Analiza treści art. 9 ust. 2 lit h) RODO, wymaga ustalenia, czy kodeks pracy zawiera normę o treści „każdy, kto ma dostęp do przetworzonych danych osobowych pracownika dotyczących zdrowia, jest związany obowiązkiem zachowania tajemnicy, pod rygorem odpowiedzialności karnej na podstawie art. 266 k.k.”.
Wykazanie poprawności tego zdania wbrew pozorom nie jest łatwe. Czytelnik zapewne wskaże w tym miejscu na treść art. 221b § 3 k.p. zdanie drugie, zgodnie z którym: „Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy”. Jednak przepis ten nie rozwiewa wszystkich wątpliwości.
Pierwszą ważną uwagę jaką należy poczynić, jest ta, że przepis dotyczy danych dotyczących zdrowia, a nie tylko danych dotyczących zdrowia pozyskanych za zgodą pracownika. To bardzo ważne, albowiem takie dane mogą być pozyskiwane także bez zgody.
Druga uwaga jest taka, że z przepisu wynika jedynie, że „obowiązek zachowania w tajemnicy” dotyczy osób upoważnionych. Przepis nie dotyczy więc, a przynajmniej takie można odnieść wrażenie, osób, które wydały upoważnienie. Z tego powodu należy przeprowadzić nieoczywistą analizę prawną.
Zacznę od stwierdzenia, że obowiązek zachowania tajemnicy przez administratora, a raczej przez osoby działające w jego imieniu, które udzielają upoważnienia, nie wynika z RODO. Rozporządzenie posługuje się bowiem dwoma pojęciami, a mianowicie „poufność” i „tajemnica”. Widać to wyraźnie w art. 38 ust 5, zgodnie z którym:
Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.
Powyższe oznacza, że RODO odróżnia te pojęcia. Co więcej, są to pojęcia rozłączne. Muszą mieć więc inne znacznie, nawet jeśli w jakimś zakresie się pokrywają. Analiza komentarzy do powyższego przepisu jest dość rozczarowująca i nie dostarcza odpowiedzi na pytanie, jak odróżnić te terminy. Być może znajdują się one w innych fragmentach niż komentarz do art. 38 RODO. Byłoby to jednak dziwne, albowiem połączenie pojęć „poufność” i „tajemnica” występuje jedynie w tym miejscu.
Szersza analiza RODO także nie dostarcza odpowiedzi, a polska wersja wprowadza wręcz zamieszanie. Mam tu na myśli błąd w tłumaczeniu motywu 28 ust. 3 lit b), gdzie przedmiotem umowy powierzenia przetwarzania danych powinna być kwestia „poufności” (confidentiality), a nie „tajemnicy” (secrecy). Polski tłumacz najwyraźniej się pomylił. W każdym razie analiza art. 5 RODO dowodzi, że na administratorze ciąży obowiązek zachowania „poufności” a nie „tajemnicy”. Tymczasem wykładnia na tle art. 266 k.k. prowadzi do wniosku, że czynem zabronionym jest naruszenie tajemnicy, a nie poufności. Pomijam to, czy jest to wykładnia poprawna.
W każdym razie musimy podjąć co najmniej próbę zdefiniowania różnic między tajemnicą a poufnością. Można tego dokonać przez ustalenie sankcji za naruszenie zakazów wynikających z tych pojęć. Otóż naruszenie tajemnicy może skutkować odpowiedzialnością karną i/lub dyscyplinarną, podczas gdy naruszenie obowiązku poufności skutkuje odpowiedzialnością cywilną i/lub porządkową – zapewne definicje te można rozwijać, ale na nasze potrzeby to wystarczy. Powyższe oznacza jednak to, że aby uznać daną informację za objętą tajemnicą, to ustawa musi użyć słowa „tajemnica”.
Wrócę więc do pytania, czy osoby wystawiające pisemne upoważnienie, czyli mówiąc wprost „organy administratora” (muszą to być organy już z tego tylko powodu, że upoważnienie zawsze wydaje organ), są także objęte obowiązkiem zachowania tajemnicy. Odpowiedź musi być pozytywna, choć wywiedziona – a szkoda – tylko z rozumowania prawniczego. Upoważnienie to nic innego jak przeniesienie uprawnień. Osoba upoważniona działa w imieniu organu, który ją upoważnił i podlega jego poleceniom. A skoro tak, to ochrona praw jednostki (podmiotu danych) musi mieć taki sam poziom, niezależnie od tego, czy czynności przetwarzania dokonuje organ administratora, czy osoba przez niego upoważniona. Powyższe oznacza, że zdanie o treści: „Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy” potwierdza zasadę, że: „każdy tj., zarówno upoważniający jak i upoważniony, mający legalny dostęp do danych wrażliwych ma obowiązek zachować tajemnicę”.
Dodam od razu, że odmienna wykładnia byłaby niezgodna z treścią przepisu. Gdyby bowiem przyjąć, że osoba upoważniająca nie ma obowiązku zachowania tajemnicy, to należałoby uznać, że komentowany tu przepis nie dotyczy upoważnienia, ale powierzenia zadania. Innymi słowy, sens byłby taki, że np. tzw. pracodawca mógłby powierzyć przetwarzanie danych wrażliwych innej osobie, ale sam nie miałby do tego prawa. Tym samym pracownik stałby się organem niezależnym od pracodawcy. Tak jednak nie jest i przepis poprawnie używa „upoważnienia”.
Kończąc ten wątek, warto wspomnieć, że kodeks pracy w powyższym zakresie powinien być zmieniony na rzecz wyrażonego wprost nakazu zachowania tajemnicy. Już tylko na marginesie dodam, że powyższe rozumowanie jest aktualne także dla innych organów zakładowych. Z tego powodu, np. zespół powypadkowy czy inspektorzy służby BHP mają obowiązek zachować dane dotyczące zdrowia w tajemnicy, mimo że nie są osobami upoważnionymi do dostępu do danych dotyczących zdrowia. Ów dostęp przysługuje im bowiem z mocy ustawy z tego powodu, że są niezależnymi od pracodawcy organami zakładu. Nie tylko nie ma więc potrzeby, ale przede wszystkim nie ma prawnej możliwości, aby osoby wykonujące zadania tych służb upoważniać.
