for safeguarding the legitimate interests of the company. The relevant laws, regulations, international conventions and related contracts that render mandatory the collection and processing of health-related data by the controller are laid down in a separate list.

Jednakże Cypryjski organ nadzorczy stanął na innym stanowisku w zakresie dobrowolności wyrażonej zgody:

Cyprus SA considers that the condition of freely given consent does not apply in the present case, as employees of Sea Chefs Cruises Ltd who are requested to sign the Privacy Notice in advance upon commencement of the employment, have no real choice.

They feel compelled to consent and if they do not consent, they will endure negative consequences, and namely they will “not be offered employment”. Consequently, consent is not considered to be freely given when the employee is unable to refuse or withdraw his or her consent without detriment. In line with article 7(3) of the GDPR, the data subject shall have the right to withdraw his or her consent at any time and the withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal.

a także w zakresie przestrzegania zasady minimalizacji przetwarzanych danych osobowych:

Furthermore, in accordance with the minimisation/ proportionality principle (article 5(1)(c) of the GDPR), the data processed by the controller should be adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed. In this regard, Cyprus SA considers that the controller should collect and generally process only data that are absolutely necessary to be able to assist the employees with medical care, to arrange any associated travel and to handle any medical claim, in line with relevant laws and the purposes laid down in Article 12 (Medical Care, Sick Pay and Maintenance) and Article 14 (Death and Disability Compensation) of the Collective Bargaining Agreement.

Jak widać Cypryjski organ nadzorczy przedstawia wąską wykładnię zasady minimalizacji idąc w kierunku przetwarzania danych tylko niezbędnych do celu, w jakim zostały zebrane, a nie danych w zakresie adekwatnym czy stosownym.