Podmioty publiczne: Jak uchronić się przed sankcjami ze strony PUODO?

Podmioty publiczne: Jak uchronić się przed sankcjami ze strony PUODO?

Jak już wcześniej pisaliśmy (pierwsza kara dla organu publicznego), przez Prezesa UODO została nałożona pierwsza kara finansowa na organ publiczny w wysokości 40% maksymalnej kary. Co można było zrobić, aby się przed nią uchronić?

Decyzją Prezesa UODO  ZSPU.421.3.2019 nałożono karę na organ publiczny za:

  • brak umów powierzenia,
  • brak procedur zarządzania danymi na BIPie,
  • brak analizy ryzyka odnośnie umieszczenia transmisji sesji tylko na YouTube,
  • brak zabezpieczonych kopii nagrań sesji,
  • brak uszczegółowienia Rejestru czynności przetwarzania danych.

By uniknąć podobnych zarzutów, podmiot powinien zastosować się do następujących zasad:

  1. Na stronie BIP powinny znajdować się tylko oświadczenia majątkowe osób, które pełnią funkcję zobowiązane do składania oświadczeń. Oświadczenia te powinny znajdować się na stronie BIP przez okres 6 lat od daty obowiązku złożenia oświadczenia. Dlatego ze strony BIP należy usunąć zbędne oświadczenia majątkowe.
  2. Należy zweryfikować czy są podpisane umowy powierzenia danych z podmiotami, na serwerach których znajduje się strona/BIP Urzędu.
  3. Należy zweryfikować czy Urząd dysponuje zabezpieczonymi kopiami nagrań z posiedzeń sesji Rady gminy/miasta.
  4. Każda komórka organizacyjna powinna zweryfikować „swoje” dane udostępnione na stronie BIP pod względem długości ich przechowywania.
  5. Na stronie BIP należy posiadać aktualne dane kontaktowe (dane pracowników). Listy pracowników należy aktualizować, gdy dojdzie do zmian kadrowych. Należy przejrzeć stronę BIP/stronę Urzędu, pod względem nieaktualnych danych i dokonać stosownych zmian.

Autor: Krzysztof Juszczak, Dyrektor Projektu,
              Inspektor Ochrony Danych

10 zasad bezpiecznego przetwarzania danych

10 zasad bezpiecznego przetwarzania danych

  • Uważaj na to, co i komu udostępniasz o sobie w internecie

Zdarza się, że sami nadmiernie dzielimy się informacjami na nasz temat. Media społecznościowe mogą być kopalnią wiedzy o Tobie, Twoim stanie majątkowym, miejscu pracy, poglądach i zainteresowaniach. Dlatego udostępniając dane zastanów się, kto będzie miał do nich dostęp.

  • Nie zostawiaj dokumentów w zastaw

Nie pozostawiaj dowodu osobistego, paszportu, prawa jazdy, legitymacji szkolnej lub studenckiej jako zastaw. Nikt zgodnie z prawem nie może tego od Ciebie wymagać. Utrata kontroli nad dokumentem tożsamości naraża Cię na niebezpieczeństwo. Nigdy nie wiesz, co będzie działo się w z Twoimi dokumentami podczas ich pozostawienia.

  • Nie podawaj danych przez telefon

Unikaj przekazywania danych telefonicznie – szczególnie, gdy to nie my dzwonimy, ale ktoś dzwoni do Ciebie. Upewnij się, komu udostępniasz dane w trakcie rozmowy telefonicznej, a jeżeli trzeba, zweryfikuj kontakt. Zweryfikować kontakt można poprzez oddzwonienie do jednostki, która dzwoni i zweryfikowanie tożsamości osoby dzwoniącej.

  • Uważaj na formularze z danymi

Zachowaj rozwagę przy wypełnianiu i podpisywaniu różnego rodzaju ankiet, formularzy czy umów. Pamiętaj, że administrator danych musi spełnić wobec Ciebie obowiązek informacyjny, czyli przekazać Ci informacje na swój temat tak, abyś miał pewność, przez kogo i w jakim celu dane będą przetwarzane. Uważaj na formularze, które udają konkursy.

  • Nie wyrzucaj danych na śmietnik

Dokumenty z Twoimi danymi, to skarbnica wiedzy o Tobie, zwłaszcza gdy zawierają m.in. informacje o tym, gdzie pracujesz, ile zarabiasz, kiedy nie ma Cię w domu. Dlatego zniszcz je w sposób uniemożliwiający odtworzenie zawartych w nich danych osobowych, zanim wyrzucisz je do kosza. Do niszczenia dokumentów stosuje odpowiednie niszczarki.

  • Usuwaj trwale dane z nośników

Zanim pozbędziesz się starych dysków twardych, pendrive’ów, kart pamięci, etc. usuń z nich swoje dane. Jednak zwykłe ich skasowanie nie będzie wystarczające. Dlatego, aby trwale usunąć z niego dane, skorzystaj z odpowiedniego do tego oprogramowania. Gdy nie masz pewność że dane zostały usunięte prawidłowo, lepiej nie wyrzucaj nośników.

  • Używaj programów chroniących komputer

Używaj oprogramowania chroniącego komputer i urządzenia mobilne. Oprócz popularnych programów antywirusowych przydatne może być oprogramowanie zabezpieczające przed ingerencją z zewnątrz tzw. firewall. Można używać firewall sprzętowego lub programowego.

  • Bądź czujny w sieci

Nie odpowiadaj na maile od nieznanych Ci osób, gdy domagają się podania jakichś informacji czy namawiają Cię do kliknięcia w przesłany link lub otwarcia załącznika.
Przy korzystaniu z usług bankowości elektronicznej zwracaj uwagę, czy strona banku ma certyfikat ssl, w  pasku przeglądarki. Pamiętaj, bank nie wysyła linków z prośbą o zalogowanie się.

  • Zmieniaj hasła

Okresowo zmieniaj hasła dostępu do komputera, poczty elektronicznej, systemów bankowości elektronicznej, ale również sklepów internetowych. Korzystaj z różnych haseł. Najlepiej, aby nie miały one nic wspólnego z Twoimi imieniem i nazwiskiem, datą urodzin itp. Hasło powinno składać się z różnych znaków, symboli, liter i cyfr. Im dłuższe hasło tym bezpieczniejsze.

  • Nie podawaj wszelkich danych, które pozwolą na Twoją pełną identyfikację

Zakładając kartę lojalnościową podajesz sklepom imię, nazwisko, adres zamieszkania, datę ur., adres e-mail i nr tel., w zamian za promocje i bony rabatowe. Często niestety udzielasz zgód na wykorzystywanie Twoich danych w celach marketingowych nie tylko sprzedawcy, ale i jego partnerom. Czytaj na co się zgadzasz, bo nie musisz się zgadzać na wszystko.

Źródło: https://uodo.gov.pl/pl/file/2463

Kto sprząta Twoje dane?

Kto sprząta Twoje dane?

W dobie RODO w każdej firmie czy instytucji zasada czystego biurka nabrała istotnego znaczenia. Jak zabezpieczyć dane osobowe, gdy wychodzisz ze swojego biura a inni tam właśnie swoją pracę rozpoczynają?

Zastanawiając się nad bezpieczeństwem informacji w kontekście serwisów sprzątających należałoby rozważyć kilka kwestii. Zasada czystego biurka, czyli nie zostawianie dokumentów na stanowisku pracy jest jedną kwestią, drugą trzymanie tych dokumentów w szafie zamkniętej na klucz. W roztargnieniu i natłoku obowiązków, na biurku mogą, chociaż nie powinny, pozostać dokumenty zawierające dane osobowe lub inne ważne dla organizacji informacje. Jednym z elementów zapewniającym bezpieczeństwo danych, będzie realizowanie dobrych praktyk w stosunku do pracowników serwisów sprzątających. W zasadzie możemy mówić tutaj o kategorii szerszej aniżeli tylko ochrona danych osobowych,  czyli o bezpieczeństwie informacji.

Dla przypomnienia, sam wgląd w dane osobowe to już ich przetwarzanie. Zdarza się, że osoba sprzątająca może mieć dostęp do danych osobowych wykonując swoje obowiązki służbowe, co oczywiście nie jest zamierzone. Szczególnie trzeba uważać na to, do czego ma dostęp personel sprzątający, zwłaszcza jeżeli sprzątanie odbywa się po godzinach pracy i bez nadzoru osób uprawnionych.

Osoba wykonująca sprzątanie co do zasady nie przetwarza danych osobowych, a co za tym idzie nie nadaje jej się upoważnienia do przetwarzania danych. Z tej samej przyczyny z serwisem sprzątającym nie sporządza się również umowy powierzenia przetwarzania danych osobowych. Zapisy dotyczące bezpieczeństwa informacji,  w tym bezpieczeństwo danych osobowych, dobrze jest umieścić w umowie z serwisem sprzątającym. Zapisy te powinny zawierać następujące informacje:

Pracownicy firm mogą przebywać w pomieszczeniach przetwarzania danych osobowych tylko i wyłącznie podczas wykonywania swojej pracy. Przebywanie w pomieszczeniach musi mieć związek z wykonywanymi zadaniami.

Pracownicy firmy Serwis Sprzątający ABC przebywając w pomieszczeniach przetwarzania danych zobowiązują się do:

  • zachowania w tajemnicy wszystkich informacji zdobytych podczas wykonywania pracy;
  • nieujawniania informacji na temat zabezpieczeń pomieszczeń jak i budynku;
  • nieujawniania informacji na temat przetwarzanych informacji w firmie;
  • niepozostawiania pomieszczeń/budynku otwartego po skończonej pracy;
  • zamykania pomieszczenia na klucz i okien za każdym razem gdy wychodzi z pokoju, który jest aktualnie sprzątany;
  • zamykanie drzwi wejściowych i balkonowych jeżeli sprzątanie odbywa się po godzinach pracy;
  • niepozostawiania budynku otwartego podczas przerw w pracy.

Właściciel firmy Serwis Sprzątający ABC zobowiązany jest do poinformowania wszystkich pracowników, którzy będą uczestniczyć w pracach o powyższych zasadach oraz o tym, że ich dane osobowe będą przetwarzane przez firmę XYZ w celu prowadzenia ewidencji osób wykonujących zadania wynikające z umowy. Przetwarzane będą tylko i wyłącznie dane osobowe niezbędne do identyfikacji osób i nie będą wykorzystywane do innych celów. Każdy pracownik będzie miał prawo wglądu do swoich danych i ich kontroli.

Do pracy mogą być dopuszczone tylko i wyłącznie osoby zgłoszone przez Serwis Sprzątający ABC.

Właściciel firmy XYZ lub osoba przez niego upoważniona (Inspektor Ochrony Danych) mają prawo skontrolować skład pracowników przebywających w firmie podczas wykonywania prac.

Gdy wymagana jest zmiana pracowników wykonujących pracę właściciel firm lub osoba przez niego upoważniona informuje upoważnioną osoba po stronie XYZ nie później niż dzień przed planowaną zmianą.

Stosując powyższe zapisy, poza formalnym zabezpieczaniem, organizacja w jasny i czytelny sposób przekazuje komunikat, że przykłada uwagę do bezpieczeństwa informacji i zależy jej, żeby pracownicy firmy, z którą podpisano umowę, również przywiązywali do tego uwagę. Zleceniobiorca powinien zaznajomić pracowników firmy sprzątającej z zasadami postępowania z danymi osobowymi oraz informacjami stanowiącymi tajemnicę przedsiębiorstwa.

Daleki jestem od stwierdzenia, że osoba z personelu sprzątającego nie potrafi zachować w tajemnicy danych, z którymi się zetknie lub każdego kto sprząta należy podejrzewać o szpiegostwo przemysłowe. Jednakże tego typu sytuacje się zdarzają, a przeciwdziałanie nim jest elementem uzupełniającym system ochrony danych osobowych oraz bezpieczeństwa informacji w organizacji. Znany jest przypadek organizacji, która zainwestowała sporo w nowoczesny system dostępu do pokoi. Każdy z pracowników miał kartę, która po zbliżeniu do czytnika przy drzwiach, otwierała tylko drzwi do tego pokoju, do którego dany pracownik miał dostęp. Z drugiej jednak strony, dla ułatwienia pracy serwisowi sprzątającemu, pracownicy serwisu mieli klucz uniwersalny otwierający wszystkie drzwi, także pomieszczenie kadr, archiwum i serwerowni. Zorganizowane było to w taki sposób, ponieważ sprzątanie odbywało się po godzinach pracy. W tym przypadku zabezpieczenia techniczne zdecydowanie i niepotrzebnie wyprzedziły zabezpieczenia organizacyjne.

Praktyką, która nie bez powodu jest często stosowana, jest podpisywanie przez pracowników firmy sprzątającej oświadczeń o zachowaniu poufności. Odpowiednie zapisy chronią organizację w przypadku np. ujawnienia danych osobowych, do których dana osoba miała dostęp. Skoro osoba zapoznała się z zasadami bezpieczeństwa i pisemnie potwierdza, że zachowa poufność, a doszłoby do tego rodzaju naruszenia, organizacja, jest w znacznie korzystniejszej sytuacji. Konstruując zapisy należy pamiętać by były tam zawarte poniższe informacje:

  • Zobowiązuję się do zachowania w tajemnicy wszelkich informacji udzielonych ustnie, pisemnie, drogą elektroniczną lub w inny dostępny sposób, w tym w szczególności danych osobowych, do których mogę mieć dostęp w trakcie wykonywania usługi / zatrudnienia u Administratora. 
  • Obowiązek ten jest nieograniczony w czasie. 
  • Świadomy praw i obowiązków oświadczam, że znane są mi przepisy: 
    • dotyczące ochrony danych osobowych – Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku  
      z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych  
    • 266 ustawy z dnia 6 czerwca 1997 r. Kodeks karny „Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.” 
    • 267 ustawy z dnia 6 czerwca 1997 r. Kodeks karny „Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.” 

Zewnętrzne firmy sprzątające powinny zagwarantować, chociażby w umowie na usługę, że ich personel jest odpowiednio przeszkolony i zobowiązany do zachowania poufności. Jeżeli są to pracownicy organizacji, powinni przejść szkolenie w zakresie ochrony danych osobowych. Może nie w pełnej wersji jak to ma miejsce dla pracowników, których zadaniem jest przetwarzanie danych osobowych, ale w wersji uproszczonej, skupiającej się na kwestiach poufności. Następnie zalecam sporządzenie z takim pracownikiem klauzuli poufności.

Kolejną dobrą praktyką jest sporządzenie „zakresu czynności”, obejmujący usługę, gdzie wskazać można czy sprzątanie odbywa się po godzinach pracy, jakie czynności wykonuje się, w których pomieszczeniach oraz, patrząc z perspektywy bezpieczeństwa organizacji: obowiązek zamknięcia drzwi, okien i włączeniu alarmu po zakończonej pracy; albo konieczność zamykania organizacji od wewnątrz podczas sprzątania; otwieranie jedynie drzwi pomieszczenia, w którym w danej chwili odbywa się sprzątanie. Katalog zapisów, które można dodawać jest otwarty i powinien być dostosowany do potrzeb organizacji.

Przy tej okazji zachęcam również do zastanowienia się, do jakich pomieszczeń osoba sprzątająca powinna mieć dostęp tylko w towarzystwie pracownika organizacji. W mojej ocenie takim właśnie pomieszczeniem, w który nie powinny przebywać bez nadzoru osoby nieupoważnione, są „kadry”, archiwum, serwerownia.

Powyższe zasady mają również zastosowanie dla pracowników wykonujących w organizacji różnego rodzaju prace, np. dla elektryka usuwającego usterkę w sieci, przebywającego w pomieszczeniu, w którym na co dzień odbywa się praca z danymi osobowymi. Proponuję mieć je na uwadze w przypadkach, gdy w obszarach przetwarzania danych osobowych mogą przebywać osoby, których zadaniem nie jest przetwarzanie tych danych, ale ze względu na charakter swojej pracy, mogą mieć z tymi danymi styczność.

Autor: Arkadiusz Kępski
Inspektor Ochrony Danych,
Kierownik Projektu w CompNet Sp. z o.o.

 

© Copyright by CompNet Sp. z o. o

Czym może się zakończyć utrudnianie wycofania zgody do przetwarzania danych osobowych?

Czym może się zakończyć utrudnianie wycofania zgody do przetwarzania danych osobowych?

Tym razem Prezes UODO nałożył karę pieniężną  m.in. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych. To kolejna kara w dość krótkim czasie. Dlaczego ukarano Spółkę, na jaką kwotę oraz na które paragrafy z ustawy należy zwrócić szczególną uwagę, by uniknąć kary?

Ukarana przez Prezesa UODO spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby łatwe i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz realizację prawa do żądania usunięcia danych osobowych (prawa do bycia zapomnianym). Naruszyła więc określone w RODO zasady zgodności z prawem, rzetelności i przejrzystości przetwarzania danych osobowych.

Więcej dowiesz się tutaj

Źródło: Urząd Ochrony Danych Osobowych, https://uodo.gov.pl/pl

 

RODO: Pierwsza kara dla podmiotu publicznego!

RODO: Pierwsza kara dla podmiotu publicznego!

Prezes UODO nałożył pierwszą karę pieniężną na podmiot publiczny. Jednostki samorządu terytorialnego też muszą się liczyć z karą za nieprzestrzeganie RODO.

Jednym z powodów nałożenia kary w wysokości 40 tys. na burmistrza miasta było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.

Umowa powierzenia nie została zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim. Takiej umowy nie zawarto również z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Prezes UODO uznał więc, że doszło do naruszenia art. 28 ust. 3 RODO.

Więcej informacji znajdziesz tutaj

Źródło: Urząd Ochrony Danych Osobowych, https://uodo.gov.pl/pl

 

Choroby zawodowe a Ochrona Danych Osobowych

Choroby zawodowe a Ochrona Danych Osobowych

Czy pracodawca ma obowiązek zgłaszać podejrzenie choroby zawodowej pracownika? Czy lekarz ma prawo przekazywać wyniki badań pracownika pracodawcy, w tym dotyczące podejrzenia lub rozpoznania chorób zawodowych?

1. Czy pracodawca ma obowiązek zgłaszać podejrzenie choroby zawodowej pracownika?

Obowiązek taki przewidziano w art. 235. § 1. Pracodawca jest obowiązany niezwłocznie zgłosić właściwemu państwowemu inspektorowi sanitarnemu i właściwemu okręgowemu inspektorowi pracy każdy przypadek podejrzenia choroby zawodowej.

Przy czym należy zauważyć:

Obowiązki pracodawcy zawarte w art. 235 KP dotyczą dwóch różnych sytuacji: podejrzenia choroby zawodowej oraz rozpoznania choroby zawodowej. Po pierwsze, gdy tylko wystąpi podejrzenie choroby zawodowej pracodawca obowiązany jest dokonać zgłoszenia tego faktu właściwemu państwowemu inspektorowi sanitarnemu i właściwemu okręgowemu inspektorowi pracy. Ustawodawca nie sprecyzował jednak, co należy rozumieć przez pojęcie występowania podejrzenia choroby zawodowej. Należy założyć, że chodzi o takie sytuacje, w których zespół objawów występujących u pracownika jest nie tylko widoczny, ale i dość typowy. Pracodawca może uzyskać również informacje na temat tego podejrzenia od osób świadczących pomoc medyczną na terenie zakładu pracy.
W przypadku gdy nastąpiło rozpoznanie choroby zawodowej, pracodawca powinien podjąć działania zmierzające do wyeliminowania ryzyka, które spowodowało to zachorowanie. W tym celu obowiązany jest ustalić przyczyny powstania choroby zawodowej oraz charakter i rozmiar zagrożenia tą chorobą, działając w porozumieniu z właściwym państwowym inspektorem sanitarnym. Jak tylko zostaną zdiagnozowane czynniki powodujące powstanie choroby zawodowej, powinien zastosować wszelkie dostępne mu środki zapobiegawcze i zapewnić realizację zaleceń lekarskich.
(źródło: Kodeks pracy. Komentarz red. Sobczyk 2018, wyd. 4/Dörre-Kolasa).

2. Jeżeli podejrzenie występowania choroby zawodowej u pracownika następuje w wyniku badań przeprowadzonych na skierowanie pracodawcy obowiązek taki spoczywa na lekarzu.

Art. 235 § 2. Obowiązek, o którym mowa w § 1, dotyczy także lekarza podmiotu właściwego do rozpoznania choroby zawodowej, o którym mowa w przepisach wydanych na podstawie art. 237 § 1 pkt 6.

oraz

Zgodnie z art. 235 § 21 W każdym przypadku podejrzenia choroby zawodowej:

1) lekarz,

2) lekarz dentysta, który podczas wykonywania zawodu powziął takie podejrzeniu pacjenta

– kieruje na badania w celu wydania orzeczenia o rozpoznaniu choroby zawodowej albo o braku podstaw do jej rozpoznania.

W takiej sytuacji, zawiadomienia takiego nie dokonuje pracodawca w związku z faktem, iż nie ma uprawnień do uzyskania dostępu do dokumentacji medycznej od lekarza wykonującego badania ani tym bardziej wydawania opinii na jej podstawie, w związku z czym nie ma możliwości powzięcia informacji o podejrzeniu choroby zawodowej.

3. Czy lekarz ma prawo przekazywać wyniki badań pracownika pracodawcy, w tym dotyczące podejrzenia lub rozpoznania chorób zawodowych?

NIE – gdyż jest to dokumentacja medyczna.

Zgodnie z Rozporządzeniem Ministra Zdrowia z dnia 1 sierpnia 2002 r. w sprawie sposobu dokumentowania chorób zawodowych i skutków tych chorób:

§ 2. 1. Dokumentacja medyczna dotycząca chorób zawodowych obejmuje:

1) dokumentację indywidualną, którą stanowi karta badania w związku z chorobą zawodową;

2) dokumentację zbiorczą, którą stanowi księga podejrzeń oraz rozpoznań chorób zawodowych.

3.5) Prowadzenie, przechowywanie i udostępnianie kart badań w związku z chorobą zawodową, określają przepisy wydane na podstawie art. 30 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.

4. Dane umieszczane w księdze podejrzeń oraz rozpoznań chorób zawodowych oraz sposób jej prowadzenia i przechowywania, określają przepisy w sprawie rodzajów dokumentacji medycznej służby medycyny pracy oraz sposobu jej prowadzenia i przechowywania.

Zgodnie z ustawą z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, dostęp do dokumentacji medycznej posiada pacjent, osoby upoważnione przez pacjenta, osoby bliskie pacjenta w określonych ustawą przypadkach oraz podmioty, o których mowa w art. 26 ust. 3 i ust. 4.

Uprawnienie to w żadnym z powyższych przypadków nie przysługuje pracodawcy.

Lekarz, udostępniając pracodawcy wynik badań pracownika, narusza ustawę z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta w zakresie nieuprawnionego udostępnienia dokumentacji medycznej oraz przepisy dotyczące ochrony danych osobowych, gdyż dochodzi do nieuprawnionego udostępnienia danych osobowych, w tym szczególnych kategorii danych osobowych.

4. W jakiej sytuacji pracodawca zostaje poinformowany, czy też uczestniczy w postępowaniu w związku ze zgłoszeniem podejrzenia choroby zawodowej?

Zgodnie z § 4 ust. 1 Rozporządzenia Rady Ministrów z dnia 30 czerwca 2009 r. w sprawie chorób zawodowych

Właściwy Państwowy powiatowy inspektor sanitarny, który otrzymał zgłoszenie podejrzenia choroby zawodowej, wszczyna postępowanie, a w szczególności kieruje pracownika lub byłego pracownika, którego dotyczy podejrzenie, na badanie w celu wydania orzeczenia o rozpoznaniu choroby zawodowej albo o braku podstaw do jej rozpoznania, do jednostki orzeczniczej, o której mowa w § 5 ust. 2.

§ 6 ust. 1. Lekarz, o którym mowa w § 5 ust. 1, wydaje orzeczenie o rozpoznaniu choroby zawodowej albo o braku podstaw do jej rozpoznania, zwane dalej „orzeczeniem lekarskim”, na podstawie wyników przeprowadzonych badań lekarskich i pomocniczych, dokumentacji medycznej pracownika lub byłego pracownika, dokumentacji przebiegu zatrudnienia oraz oceny narażenia zawodowego.

Ust. 5. Jeżeli zakres informacji zawartych w dokumentacji, o której mowa w ust. 1, jest niewystarczający do wydania orzeczenia lekarskiego, lekarz występuje o ich uzupełnienie do pracodawcy — w zakresie obejmującym przebieg oraz organizację pracy zawodowej pracownika lub byłego pracownika, w tym pracę w godzinach nadliczbowych, dane o narażeniu zawodowym, obejmujące także wyniki pomiarów czynników szkodliwych wykonanych na stanowiskach pracy, na których pracownik był zatrudniony, stosowane przez pracownika środki ochrony indywidualnej, a w przypadku narażenia pracownika na czynniki o działaniu uczulającym (alergenów) — także o przekazanie próbki substancji, w ilości niezbędnej do przeprowadzenia badań diagnostycznych.

Na podstawie wskazanych przepisów, pracodawca zostaje powiadomiony oraz zobowiązany do udzielenia wskazanych informacji w toku prowadzonego postępowania, w celu wydania orzeczenia o rozpoznaniu choroby zawodowej albo o braku podstaw do jej rozpoznania. Proszę zwrócić uwagę, że nigdzie nie ma wzmianki w przepisie, jakoby od pracodawcy wymagane było przekazanie wyników badań lekarskich lub jakiejkolwiek dokumentacji medycznej dotyczącej pracownika.

Wszelka dokumentacja, przekazywana od lekarza właściwego w sprawie orzekania w zakresie chorób zawodowych, na tym etapie postępowania jest zachowywana w celach dowodowych oraz archiwizowana zgodnie z przepisami, przez pracodawcę.

5. Jakie inne obowiązki spoczywają na pracodawcy w związku ze stwierdzeniem choroby zawodowej pracownika?

Zgodnie z § 8 ust. 1 Rozporządzenia Rady Ministrów z dnia 30 czerwca 2009 r. w sprawie chorób zawodowych

– Decyzję o stwierdzeniu choroby zawodowej albo decyzję o braku podstaw do stwierdzenia choroby zawodowej wydaje się na podstawie materiału dowodowego, a w szczególności danych zawartych w orzeczeniu lekarskim oraz formularzu oceny narażenia zawodowego pracownika lub byłego pracownika.

– ust. 3, pkt. 2 Właściwy państwowy powiatowy inspektor sanitarny przesyła decyzję, o której mowa
w ust. 1, pracodawcy lub pracodawcom zatrudniającym pracownika w warunkach, które mogły spowodować skutki zdrowotne uzasadniające postępowanie w sprawie rozpoznania i stwierdzenia choroby zawodowej;

Pracodawca, po otrzymaniu niniejszej decyzji, ma obowiązek zawiadomić instytut prowadzący Rejestr chorób zawodowych i rejestr skutków tych chorób, zgodnie ze wzorem określonym w załączniku nr 10 do Rozporządzenia Ministra Zdrowia z dnia 1 sierpnia 2002 r. w sprawie sposobu dokumentowania chorób zawodowych i skutków tych chorób. Obowiązek wysłania zawiadomienia przez pracodawcę, zgodnie z załącznikiem nr 10, wynika z objaśnienia do załącznika.

Pracodawca, zgodnie z art. 235 § 4, ma obowiązek prowadzić rejestr obejmujący przypadki stwierdzonych chorób zawodowych i podejrzeń o takie choroby.


WNIOSKI:

  1. Jeżeli podejrzenie wystąpienia choroby zawodowej pracownika następuje w wyniku badań prowadzonych przez lekarza medycyny pracy lub innego specjalistę, obowiązek dokonania powiadomienia podmiotów, o których mowa w art. 235 Kodeksu pracy, spoczywa na lekarzu.
  2. Lekarz nie ma podstawy prawnej do przekazywania pracodawcy dokumentacji medycznej (w tym wyników badań pracownika). Podmioty właściwe w celu dokonania zawiadomienia podejrzenia choroby zawodowej, zostały wskazane w art. 235 Kodeksu pracy.
  3. Lekarz, przekazując pracodawcy wyniki badań oraz inną dokumentację związaną z rozpoznaniem lub podejrzeniem choroby zawodowej, narusza przepisy ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, w zakresie udostępniania dokumentacji medycznej oraz przepisy o ochronie danych osobowych w zakresie nieuprawnionego udostępnienia danych osobowych, w tym szczególnych kategorii danych.
  4. Wszelka dokumentacja medyczna, przekazana pracodawcy przez lekarza bezpodstawnie, powinna zostać zwrócona do podmiotu medycznego, który ją sporządził.
  5. Pracodawca jest zobowiązany udzielić informacji, współpracować i przechowywać dokumentację przekazaną przez lekarza właściwego do orzekania w sprawie chorób zawodowych oraz Państwowy Inspektorat Sanitarny w toku postępowania o wydanie orzeczenia o rozpoznaniu choroby zawodowej lub braku podstaw do jej rozpoznania.
  6. Po otrzymaniu decyzji Państwowego Inspektoratu Sanitarnego o stwierdzeniu choroby zawodowej, pracodawca ma obowiązek zawiadomić instytut właściwy w celu prowadzenia rejestru chorób zawodowych i rejestru skutków tych chorób, zgodnie ze wzorem określonym w załączniku nr 10 do Rozporządzenia Ministra Zdrowia z dnia 1 sierpnia 2002 r. w sprawie sposobu dokumentowania chorób zawodowych i skutków tych chorób.
  7. Pracodawca ma obowiązek prowadzić ewidencję przypadków podejrzenia lub stwierdzenia choroby zawodowej, zgodnie z art. 235 § 4 Kodeksu pracy.

Autor: Piotr Kropidłowski, Inspektor Ochrony Danych,
Kierownik Projektu w CompNet Sp. z o. o.

Podstawa prawna:

  • Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy
  • Rozporządzenie Rady Ministrów z dnia 30 czerwca 2009 r. w sprawie chorób zawodowych
  • Obwieszczenie Ministra Zdrowia z dnia 29 lipca 2013 r. w sprawie ogłoszenia jednolitego tekstu rozporządzenia Ministra Zdrowia w sprawie sposobu dokumentowania chorób zawodowych i skutków tych chorób
  • Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta
  • Rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania

© Copyright by CompNet Sp. z o. o.