baner

RODO w Medycynie Pracy

Badania wstępne, okresowe i kontrolne pracowników, a RODO.

 

Zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119/1) – dalej RODO, wymóg zawarcia umowy powierzenia przetwarzania danych osobowych istnieje wówczas, gdy administrator danych osobowych zleca wykonywanie swoich zadań innemu podmiotowi. Przetwarzanie danych osobowych przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego (art. 28 RODO). Podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 RODO). Podkreślić należy, iż podmiot przetwarzający przetwarza dane w imieniu administratora, a nie w imieniu własnym (tj. nie staje się administratorem danych). Podmiot przetwarzający nie decyduje bowiem o celach i sposobach przetwarzania, gdyż przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora (art. 28 ust. 3 lit. a RODO).

A zatem – obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych odnosi się tylko do takich przypadków, gdy przetwarzanie danych osobowych ma być dokonywane w imieniu administratora przez inny podmiot (podmiot przetwarzający).

W przypadku świadczeń z zakresu profilaktycznej ochrony zdrowia pracowników, lekarz medycyny pracy realizuje swoje własne zadania, określone przepisami ustawy z 27.06.1997 r. o służbie medycyny pracy oraz aktach wykonawczych wydanych na jej podstawie.

Lekarz medycyny pracy działa więc niezależnie od pracodawcy – nie realizuje zadań pracodawcy, ale własne zadania określone przepisami prawa. A zatem – lekarz medycyny pracy nie jest podmiotem przetwarzającym w rozumieniu art. 28 w związku z art. 4 pkt 8 RODO.

Wykonując swoje zadania, lekarz medycyny pracy przetwarza dane osobowe pracowników (pacjentów) w imieniu własnym; staje się administratorem danych osobowych udostępnionych mu przez pracodawcę. Lekarz udzielający świadczeń z zakresu medycyny pracy jest odbiorcą danych w rozumieniu art. 4 pkt 9 RODO.

Podstawę przekazania danych stanowią przepisy prawa, a nie zawarta umowa powierzenia danych.

Inspektor Ochrony Danych
Marek Rudnicki

kontakt : inspektor@dolmed.pl