Charakter prawny kontroli niezdolności do pracy przez pracodawcę – część I

Wypowiedzi Urzędu Ochrony Danych Osobowych oraz informacje zmieszczone na stronach internetowych organów rentowych dotyczących wątku ochrony danych osobowych w kontekście procedury kontroli przez pracodawców sposobu wykorzystywania zwolnienia z powodu niezdolności do pracy budzą pewne wątpliwości. Można bowiem odnieść wrażenie, że przyjęty model nie uwzględnia kluczowych kwestii, tj. tego: jaki jest charakter prawny przedmiotowej kontroli, w jakim celu jest ona przeprowadzana i jaki może być jej skutek dla osoby kontrolowanej, i wreszcie w jakiej roli występuje w tym procesie pracodawca.

A to właśnie te kwestie w mojej ocenie determinują to,  jak proces ten powinien zostać rozpoznany pod kątem RODO.

Podstawy do przeprowadzenia kontroli

Umocowanie do przeprowadzenia kontroli w miejscu zamieszkania, czy też w miejscu czasowego pobytu ubezpieczonego wynika z ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa, a dokładnie z art. 68 ustawy, zgodnie z którego treścią:

Zakład Ubezpieczeń Społecznych oraz płatnicy składek, o których mowa w art. 61 ust. 1 pkt. 1 ustawy – tj. płatnicy składek, którzy zgłaszają do ubezpieczenia chorobowego powyżej 20 ubezpieczonych, są uprawnieni do kontrolowania ubezpieczonych co do prawidłowości wykorzystywania zwolnień od pracy oraz formalnej kontroli zaświadczeń lekarskich.

Szczegółowe zasady i tryb przeprowadzania kontroli zostały doregulowane w Rozporządzeniu Ministra Pracy i Polityki Socjalnej z dnia 27 lipca 1999 r.

Z powyższego wynika zatem jednoznaczna kompetencja zarówno dla organów rentowych, jak i dla płatników składek, czy też upraszczając dla pracodawców zatrudniających więcej niż 20 pracowników do przeprowadzenia kontroli,której celem da facto jest zweryfikowanie ewentualnych nieprawidłowości w zakresie wykorzystywania zwolnień od pracy. Finalnie jej konsekwencją może być zanegowanie prawa ubezpieczonego do pobierania zasiłku w konkretnych okolicznościach.

Nie wdając się w tym miejscu w szczegóły zaznaczę jedynie, że omawiana kontrola obejmuje: kontrolę formalną zaświadczeń lekarskich oraz weryfikację prawidłowości wykorzystywania zwolnień lekarskich od pracypolegającej na ustaleniu, czy ubezpieczony w okresie orzeczonej niezdolności do pracy:

  1. nie wykonuje pracy zarobkowej,
  2. nie wykorzystuje zwolnienia lekarskiego od pracy w sposób niezgodny z jego celem.
  3. a w przypadku kontroli prawidłowości wykorzystywania zwolnień w celu sprawowania osobistej opieki nad dzieckiem lub innym chorym członkiem rodziny dodatkowo czy poza ubezpieczonym nie ma innych członków rodziny pozostających we wspólnym gospodarstwie domowym, mogących zapewnić opiekę; nie dotyczy to sprawowania opieki nad chorym dzieckiem w wieku do 2 lat.

W razie stwierdzenia w trakcie kontroli nieprawidłowości osoba kontrolująca sporządza protokół, w którym wskazuje na czym polegało nieprawidłowe wykorzystywanie zwolnienia lekarskiego od pracy przez ubezpieczonego, a  wzór takiego protokołu określa rozporządzenie. Natomiast wątpliwości, czy zwolnienie lekarskie od pracy wykorzystywane było niezgodnie z jego celem, rozstrzyga właściwa jednostka organizacyjna Zakładu Ubezpieczeń Społecznychwydając w razie sporu decyzję, od której przysługują środki odwoławcze określone w odrębnych przepisach.

Model dominujący

Mając na uwadze powyższe powszechnie przyjmuje się, że Pracodawca  (a właściwie płatnik) jest administratorem danych osobowych poddawanego kontroli pracownika w kontekście swojego uprawnienia do przeprowadzania kontroli, o której mowa w art. 68 ustawy zasiłkowej. Co więcej podnosi się, że w tym procesie przetwarzanie danych odbywa się na podstawie art. 6 ust. 1 lit. b (czyli z uwagi na niezbędność dla wykonania zawartej umowy z ubezpieczonym) oraz art. 6 ust. 1 lit. c RODO (tj. z uwagi na niezbędność dla realizacji obowiązku płatnika składek), a w kontekście danych wrażliwych art. 9 ust. 2 lit. b RODO.

Na w/w podstawy przetwarzania powołał się Urząd Ochrony Danych Osobowych w uzasadnienia decyzji (ZSZZS.440.727.2018) wydanej na skutek skargi dot. nieprawidłowości w procesie przetwarzania danych osobowych ubezpieczonej właśnie w kontekście omawianej procedury kontrolnej.

Odrębny pogląd

Stanowisko to jednak w mojej ocenie budzi wątpliwości. Zakładając, że model jest prawidłowy i pracodawca jest administratorem danych osobowych ubezpieczonych w związku z przeprowadzaną kontrolą (co w moim przekonaniu nie jest przesądzone – wątek ten jest poruszony w kolejnym wpisie na blogu) przywołana podstawa prawna przetwarzania danych osobowych nie wydaje się być prawidłowa.

Artykuł 68 ustawy zasiłkowej nie mówi o obowiązku płatnika składek, a o uprawnieniu, które należy rozumieć jako kompetencja do działania – i to działania w związku z realizacją zadania publicznego. Kontrola ta bowiem poprzez ustalenie sposobu wykorzystywania zwolnienia od pracy de facto zmierza do zweryfikowania prawa ubezpieczonego do pobierania zasiłku,  a tym samym do zweryfikowania prawidłowości wykorzystania środków publicznych.  Skutkiem tej kontroli może być pozbawienie ubezpieczonego prawa do zasiłku, co więcej z datą wsteczną. Co oznacza w praktyce konieczność zwrotu pobranego nienależnie zasiłku.

Podsumowanie

W tym kontekście za bezsporne należy uznać, że kontrola przeprowadzana przez płatnika składek nie ma charakteru prywatnego, a jest kontrolą o charakterze publicznym w związku z realizacją zadania publicznego nałożonego na płatników składek w ustawie zasiłkowej. Stąd w moim przekonaniu istnieją zasadne argumenty za przyjęciem, że w tej sytuacji ewentualne przetwarzanie danych osobowych przez płatnika powinno odbywać się na podstawie art. 6 ust. 1 lit. e  a nie lit. c RODO.

Dalsze rozważanie dot. charakteru prawnego  kontroli niezdolności do pracy przez pracodawcę zostaną podniesione w kolejnym wpisie na blogu (część II dostępna jest tutaj)..

[Stan prawny na: 24.01.2020 r. ]

Joanna Jarguz