Umowa powierzenia z medycyną pracy?

Jest takie prawo dotyczące nagłówków w mediach, mówiące, że jesli kończą się pytajnikiem, to znaczy że odpowiedź jest negatywna. W tym wypadku to prawo również działa.

Dlaczego więc nie zawierać umów powierzenia z zakładami medycyny pracy? Oto długie wyjaśnienie oparte na szkoleniu prowadzonym przez p. Monikę Krasińską, Dyrektora Departamentu Orzecznictwa, Legislacji i Skarg w biurze Generalnego Inspektora Ochrony Danych Osobowych (GIODO) na kilka dni przed 25. maja 2018. Wyjaśnienie to wysłałem do moich klientów, a teraz publikuję dla wszystkich.


Szanowni Państwo,

temat medycyny pracy wzbudza wiele kontrowersji. Część medycznych jednostek chce podpisywać umowy przetwarzania. Opowiem więc, jakie jest stanowisko p. dyrektor Moniki Krasińskiej, która z ramienia GIODO szkoliła nas na ten temat 2 tygodnie temu mniej więcej.

Otóż tak wygląda stanowisko GIODO (obecny Prezes Urzędu Ochrony Danych):

Placówka jest administratorem danych pracownika lub kandydata na pracownika. To są jej dane. I Placówka nie powinna ich przekazywać do zakładu medycyny pracy. Placówka powinna jedynie wystawić skierowanie pracownikowi/kandydatowi na pracownika. Pracownik idzie i własnoręcznie zanosi skierowanie do przychodni. Może się po drodze rozmyślić? Może! Najwyżej nie podejmie u nas pracy albo z tej pracy się zwolni.

Na miejscu rejestracja + lekarz pobierają od pracownika jego dane kontaktowe, informacje o chorobach, krew, mocz i wykonują potrzebne badania. Te dane są własnością zakładu medycyny pracy. Oni są oddzielnym administratorem. Placówka nie może mieć wglądu w te dane, nie może żądać ich usunięcia. One są całkowicie poza kontrolą Placówki. To nasz pracownik, ale pacjent tamten przychodni te dane pozostawił.

Następnie placówka medyczna oddaje zaświadczenie o zdolności do pracy do ręki pacjentowi albo pobiera od niego zgodę na przesłanie tych danych zbiorczo do pracodawcy. Przy czym w żadnym wypadku te dane nie mogą się znaleźć na fakturze (drukowane ani przypięte do faktury), bo te dane nie mają trafiać do księgowości (osoby nieupoważnione! do tych danych) ani kontrolerów miejskich czy z urzędu skarbowego.

Pracownik sam zanosi zaświadczenie o zdolności do pracy do pracodawcy, tak samo jak sam zanosi np. swój dyplom ukończenia uczelni, książeczkę sanepidowską czy inne potrzebne dokumenty. Dlatego nie powinno być umowy powierzenia pomiędzy Placówką a Medycyną Pracy. Jest umowa, owszem, ale umowa finansowa. Umowa, która mówi, do jakiej przychodni pracodawca wystawia skierowania na badania i jaka przychodnia wystawi za to fakturę. Ale to nie jest sfera umów z RODO.

Umowa powierzenia jest w tej sytuacji zupełnie nieadekwatna, dlatego, że umowę powierzenia się zawiera wtedy, gdy podmiot pracuje na danych dostarczonych przez Administratora i w każdej chwili na żądanie administratora ma obowiązek je usunąć albo zwrócić. A zakład medycyny pracy nie ma PRAWA usunąć danych pacjenta, który przeszedł przez ich ręce, bo prawo medyczne tego zabrania. Dlatego relacja pomiędzy medycyną pracy a Placówką nie jest relacją pionową (Administrator rządzi podmiotem przetwarzającym) ale relacją poziomą (są to dwaj administratorzy o równorzędnych prawach). Dane są ewentualnie za zgodą pracownika przekazywane pomiędzy nimi (gdy np. medycyna odsyła zbiorczo wszystkie orzeczenia a nie wydaje ich od ręki każdej badanej osobie z osobna)


Dzień dobry,

pisałem o medycynie pracy, dodam, że sytuacji w moim rozumieniu nie zmienia fakt, że lekarz przyjeżdża do placówki i tu bada pacjentów. Po prostu łatwiej jest zaprosić lekarza do siebie niż żeby 20 osób jechało do przychodni. Jednak jedyne co to zmienia, to miejsce, gdzie przyjmuje lekarz. Nadal nie powinno być przekazywania danych pomiędzy placówką a lekarzem. Po prostu pracodawca mówi do pracownika: „Dzisiaj o 10 możesz się zbadać u nas! Jak nie, to pozostaje ci jechać do przychodni.” Zmienia się lokalizacja, ale nadal to pacjent opowiada lekarzowi o swoich chorobach, zanosi krew i mocz i nadal to lekarz pozyskuje dane, których nie wolno mu usunąć, choćby Placówka prosiła. To nadal jest relacja pozioma.


Mam nadzieję, że powyższe wyjaśnienia rozwieją wątpliwości i zatrzymają dziwne szaleństwo podpisywania umów powierzenia w sytuacji, gdy relacja jest pozioma (dwóch równorzędnych Administratorów), a nie pionowa (Administrator i podmiot przetwarzający).

Author: Przemysław Adam Śmiejek

Chrześcijanin, żeglarz, inspektor ochrony danych (IOD, DPO), edukator, youtuber. Od 2000 roku prowadzę przedsiębiorstwo informatyczne, a od 2011 roku zajmuję się ochroną danych w placówkach oświatowych. Od 25 maja 2018 pracuję jako Inspektor ochrony danych.