1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Przetwarzanie danych osobowych dotyczących zdrowia pracowników według najnowszego orzecznictwa TSUE
Wyszukiwanie...

Przetwarzanie danych osobowych dotyczących zdrowia pracowników według najnowszego orzecznictwa TSUE

Spis treści

W dobie dynamicznego rozwoju cyfryzacji i globalizacji zakres oraz intensywność przetwarzania danych osobowych – w tym danych dotyczących zdrowia pracowników – nieustannie rosną. Najnowsze orzeczenia Trybunału Sprawiedliwości Unii Europejskiej (TSUE) rzucają światło na kluczowe wyzwania i obowiązki, jakie ciążą na pracodawcach, administratorach oraz podmiotach przetwarzających dane w kontekście RODO. Dla przedsiębiorców znajomość tych zasad jest dziś nie tylko wymogiem prawnym, ale też elementem budowania zaufania wśród pracowników i kontrahentów. W tym poradniku wyjaśniam najważniejsze zasady przetwarzania danych zdrowotnych pracowników, prezentując konkretne przykłady i praktyczne wskazówki, jak postępować zgodnie z najnowszymi regulacjami i orzecznictwem.

Najważniejsze zasady przetwarzania danych zdrowotnych pracowników w świetle RODO i orzecznictwa TSUE

Przetwarzanie danych osobowych dotyczących zdrowia podlega w Unii Europejskiej szczególnej ochronie. Zgodnie z art. 9 ust. 1 RODO „zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznej identyfikacji osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby” – [art. 9 ust. 1 RODO].

Jednak już w kolejnym ustępie pojawiają się wyjątki od tej zasady. Przetwarzanie danych dotyczących zdrowia pracownika może być dozwolone w określonych sytuacjach, m.in. gdy jest to niezbędne do realizacji obowiązków i szczególnych praw administratora danych lub osoby, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej – [art. 9 ust. 2 lit. b RODO].

W praktyce oznacza to, że:

  • pracodawca może przetwarzać dane dotyczące zdrowia pracownika wyłącznie w przypadkach jasno określonych w przepisach,
  • zawsze musi wdrożyć środki techniczne i organizacyjne zapewniające odpowiedni poziom bezpieczeństwa (np. pseudonimizacja, szyfrowanie),
  • dostęp do tych danych powinien być ograniczony wyłącznie do osób uprawnionych, a nie do całego personelu czy współpracowników,
  • każda osoba, która poniesie szkodę w wyniku niezgodnego z prawem przetwarzania danych, ma prawo domagać się odszkodowania od administratora lub podmiotu przetwarzającego – [art. 82 RODO].

Przykład 1: Przetwarzanie danych przez dział HR w firmie informatycznej

Wyobraź sobie sytuację, w której firma IT „InnovaCode” zatrudnia około 200 osób. Pracownica działu kadr, pani Marta, otrzymuje zwolnienie lekarskie od jednego z programistów, pana Tomasza. Kadrowa, zgodnie z procedurą, odnotowuje tę nieobecność w systemie kadrowym, do którego mają dostęp także inne osoby z zespołu HR. W systemie – poza informacją o długości absencji – znajdują się również szczegółowe dane o stanie zdrowia Tomasza, widoczne dla całego działu HR.

Co jest nieprawidłowe?
W świetle RODO oraz najnowszego orzecznictwa TSUE (wyrok z 21.12.2023 r., C-667/21), dane dotyczące zdrowia mogą być przetwarzane wyłącznie przez osoby bezpośrednio zaangażowane i uprawnione. Jeśli dostęp do szczegółowych informacji mają osoby niezaangażowane w proces obsługi konkretnej nieobecności, stanowi to naruszenie przepisów. Co więcej, jeśli dojdzie do ujawnienia informacji o stanie zdrowia innym współpracownikom, pracownik ma prawo żądać odszkodowania, nawet jeśli nie doszło do ujawnienia publicznego, a szkoda ma charakter niemajątkowy (np. pogorszenie atmosfery pracy, naruszenie prywatności).

Praktyczne wyzwania i obowiązki pracodawców – co musisz wiedzieć

Dostęp do danych zdrowotnych pracowników – granice i ryzyka

Pracodawca ma prawo, a często także obowiązek, przetwarzania danych zdrowotnych swoich pracowników – np. w związku z absencją chorobową, badaniami wstępnymi, okresowymi czy kontrolnymi. Jednak zgodnie z orzecznictwem TSUE, dostęp do tych danych musi być ograniczony do minimum – wyłącznie do osób niezbędnych do wykonania określonej czynności służbowej. Nawet w dużych organizacjach, dostęp do akt medycznych lub szczegółowych danych zdrowotnych nie powinien być szeroki i „systemowy”.

Pracodawca powinien stosować:

  • pseudonimizację – tak by osoba analizująca dane nie mogła powiązać ich bezpośrednio z konkretnym pracownikiem,
  • szyfrowanie danych,
  • ścisłe zarządzanie uprawnieniami (np. tylko jedna osoba w HR lub dział lekarza zakładowego może mieć dostęp do konkretnych danych zdrowotnych),
  • regularny audyt uprawnień i dostępów.

Przykład 2: Firma logistyczna „Spedico” i przechowywanie opinii lekarskich

W firmie transportowo-logistycznej „Spedico” kierowca – pan Piotr – po długotrwałej chorobie został skierowany na badanie lekarskie przez pracodawcę, aby ustalić, czy może wrócić do pracy. Badanie przeprowadziła zatrudniona w firmie lekarka medycyny pracy, która następnie przygotowała opinię medyczną. Ta opinia, zawierająca szczegółowe dane o stanie zdrowia Piotra, została zeskanowana i zarchiwizowana w systemie dokumentacji pracowniczej dostępnej także dla kilku pracowników działu kadr oraz działu IT.

Czy to jest zgodne z prawem?
Nie. Jak wynika z wyroku TSUE z 21.12.2023 r., C-667/21, kluczowe jest, aby wrażliwe dane zdrowotne pracownika były przetwarzane wyłącznie przez osoby zobowiązane do zachowania tajemnicy zawodowej (np. lekarz, pielęgniarka, ewentualnie konkretna, upoważniona osoba z HR, jeśli jest to konieczne). Udostępnianie tych danych innym pracownikom, nawet jeśli mają dostęp do systemu, stanowi naruszenie RODO. Jeśli doszłoby do szkody – np. pogorszenia relacji z innymi pracownikami lub ujawnienia informacji na temat stanu zdrowia – Piotr mógłby domagać się odszkodowania od pracodawcy. Pracodawca może uwolnić się od odpowiedzialności wyłącznie, jeśli wykaże, że nie ponosi winy za to naruszenie (art. 82 ust. 3 RODO).

Najczęstsze błędy popełniane przez pracodawców

  • Zbyt szeroki dostęp do dokumentacji zdrowotnej – nawet jeśli jest to wygodne, stanowi poważne ryzyko prawne i organizacyjne.
  • Brak pseudonimizacji lub szyfrowania – dane zdrowotne muszą być odpowiednio zabezpieczone.
  • Przetwarzanie danych bez wyraźnego uzasadnienia – każda operacja na danych zdrowotnych musi mieć podstawę prawną (np. wymóg prawa pracy, orzeczenie lekarskie).
  • Niedostateczne informowanie pracowników – pracownik musi wiedzieć, kto i w jakim celu przetwarza jego dane zdrowotne.

Odpowiedzialność za naruszenie danych – wysokość odszkodowania i winy administratora

Warto zwrócić uwagę, że samo naruszenie przepisów RODO nie wystarcza, aby automatycznie przyznać odszkodowanie pracownikowi. Konieczne jest wykazanie rzeczywistej szkody – zarówno majątkowej, jak i niemajątkowej (np. naruszenie dobrego imienia, stres, pogorszenie relacji w pracy). Odszkodowanie powinno być pełne i skuteczne, ale nie musi mieć charakteru represyjnego – nie ma obowiązku „karania” pracodawcy ponad wartość rzeczywistej szkody.

Zgodnie z art. 82 RODO, odpowiedzialność administratora (pracodawcy) ma charakter domniemany – to on musi udowodnić, że nie ponosi winy za naruszenie, jeśli chce uwolnić się od wypłaty odszkodowania. Wysokość odszkodowania powinna być uzależniona od rzeczywistego rozmiaru szkody, nie zaś od stopnia winy pracodawcy (chyba że pracownik sam przyczynił się do naruszenia).

Podsumowanie – najważniejsze wnioski i praktyczne wskazówki

Pamiętaj, że:

  • Przetwarzanie danych zdrowotnych pracowników musi być ograniczone do minimum, zarówno pod względem zakresu, jak i liczby osób mających dostęp do danych.
  • Każdy pracownik ma prawo wiedzieć, jakie dane są przetwarzane, przez kogo i w jakim celu.
  • Pracodawca odpowiada za szkody powstałe w wyniku niezgodnego z prawem przetwarzania danych – zarówno majątkowe, jak i niemajątkowe.
  • Kluczowe znaczenie mają techniczne i organizacyjne środki bezpieczeństwa: pseudonimizacja, szyfrowanie, indywidualne uprawnienia, regularne audyty dostępów.
  • Pracodawca może uwolnić się od odpowiedzialności, jeśli wykaże, że dołożył wszelkiej staranności i nie ponosi winy za naruszenie.

Podstawa prawna

  • art. 5 ust. 1, art. 6 ust. 1, art. 9 ust. 1-2, art. 24, art. 32, art. 82, art. 83, art. 84 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)
  • Wyrok TSUE z 21.12.2023 r., C-667/21, ZQ przeciwko Medizinischer Dienst der Krankenversicherung Nordrhein
  • Wyrok TSUE z 4.05.2023 r., Österreichische Post, C-300/21

Tematy porad zawartych w poradniku

  • przetwarzanie danych zdrowotnych pracowników
  • odpowiedzialność pracodawcy za naruszenie RODO 2025
  • dostęp do danych medycznych w firmie
  • odszkodowanie za naruszenie danych osobowych pracownika
  • zabezpieczenie danych osobowych w firmie

Adresy URL do stron urzędowych związanych z tematyką poradnika

Ostatnia aktualizacja: 20.07.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: