Prezes UODO udziela upomnienia i nakazuje usunięcie danych

Ostatnio na stronie Prezesa UODO została opublikowana decyzja z kwietnia 2022 r., w której poruszono dwa ciekawa zagadnienia. 

Pierwsze z nich odnosi się do kwestii przekazania przez pracownika danych dotyczących przyczyn przebywania na zwolnieniu lekarskim i uznania, że takich danych Pracodawca nie może przetwarzać.

Drugie z nich dotyczy zakresu upoważnienia do przetwarzania danych osobowych, o którym mowa w art. 29 RODO.

Sprawa zaczyna się od długotrwałego zwolnienia lekarskiego Pracownika Spółki.

W tym okresie Pracownik ten:

z własnej inicjatywy informowała zarówno pracodawcę, jak i współpracowników o swoim stanie zdrowia, podając m.in. z jakiego rodzaju leczenia specjalistycznego korzysta  i że z uwagi na zły stan psychiczny nie jest w stanie wykonywać pracy

Po zakończeniu chorowania Pracownik musiał udać się na kontrolne badanie lekarskie zgodnie z obowiązkiem Pracodawcy wynikającym z art. 229 par 2 k.p.

Pracodawca przekazał Pracownikowi skierowanie zawierające adnotację:

“Pracownik podaje, że przebywał na zwolnieniu z powodu niezdolności do pracy spowodowanej złym stanem psychicznym (zwolnienie wystawione przez lekarza psychiatrę). Proszę o skierowanie pracownika na konsultację psychologiczną (psychiatryczną)”

Skierowanie na badania kontrolne Skarżącej zostało wystawione przez Spółkę i przekazane Skarżącej przez kierownika ww. Działu (…) (dalej: Kierownik).

Kierownikowi (…) maja 2018 r. wydane zostało przez Spółkę upoważnienie do przetwarzania danych osobowych nr (…), które obejmuje uprawnienie do przetwarzania danych pracowników i osób współpracujących dostępnych w zasobach elektronicznych Spółki jak również w aktach osobowych.

W związku z takim stanem rzeczy Prezes UODO wydał w kwietniu 2022 r. decyzję, w której:

udziela upomnienia C. Z. T. Sp. z o.o. (T…) za nieprawidłowości w procesie przetwarzania danych osobowych Pani K. G. (T…), polegające na naruszeniu art. 9 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) poprzez przetwarzanie jej danych osobowych dotyczących zdrowia bez podstawy prawnej, w tym udostępnienie tych danych na rzecz osoby nieuprawnionej,  tj. Kierownika Działu Kadr i Płac Spółki, (…);

nakazuje usunięcie danych osobowych Pani K. G. (T…), utrwalonych na drukach skierowań na badania profilaktyczne z (…) i (…) lipca 2021 r. poprzez zanonimizowanie informacji „Pracownik podaje, że przebywał na zwolnieniu z powodu niezdolności do pracy spowodowanej złym stanem psychicznym (zwolnienie wystawione przez lekarza psychiatrę). Proszę o skierowanie pracownika na konsultację psychologiczną (psychiatryczną)”.

W uzasadnieniu takiego stanowiska organ nadzorczy przedstawił następujące argumenty:

przedmiotem niniejszego postepowania jest udostępnienie szczególnej kategorii danych osobowych Skarżącej przez Spółkę na rzecz osób nieuprawnionych, tj. informacji dotyczących poddania się badaniom z zakresu medycyny pracy i przetwarzaniu tych danych przez Spółkę bez podstawy prawnej.

należy zaznaczyć, że zakres danych, które należy wskazać w treści ww. załącznika nie obejmuje informacji o stanie zdrowia (w tym o stanie zdrowia psychicznego) kierowanego pracownika. Podkreślić należy, że dane dotyczące rodzaju badań profilaktycznych stanowią dane nadmiarowe dla pracodawcy, do przetwarzania których nie jest on uprawniony.

należy zaznaczyć, że przepisy (m.in. art. 229 k.p.) nie uprawniają pracodawcy do weryfikowania rodzaju przeprowadzanych badań czy wyników tych badań.

Dalej Prezes UODO wskazuje, że:

za bezpodstawne uznać należy działanie Spółki polegające na zamieszczeniu na skierowaniu na badania profilaktyczne adnotacji dotyczącej podejrzewanej u Skarżącej choroby psychicznej, na okoliczność której wystawione zostało zwolnienie przez lekarza psychiatrę.

tym samym niedopuszczalne jest przetwarzanie (w tym pozyskiwanie) przez pracodawcę innych informacji na temat pracownika, a w szczególności danych dotyczących jego stanu zdrowia/badań,  w sytuacji takiej jak miała miejsce w omawianej sprawie, tj. w szczególności, gdy nie jest to uzasadnione rodzajem i zakresem świadczonej pracy, ponieważ pracodawca nie jest do tego uprawniony.

z materiału dowodowego zebranego w niniejszej sprawie wynika, że (…)  – Kierownik (…) nie była, w zakresie rozpatrywanej sprawy, uprawniona do przetwarzania danych osobowych Skarżącej dotyczących jej stanu zdrowia, które zamieszczone zostały na drukach skierowań z (…) i (…) lipca 2021 r.

Stąd też, stwierdzić należy, że działanie Spółki polegające na udostępnieniu Pani K(…) S(…) danych o stanie zdrowia Skarżącej  w kwestionowany przez nią sposób nie znajduje uzasadnienia w kontekście art. 29 RODO, zgodnie z którym każda osoba działająca z upoważnienia administratora i mająca dostęp do danych osobowych przetwarza je wyłącznie na polecenie administratora.

jednocześnie, jak już zostało stwierdzone, w zakresie rozpatrywanej sprawy, do przetwarzania tych danych nie była uprawniona również sama Spółka jako pracodawca Skarżącej, co sprawia, że upoważnienie nadane przez Spółkę, jako administratora nie stanowi o zgodnym z prawem przetwarzaniu danych osobowych Skarżącej przez osobę działającą z jego ramienia.

w konsekwencji Prezes Urzędu uznał, iż w realiach niniejszej sprawy właściwe jest zastosowanie wobec Spółki uprawnień naprawczych poprzez nakazanie usunięcia danych osobowych Skarżącej, utrwalonych na druku skierowania na badania profilaktyczne z (…) oraz (…) lipca 2021 r., a także udzielenia Spółce upomnienia za naruszenie art. 9 ust. 1 RODO, polegające na przetwarzaniu danych osobowych Skarżącej dotyczących zdrowia bez podstawy prawnej, w tym ich udostępnieniu na rzecz osoby nieuprawnionej.