Komplikacji jest mniej, jeśli chorych sprawdza pracownik firmy. Jeśli jednak będzie to podmiot zewnętrzny, to niezbędna jest umowa o powierzeniu przetwarzania danych osobowych – o czym nie wszyscy pamiętają. Autorami tekstu są Paweł Sych radca prawny, partner w kancelarii PCS Paruch Chruściel Schiffter Stępień Kanclerz | Littler oraz Patryk Kozieł aplikant radcowski, prawnik w kancelarii PCS Paruch Chruściel Schiffter Stępień Kanclerz | Littler

Obecnie, gdy ZUS poluzował zasady dotyczące przebywania na zwolnieniach lekarskich (uznał, że nieobecność osoby chorej w miejscu zamieszkania nie oznacza, iż wykorzystuje zwolnienie niezgodnie z prawem), pracodawcom trudniej może być udowodnić, że ktoś naprawdę choruje. Nie zawsze bowiem wystarczy zapukać do drzwi takiej osoby, by to stwierdzić. Krótko mówiąc, kontrole zwolnień lekarskich mogą pracodawców absorbować bardziej niż dotychczas, co w praktyce może oznaczać, że odpowiednią usługę będą zlecać na zewnątrz. I tu kłania się RODO. Zacznijmy jednak od początku.

Nie zawsze zapuka ZUS

Kontrolowanie osób korzystających ze zwolnień lekarskich kojarzy się przede wszystkim z uprawnieniami i działalnością Zakładu Ubezpieczeń Społecznych. Działania te nierzadko są podejmowane w wyniku zgłaszanych przez pracodawców podejrzeń o możliwym nadużywaniu zwolnienia lekarskiego. Jeżeli w wyniku kontroli okaże się, że pracownik rzeczywiście korzystał ze zwolnienia od pracy w sposób sprzeczny z jego celem czy też wykonywał w okresie zwolnienia pracę zarobkową, to pracownik ten utraci prawo do zasiłku chorobowego za cały okres tego zwolnienia. Dodatkowo może się to wiązać ze skutkami w sferze zatrudnienia, w tym z utratą pracy. ZUS może natomiast wydać decyzję o utracie prawa do zasiłku i zobowiązać osobę nadużywającą zwolnienia do zwrotu już wypłaconych świadczeń. Prawo przeprowadzania kontroli prawidłowości wykorzystywania zwolnień od pracy zgodnie z ich celem oraz do formalnej kontroli zaświadczeń lekarskich przysługuje również pracodawcom, którzy zgłaszają do ubezpieczenia chorobowego powyżej 20 ubezpieczonych. Należy jednak pamiętać o przepisach szczególnych, które regulują zasady i tryb przeprowadzania takich kontroli. Chodzi o rozporządzenie ministra pracy i polityki socjalnej z 27 lipca 1999 r. w sprawie szczegółowych zasad i trybu kontroli prawidłowości wykorzystywania zwolnień lekarskich od pracy oraz formalnej kontroli zaświadczeń lekarskich (Dz.U. nr 65, poz. 743; dalej: rozporządzenie). Odnosi się ono do takich kwestii jak zakres kontroli, zasady jej przeprowadzania oraz określa kwestie formalne, w tym m.in. sposób dokumentowania kontroli, jak również zasady postępowania w przypadku ustalenia, że ubezpieczony nieprawidłowo wykorzystywał zwolnienie.
Pracodawcy, którzy zgłaszają do ubezpieczenia chorobowego powyżej 20 ubezpieczonych, mogą przeprowadzać tego rodzaju kontrole również profilaktycznie, w celu weryfikacji uczciwości swoich pracowników. Przeprowadzenie kontroli jest uzasadnione w szczególności względem pracowników, którzy przebywają na zwolnieniu lekarskim od dłuższego czasu lub korzystają ze zwolnień częściej niż inni pracownicy. Nierzadko sama świadomość możliwej kontroli będzie zapobiegać nadużyciom w obawie przed konsekwencjami, w tym również ze strony ZUS. Kontrole prawidłowości wykorzystywania zwolnień lekarskich mogą zatem stanowić skuteczne narzędzie w walce z nieuzasadnionymi absencjami, które mają istotny wpływ na funkcjonowanie zakładu pracy.

Jaka procedura

Przepisy nie regulują zbyt szczegółowo sposobu przeprowadzania kontroli, należy jednak pamiętać o wynikających z nich obowiązkach. Bez względu na to, komu zlecana jest kontrola, pracodawca musi udzielić osobie przeprowadzającej kontrolę imienne upoważnienie. Choć nie wynika to wprost z przepisów, upoważnienie powinno być udzielone na piśmie. Konieczność ta wynika pośrednio z tego, że ustawodawca przygotował wzór takiego upoważnienia, który dołączył do rozporządzenia regulującego kwestie kontroli. Upoważnienie uprawnia do wykonywania kontroli w miejscu zamieszkania, miejscu czasowego pobytu lub miejscu zatrudnienia osoby kontrolowanej. Najczęściej kontrola ta polega właśnie na weryfikacji, czy pracownik korzystający ze zwolnienia przebywa w miejscu swojego zamieszkania. Kilkukrotna nieobecność będzie wystarczającym powodem do przyjęcia, że pracownik nadużywał zwolnienia lekarskiego. Najistotniejsze w tym zakresie będą jednak powody takiej nieobecności.
Zgodnie z obowiązującymi przepisami kontrole powinny być przeprowadzane w miarę potrzeby, bez ustalania z góry stałych terminów bądź planowania ich nasilania w okresach, w których występują zwiększone absencje spowodowane chorobą lub sprawowaniem opieki. Pracodawcy nie powinni tworzyć jakichkolwiek harmonogramów kontroli, w tym w szczególności nasilać ich w okresach, gdy wzmożona nieobecność jest uzasadniona, np. w okresie jesienno-zimowym. Zasada ta nie wyklucza jednak wyrywkowych kontroli, które mają przeciwdziałać nadużywaniu zwolnień. Ustawodawca wskazuje, że kontrole mają być narzędziem w walce z nadużyciami, a nie obowiązkiem, który pracodawca ma bezrefleksyjnie realizować.
Kolejnym obowiązkiem, o którym pracodawcy muszą pamiętać, jest sporządzenie protokołu z kontroli. Obowiązek ten powstaje jednak w przypadku stwierdzenia nieprawidłowości. Jeżeli w wyniku kontroli okaże się, że pracownik nie nadużywa zwolnienia lekarskiego, to protokół nie musi być sporządzany. Za sporządzenie protokołu odpowiedzialna jest osoba przeprowadzająca kontrolę. Elementem protokołu, który ma kluczowe znaczenie, jest opis wykrytych nieprawidłowości, czyli wskazanie, na czym polegało nieprawidłowe wykorzystywanie zwolnienia lekarskiego od pracy. Wymóg ten wynika bezpośrednio z przepisu. Dodatkowo w rozporządzeniu znajdziemy również wzór protokołu z kontroli. Protokół ten następnie należy przedłożyć ubezpieczonemu, aby umożliwić mu wniesienie uwag. Nie oznacza to jednak, że protokół musi być sporządzony na miejscu kontroli. Mimo że kwestia ta nie została uregulowana w przepisach, stawianie takiego wymogu wydaje się nieracjonalne, ponieważ potęguje to ryzyko związane z nieuwzględnieniem okoliczności mogących mieć znaczenie dla całej sprawy. Na tym jednak nie kończy się przewidziana prawem procedura.

Gdy wkracza detektyw

Pierwszym wyborem pracodawców jest najczęściej zlecenie kontroli zwolnień lekarskich własnemu pracownikowi. Jest to najprostsze i nie wiąże się w istocie z dodatkowymi obowiązkami na gruncie przepisów o ochronie danych. Pracownik działa w imieniu pracodawcy, który jest administratorem danych osobowych, w związku z czym nie mamy do czynienia z sytuacją zaangażowania podmiotu trzeciego i przekazania mu danych osobowych. Dodatkowo pracownik, z uwagi na powyżej opisane obowiązki, musi mieć pisemne upoważnienie, więc nawet w przypadku udzielenia mu dostępu do danych dotyczących zdrowia kontrolowanego pracownika będzie spełniony wymóg przewidziany w kodeksie pracy. Przepisy kodeksu pracy przewidują w tym zakresie konieczność udzielenia pisemnego upoważnienia do przetwarzania danych szczególnych kategorii, czyli m.in. danych dotyczących zdrowia. Należy jednak pamiętać, że pracownik ma obowiązek zachowania w tajemnicy takich danych, w związku z czym nie powinien udzielać innym nieupoważnionym pracownikom informacji, które pozyskał w związku z kontrolą.
Sytuacja będzie kształtować się inaczej w przypadku zlecenia takiej kontroli innej osobie niż pracownikowi, szczególnie osobie lub podmiotowi zewnętrznemu. W takim przypadku pracodawca poza opisanymi powyżej obowiązkami powinien zawrzeć z tą osobą umowę o powierzeniu przetwarzania danych osobowych. Osoba ta będzie wówczas przetwarzać dane w imieniu pracodawcy, czyli administratora danych osobowych, a w rezultacie będzie traktowana na gruncie przepisów RODO jako podmiot przetwarzający. Pracodawca, wybierając taką osobę, musi pamiętać, że powinna ona zapewniać gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi wynikające z RODO i chroniło prawa osób, których dane dotyczą. Przepisy szczegółowo regulują treść takiej umowy. Niewątpliwym atutem zaangażowania podmiotu zewnętrznego jest jego bezstronność i obiektywność, w związku z czym w przypadku późniejszego sporu sądowego jego zeznania mogą okazać się jednym z najważniejszych dowodów.
Pracodawcy, którym zależy na dokładnej i kompleksowej weryfikacji, mogą skorzystać z usług detektywów. Kontrola przez nich przeprowadzona dostarczy wiarygodnych wyników, a w związku z posiadanymi przez detektywów uprawnieniami nie będzie ona ograniczać się jedynie do zapukania do drzwi osoby przebywającej na zwolnieniu lekarskim. Mimo że przepisy przewidują wiele szczególnych obowiązków związanych ze świadczeniem usług detektywistycznych, w dalszym ciągu będzie konieczne wydanie detektywowi upoważnienia do przeprowadzenia kontroli. Sporządzenie protokołu z kontroli wydaje się jednak w tym przypadku zbędne, ponieważ wszelkie niezbędne informacje będzie zawierało sprawozdanie sporządzane przez detektywa. Przepisy ustawy regulującej działalność detektywistyczną nakładają bowiem wymóg sporządzenia takiego protokołu z wykonanej usługi. Pracodawca może jednak sporządzić protokół z kontroli na wzorze z rozporządzenia, do którego załączy sprawozdanie z raportu detektywistycznego. W przypadku zlecenia kontroli detektywowi, jeżeli będzie ona przeprowadzana w ramach usług detektywistycznych, nie będzie jednak zachodziła konieczność zawierania umowy o powierzeniu przetwarzania danych osobowych. Detektyw w takiej sytuacji jest samodzielnym administratorem danych osobowych, ponieważ przetwarza dane osobowe na własne cele, czyli świadczenie usług detektywistycznych. Będzie on zatem samodzielnie odpowiedzialny za realizację obowiązków wynikających z przepisów o ochronie danych osobowych. Jeżeli jednak detektyw będzie przeprowadzał kontrolę nie w ramach świadczenia usług detektywistycznych, wówczas zawarcie umowy powierzenia danych również będzie konieczne.

Nie warto ryzykować

Naruszenie przepisów o ochronie danych osobowych może wiązać się zarówno z sankcjami administracyjnymi, jak i odpowiedzialnością odszkodowawczą. Przepisy przewidują możliwość udzielenia upomnienia, ale także nałożenia kary w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Osoba, której dane dotyczą, może również dochodzić odszkodowania, jeżeli w wyniku naruszenia poniosła szkodę majątkową lub niemajątkową. Naruszenia te nie będą miały jednak wpływu na wyniki kontroli oraz ewentualne konsekwencje dla pracownika.