To, jakie dane osobowe i na jakich zasadach może przetwarzać administrator (np. pracodawca) wynika z ogólnego rozporządzenia o ochronie danych lub przepisów szczególnych. Utrzymanie dobrych relacji z kontrahentem to nie jest powód, który usprawiedliwia podmiot zatrudniający do posłużenia się danymi, do których nie jest uprawniony. Tym bardziej gdy w grę wchodzi przekazywanie informacji o powodach nieobecności pracownika w pracy związanych ze stanem zdrowia.
W jednej ze spraw zainicjowanych skargą osoby fizycznej Prezes UODO odniósł się do postępowania pewnego pracodawcy, którego upomniał w dwóch kwestiach. Po pierwsze, za naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu danych osobowych pracownika w zakresie prywatnego numeru telefonu bez podstawy prawnej. Po drugie, za naruszenie art. 9 ust. 1 RODO polegające na udostępnieniu na rzecz osób nieuprawnionych danych osobowych tego pracownika w zakresie danych dotyczących zdrowia, tj. udostępnieniu informacji o fakcie przebywania przez ww. na zwolnieniu lekarskim.
Posługiwanie się numerem telefonu prywatnego możliwe tylko za zgodą jego posiadacza
Pierwszym z rozpatrywanych w toku sprawy działań spółki było przetwarzanie przez nią danych osobowych skarżącej w postaci prywatnego numeru telefonu bez podstawy prawnej. RODO określa obowiązki administratora, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Przepisem uprawniającym administratorów do przetwarzania danych osób fizycznych jest art. 6 ust. I RODO, zgodnie z którym, przetwarzanie jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przestanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że ww. przepis legalizuje przetwarzanie danych, gdy spełniona jest co najmniej jedna z enumeratywnie wskazanych w nim przesłanek. Materiał dowodowy nie wykazał, żeby osoba skarżąca w jakikolwiek sposób dobrowolnie udostępniła swój prywatny numer telefonu, zarówno prezesowi zarządu spółki, jak i samej spółce do celów służbowych. Spółka w swoich wyjaśnieniach wskazała, że korespondencja mogła omyłkowo i niecelowo być prowadzona również z kontem użytkownika przypisanym do numeru prywatnego. Równocześnie spółka posiadała inne możliwości uzyskania kontaktu z osobą skarżącą, dysponując służbowym adresem e-mail oraz służbowym numerem telefonu komórkowego.
Po zbadaniu tego wątku w sprawie Prezes UODO stwierdził, że spółka nie legitymowała się żadną z przesłanek art. 6 ust. 1 RODO, kontaktując się z osobą skarżącą w celach służbowych na prywatny numer telefonu tej osoby.
Dane o stanie zdrowia. Ich przetwarzanie podlega szczególnym rygorom
Drugim z rozpatrywanych w toku sprawy działań spółki było udostępnienie danych osoby skarżącej w zakresie informacji o przebywaniu na zwolnieniu lekarskim oraz treści tego zwolnienia osobom trzecim.
RODO określa obowiązki administratora, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Przepisem uprawniającym administratora do przetwarzania szczególnych kategorii danych osobowych jest art. 9 ust. I oraz 2 RODO. Zgodnie z art. 9 ust. 1 RODO zabrania się przetwarzania m.in. danych osobowych dotyczących zdrowia osoby fizycznej.
Zgodnie z art. 9 ust. 2 RODO, art. 9 ust. 1 RODO nie ma zastosowania, gdy spełniona jest jedna z przestanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 9 ust. 2 RODO jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że ww. przepis legalizuje przetwarzanie danych, gdy spełniona jest co najmniej jedna z enumeratywnie wskazanych w nim przesłanek.
Informacje o przebywaniu przez daną osobę na zwolnieniu lekarskim oraz przybliżona treść zwolnienia stanowią dane dotyczące zdrowia, a więc jedną ze szczególnych kategorii danych enumeratywnie wymienionych w art. 9 ust. I RODO. Zgodnie bowiem z motywem 35 RODO do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą.
Do danych takich należą m.in. wszelkie informacje, na przykład o chorobie, ryzyku choroby, historii medycznej, stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia. Ponadto art. 4 pkt 15 RODO definiuje dane dotyczące zdrowia jako dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej — w tym o korzystaniu z usług opieki zdrowotnej — ujawniające informacje o stanie jej zdrowia. Informacja o przebywaniu przez osobę skarżącą na zwolnieniu lekarskim jest daną dotyczącą zdrowia, ponieważ ujawnia informację o stanie zdrowia tej osoby oraz o korzystaniu przez nią z usług opieki zdrowotnej, jako że sam fakt otrzymania zwolnienia lekarskiego oznacza, że osoba ta z takiej usługi skorzystała, jak również, że z uwagi na stan zdrowia nie powinna ona wykonywać pracy na zajmowanym stanowisku.
W omawianej sprawie spółka uzasadniała udostępnienie tych danych osobom trzecim koniecznością wytłumaczenia kontrahentom spółki powodów utrudnionego kontaktu z tym podmiotem, jak również koniecznością reorganizacji obowiązków pozostałych pracowników w świetle nieobecności osoby skarżącej w pracy.
Zdaniem organu nadzorczego, powyższe powody nie stanowią żadnej z przesłanek z art. 9 ust. 2 RODO legalizujących proces przetwarzania szczególnych kategorii danych osobowych, jakim w zakresie niniejszego postępowania jest ich udostępnienie osobom trzecim.
Źródło: UODO