Przepisy dotyczące kontroli pracownika zostały zawarte w rozporządzeniu Ministra Pracy i Polityki Socjalnej z 27 lipca 1999 r. w sprawie szczegółowych zasad i trybu kontroli prawidłowości wykorzystywania zwolnień lekarskich od pracy oraz formalnej kontroli zaświadczeń lekarskich (Dz.U. nr 65, poz. 743 z późn. zm.). Zgodnie z art. 1 ww. rozporządzenia, pracodawca ma prawo do kontroli pracownika przebywającego na zwolnieniu lekarskim, jeśli zgłasza do ubezpieczenia chorobowego powyżej 20 ubezpieczonych (tzn. zatrudnia co najmniej 20 pracowników).

Do Prezesa UODO wpłynęła skarga pracownicy na nieprawidłowości w procesie przetwarzania jej danych osobowych przez pracodawcę, polegające na udostępnieniu jej danych osobowych osobom nieuprawnionym. Pracodawca postanowił skontrolować zasadność zwolnienia lekarskiego, na którym przebywała pracownica. W tym celu do miejsca zamieszkania pracownicy, według jej relacji przyszło dwóch mężczyzn. Jeden z nich zapytał jak się czuje i poinformował, że ponieważ zastał pracownicę w domu, nie jest zasadne zostawienie jej pisma z prośbą o wyjaśnienie nieobecności.

W związku z powyższym pracownica wniosła do PUODO skargę i domagała się zobowiązania osób, którym przekazano jej dane osobowe do ich nieudostępniania oraz nałożenia na pracodawcę kary administracyjnej.

W ramach postępowania organ ustalił, że pracownica przebywała na zwolnieniu lekarskim, będąc jednocześnie na tzw. wypowiedzeniu w związku z rozwiązaniem umowy z pracodawcą. Pracodawca zlecił firmie zewnętrznej przeprowadzenie kontroli zasadności wykorzystania tego zwolnienia. Powyższa kontrola została przeprowadzona przez podmiot, z którym zawarto umowę o współpracy na świadczenie usług związanych z kontrolą absencji chorobowej pracowników, a także umowę powierzenia przetwarzania danych osobowych. Ponadto do przeprowadzenia kontroli zostały imiennie upoważnione dwie osoby, które przeprowadziły niniejszą kontrolę, którym udostępniono dane osobowe pracownika w postaci:  imienia i nazwiska, adresu zamieszkania oraz informacji o przebywaniu na zwolnieniu lekarskim w celu sprawdzenia, czy pracownik przebywa w miejscu zamieszkania, a więc czy wykorzystuje zwolnienie lekarskie zgodnie z jego celem. Osoby te poza imiennymi upoważnieniami do przeprowadzenia kontroli nie otrzymały żadnych dokumentów zawierających dane osobowe kontrolowanego pracownika.

Po przeprowadzonym postępowaniu dowodowym, PUODO odmówił uwzględnienia wniosku Skarżącej i wskazał, że:

obowiązujące przepisy prawne nie ograniczają możliwości powierzenia przez pracodawcę przeprowadzenia kontroli wykorzystania zwolnienia lekarskiego niezgodnie z jego celem podmiotowi zewnętrznemu, co też miało miejsce w niniejszej sprawie. Wskazania również wymaga, że ww. podmiot, zgodnie z art. 28 ust. 3 RODO, był uprawniony do przetwarzania danych osobowych Skarżącej na podstawie umowy powierzenia przetwarzania danych osobowych zawartej ze Spółką.

Spółka przeprowadzając w dniu […] września 2018 r. kontrolę zasadności wykorzystania zwolnienia lekarskiego przez Skarżącą skorzystała z przysługującego jej uprawnienia określonego w art. 68 ust. 1 ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa oraz w § 1 Rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 27 lipca 1999 r. w sprawie szczegółowych zasad i trybu kontroli prawidłowości wykorzystania zwolnień lekarskich od pracy oraz formalnej kontroli zaświadczeń lekarskich, co stanowi wypełnienie przesłanki legalizującej proces przetwarzania danych osobowych, na podstawie art. 6 ust. 1 lit. b) i c) RODO w zakresie zwykłych danych osobowych Skarżącej oraz art. 9 ust. 2 lit. b) RODO w zakresie danych dot. stanu zdrowia.

Podsumowując, wskazać należy, że bardzo często na zalegalizowanie procesu przetwarzania danych osobowych pracowników pozwalają przepisy powszechnie obowiązującego prawa, których znajomość (tak jak w tym przypadku) daje możliwość prawidłowego uregulowania procesów przetwarzania danych osobowych bez konieczności zbierania zgód, które często służą za podstawę przetwarzania danych osobowych pracowników, w sytuacji gdy podstawa wynika z przepisów prawa, co za tym idzie zgoda jest błędną przesłanką przetwarzania danych osobowych, bowiem nie można jej przypisać cechy dobrowolności.

Decyzja Prezesa UODO z 20 marca 2019 r. (sygn. ZSZZS.440.727.2018) https://uodo.gov.pl/decyzje/ZSZZS.440.727.2018