Blog Prawo i interpretacje 07/02/2025

Przetwarzanie danych o zdrowiu zgodnie z RODO

Urząd Ochrony Danych Osobowych ogłosił plan kontroli sektorowych na 2025 rok. Obejmą one m.in. administratorów danych osobowych przetwarzających dane o zdrowiu. Kontrole nie dotyczą jedynie placówek medycznych. Dane o stanie zdrowia przetwarza każdy pracodawca. Jak przygotować się do kontroli i jakie dokumenty warto przejrzeć już teraz?

Dane o zdrowiu pracownika – gdzie je znaleźć?

Pracodawcy mogą przetwarzać dane o stanie zdrowia w wielu obszarach. Mogą to być, m.in.:

• wyniki badań medycyny pracy,
• zwolnienia lekarskie,
• informacje o niepełnosprawności,
• wyniki badania trzeźwości,
• dodatkowe informacje o zdrowiu przekazane wraz z wnioskiem o zapomogę z ZFŚS.

Dlatego tak ważne jest, aby pracodawcy mieli świadomość odpowiedzialności z tym związanej i byli prawidłowo przygotowani na potencjalne kontrole. Co dokładnie obejmuje takie przygotowanie? Przede wszystkim dokładną analizę obszarów, w których mogą pojawić się nieprawidłowości.

Obszary, które warto zweryfikować przed kontrolą UODO

Przygotowaliśmy praktyczną listę zawierającą obszary, które w kontekście przetwarzania danych o zdrowiu mają istotne znaczenie. Przejście przez te punkty pozwoli ocenić, czy praktyka w tym obszarze jest prawidłowa, czy może wymaga poprawy i zmotywowania organizacji do wprowadzenia niezbędnych zmian.

W tym zakresie warto zweryfikować w szczególności:

1. upoważnienia do przetwarzania danych – osoby mające dostęp do danych o stanie zdrowia powinny mieć pisemne upoważnienia do ich przetwarzania;
2. miejsce przechowywania dokumentacji – akta pracownicze vs. pozostała dokumentacja związana ze stosunkiem pracy;
3. zakres przetwarzanych danych – czy przetwarzamy tylko niezbędne dane, unikając zbierania od pracownika dodatkowych informacji, takich jak szczegółowa dokumentacja medyczna, czy zbędne informacje o zwolnieniu lekarskim;
4. gradacja dostępu do danych – dostęp powinny mieć wyłącznie niezbędne i uprawnione osoby, zobowiązane do zachowania danych w tajemnicy;
5. obowiązkowe przeglądy – uwaga na konieczność przeprowadzania cyklicznych przeglądów danych zgromadzonych na potrzeby ZFŚS oraz przeglądów przydatności danych o niepełnosprawności (oba przeglądy warto udokumentować);
6. okres retencji danych – warto sprawdzić, jak długo przechowujemy poszczególne dokumenty (w szczególności w obszarze danych o zdrowiu) i w razie zidentyfikowania nieprawidłowości w tym obszarze – poprawić praktykę. Dobrym rozwiązaniem jest wdrożenie przejrzystej polityki retencji danych, rozwiewającej potencjalne wątpliwości;
7. dokumentację RODO – najważniejsze jest sprawdzenie, czy podstawy prawne do przetwarzania danych o zdrowiu oraz pozostałych kategorii są poprawnie komunikowane (np. w klauzuli informacyjnej dla pracowników). Warto zweryfikować też, czy przeprowadzono w tym zakresie analizy ryzyka,
8. środki zabezpieczające – dane należące do szczególnych kategorii takie jak dane o zdrowiu, wymagają zastosowania dodatkowej ochrony (np. haseł dostępu o odpowiedniej trudności lub dodatkowych zabezpieczeń dokumentacji papierowej);
9. umowy z zewnętrznymi podmiotami – jeśli obsługa kadrowo-płacowa jest zlecona na zewnątrz, analiza powinna obejmować umowy zawarte z danym podmiotem (powierzenie jest niezbędne, nawet wtedy, gdy obsługa następuje w ramach grupy kapitałowej).

Obowiązkowe przeglądy

W 2024 roku upłynął termin na przeprowadzenie pierwszego obowiązkowego przeglądu przydatności danych o niepełnosprawności, zgodnie z ustawą o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych. Pracodawcy powinni wykonać taki audyt co najmniej co 5 lat. UODO może sprawdzić, czy przegląd przeprowadzono i prawidłowo udokumentowano (np. w formie protokołu).

Nie zapominajmy również o obowiązkowym przeglądzie Zakładowego Funduszu Świadczeń Socjalnych. Trzeba go wykonywać co roku. Dane o stanie zdrowia, które mogą pojawić się tutaj w złożonych wnioskach lub dodatkowej dokumentacji (np. w przypadku zapomogi). Taka dokumentacja może dotyczyć dzieci pracowników, a dane w niej zawarte trzeba objąć dodatkową ochroną.

Kontrola trzeźwości

Po nowelizacji kodeksu pracy w 2023 roku, wielu pracodawców zdecydowało się na wprowadzenie w organizacji kontroli trzeźwości. Pamiętajmy, że w ocenie organu nadzorczego wynik badania jest informacją o stanie zdrowia. Dlatego tak istotne jest zabezpieczenie tego procesu z perspektywy ochrony danych osobowych, w tym m.in.:

1. opracowanie niezbędnych dokumentów, takich jak klauzule informacyjne czy analiza ryzyka,
2. nadanie upoważnień do przetwarzania danych osobowych dla osób przeprowadzających badanie lub zweryfikowanie umów z podmiotami zewnętrznymi (jeśli proces jest zlecony na zewnątrz).

Jeśli tych działań jeszcze nie zrealizowano, warto zrobić to niezwłocznie

Kary za naruszenie RODO przy przetwarzaniu danych o zdrowiu – jak się przed nimi uchronić?

Podczas kontroli UODO może przy okazji weryfikować praktykę pracodawców również w innych obszarach. Chodzi np. o cykliczne przeprowadzanie szkoleń z zakresu ochrony danych osobowych czy dokumentowanie naruszeń ochrony danych osobowych (ten obszar również jest objęty kontrolami sektorowymi).

W zapewnieniu RODO-compliance w organizacji może pomóc audyt ochrony danych osobowych, który pozwoli na „wyłapanie” ewentualnych niepoprawnych praktyk. Możemy go przeprowadzić. Jeśli są Państwo zainteresowani taką usługą lub mają pytania dotyczące przetwarzania danych o zdrowiu pracownika, zapraszamy do kontaktu.

Autor :

Katarzyna Serwatka

Counsel Radca prawny | OW Legal

Na co dzień kompleksowo obsługuje średnie i duże podmioty (w tym z kapitałem zagranicznym), prowadzące działalność głównie w branży produkcyjnej.

Więcej postów tego autora