Przetwarzanie danych przez podmioty lecznicze występujące w podwójnej roli
Podmiot medyczny świadczący usługi w zakresie medycyny pracy i będący jednocześnie pracodawcą może przetwarzać dane swoich pracowników dotyczące zdrowia.
Dane o stanie zdrowia nie mogą być przetwarzane poza wyjątkami wskazanymi w art. 9 ust. 2 RODO. W praktyce dochodzi niekiedy do sytuacji, że pracodawca jest jednocześnie podmiotem medycznym, który wykonuje badania pracownicze. W takiej sytuacji ma zastosowanie wyjątek przewidziany w art. 9 ust. 2 lit. h) RODO, na co wskazał Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 21 grudnia 2023 r. w sprawie o sygn. C-667/21 Krankenversicherung Nordrhein.
TSUE uściślił też, że w przypadku, gdy podmiot medyczny przetwarza dane dotyczące zdrowia jednego ze swoich pracowników nie jako pracodawca, lecz jako służba medyczna, w celu oceny zdolności tego pracownika do pracy, to ma zastosowanie przytoczony wyjątek z RODO, ale z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 9 ust. 3 RODO. A więc dane te mogą być przetwarzane do celów związanych np. z profilaktyką zdrowotną lub medycyny pracy bądź do oceny zdolności pracownika do pracy, jeżeli są przetwarzane przez lub na odpowiedzialność pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego.
Mirosław Wróblewski, Prezes UODO, po analizie wyroku TSUE dokonanej przez Departament Orzecznictwa i Legislacji UODO pod kątem krajowych regulacji, w piśmie skierowanym do Adama Szłapki, Ministra do spraw Unii Europejskiej, wskazał, że orzeczenie to nie powoduje konieczności zmiany polskich regulacji, ale ma wpływ na sposób wykładni RODO.
Prezes UODO, w kontekście zapewnienia odpowiednich zabezpieczeń, o których mówi art. 9 ust. 3 RODO, wskazał że w polskim porządku prawnym obowiązuje tajemnica lekarska uregulowana w art. 40 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty. Zaznaczył też, że pracodawca będący jednocześnie jednostką medycyny pracy powinien, orzekając o zdolności do pracy własnego pracownika, stosować zasady ochrony danych, przewidziane w art. 5 ust. 1 lit. f, a więc integralności i poufności danych. Dzięki temu dostęp do danych pracownika dotyczących stanu jego zdrowia będą miały jedynie osoby badające jego stan zdrowia.
Z treścią pisma, w którym zawarta jest opinia Prezesa UODO dotycząca wyroku TSUE o sygn. C-667/21, można zapoznać się w załączonym poniżej pliku.