C-667/21
Podsumowanie
Trybunał Sprawiedliwości UE orzekł, że służba medyczna kasy chorych może przetwarzać dane zdrowotne własnych pracowników w celu oceny ich zdolności do pracy, pod warunkiem przestrzegania określonych wymogów RODO, a prawo do odszkodowania za naruszenie RODO ma charakter wyłącznie kompensacyjny.
Sprawa dotyczyła możliwości przetwarzania danych zdrowotnych pracownika przez służbę medyczną jego pracodawcy w celu oceny zdolności do pracy oraz prawa do odszkodowania za naruszenie RODO. Bundesarbeitsgericht zadał pytania prejudycjalne dotyczące wykładni art. 9 RODO w kontekście przetwarzania danych zdrowotnych przez pracodawcę będącego jednocześnie służbą medyczną oraz wykładni art. 82 RODO w zakresie funkcji odszkodowania i odpowiedzialności administratora. Trybunał Sprawiedliwości UE wyjaśnił, że służba medyczna może przetwarzać dane zdrowotne własnych pracowników w celu oceny zdolności do pracy, pod warunkiem spełnienia wymogów RODO, a prawo do odszkodowania ma charakter wyłącznie kompensacyjny, a odpowiedzialność administratora opiera się na zasadzie winy.
Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Bundesarbeitsgericht (Niemcy) dotyczył wykładni przepisów RODO w sprawie przetwarzania danych dotyczących zdrowia przez służbę medyczną kasy ubezpieczenia zdrowotnego (MDK Nordrhein) w odniesieniu do jej własnych pracowników oraz kwestii prawa do odszkodowania za naruszenie RODO. Sąd odsyłający pytał, czy MDK Nordrhein może przetwarzać dane zdrowotne swojego pracownika w celu oceny jego zdolności do pracy, jakie dodatkowe wymogi ochrony danych należy spełnić, czy zgodność przetwarzania z prawem zależy od spełnienia warunków z art. 6 RODO, a także czy prawo do odszkodowania ma charakter kompensacyjny czy odstraszający oraz czy odpowiedzialność administratora zależy od winy. Trybunał Sprawiedliwości UE orzekł, że art. 9 ust. 2 lit. h) RODO zezwala służbie medycznej na przetwarzanie danych zdrowotnych własnych pracowników w celu oceny ich zdolności do pracy, pod warunkiem przestrzegania wymogów z art. 9 ust. 3 RODO oraz innych przepisów rozporządzenia, w tym art. 6 ust. 1. Trybunał podkreślił, że art. 9 ust. 3 RODO nie nakłada obowiązku zapewnienia, by żaden współpracownik nie miał dostępu do danych zdrowotnych, jednakże administrator musi wdrożyć odpowiednie środki bezpieczeństwa zgodnie z art. 32 RODO. Ponadto, Trybunał stwierdził, że prawo do odszkodowania na podstawie art. 82 ust. 1 RODO ma wyłącznie charakter kompensacyjny i nie pełni funkcji odstraszającej ani represyjnej. Odpowiedzialność administratora opiera się na zasadzie winy, przy czym istnienie winy jest domniemane, chyba że administrator udowodni brak swojej winy. Stopień winy nie wpływa na wysokość odszkodowania za szkodę niemajątkową.
Asystent AI do analizy prawnej
Przeanalizuj tę sprawę w kontekście orzecznictwa, przepisów i doktryny. Uzyskaj pogłębioną analizę, projekt pisma lub odpowiedź na pytanie prawne.
Zagadnienia prawne (5)
Odpowiedź sądu
Tak, art. 9 ust. 2 lit. h) RODO należy interpretować w ten sposób, że wyjątek przewidziany w tym przepisie ma zastosowanie do sytuacji, w których organ kontroli medycznej przetwarza dane dotyczące zdrowia jednego ze swoich pracowników nie jako pracodawca, lecz jako służba medyczna, w celu oceny zdolności tego pracownika do pracy, pod warunkiem że odnośne przetwarzanie spełnia warunki i gwarancje wyraźnie określone w tym art. 9 ust. 2 lit. h) i w art. 9 ust. 3.
Uzasadnienie
Trybunał podkreślił, że art. 9 ust. 2 lit. h) RODO nie wyklucza przetwarzania danych zdrowotnych przez służbę medyczną pracodawcy, jeśli odbywa się ono w ramach funkcji służby medycznej, a nie pracodawcy. Kluczowe jest spełnienie warunków z art. 9 ust. 3 RODO oraz innych przepisów rozporządzenia.
Rozstrzygnięcie
Decyzja
odpowiedz_na_pytanie
Strona wygrywająca
udzielono odpowiedzi na pytanie
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| ZQ | osoba_fizyczna | skarżący |
| Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts | organ_krajowy | pozwany |
| Irlandia | panstwo_czlonkowskie | interwenient |
| rząd włoski | panstwo_czlonkowskie | interwenient |
| Komisja Europejska | instytucja_ue | interwenient |
Przepisy (12)
Główne
RODO art. 9 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Zabrania przetwarzania szczególnych kategorii danych osobowych, w tym danych dotyczących zdrowia.
RODO art. 9 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Określa wyjątki od zakazu przetwarzania szczególnych kategorii danych osobowych.
RODO art. 9 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
lit. h) - Przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego.
RODO art. 9 § 3
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Określa warunki przetwarzania szczególnych kategorii danych, w tym wymóg zachowania tajemnicy zawodowej przez przetwarzającego.
RODO art. 6 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Określa ogólne warunki zgodności przetwarzania danych osobowych z prawem.
RODO art. 82 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Prawo do odszkodowania za szkodę majątkową lub niemajątkową wynikającą z naruszenia RODO.
RODO art. 82 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Odpowiedzialność administratora za szkody spowodowane przetwarzaniem naruszającym RODO.
RODO art. 82 § 3
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Zwolnienie administratora z odpowiedzialności w przypadku braku winy.
Pomocnicze
RODO art. 9 § 4
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Umożliwia państwom członkowskim zachowanie lub wprowadzenie dalszych warunków, w tym ograniczeń, w odniesieniu do przetwarzania danych dotyczących zdrowia.
RODO art. 32 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania.
SGB V art. 275 § 1
Sozialgesetzbuch, Fünftes Buch
Obowiązek kas chorych zwracania się do służb medycznych o sporządzenie ekspertyzy dotyczącej niezdolności do pracy.
SGB V art. 278 § 1
Sozialgesetzbuch, Fünftes Buch
Ustanowienie służb medycznych jako organów podmiotu prawa publicznego.
Argumenty
Skuteczne argumenty
Przetwarzanie danych zdrowotnych przez służbę medyczną pracodawcy w celu oceny zdolności do pracy jest dopuszczalne na podstawie art. 9 ust. 2 lit. h) RODO, pod warunkiem spełnienia wymogów RODO. Prawo do odszkodowania za naruszenie RODO ma charakter wyłącznie kompensacyjny. Odpowiedzialność administratora za naruszenie RODO opiera się na zasadzie winy, z domniemaniem winy administratora.
Odrzucone argumenty
Przetwarzanie danych zdrowotnych przez służbę medyczną pracodawcy jest zawsze niedopuszczalne ze względu na konflikt interesów. Prawo do odszkodowania za naruszenie RODO ma charakter odstraszający/represyjny. Odpowiedzialność administratora za naruszenie RODO jest bezwzględna (niezależna od winy).
Godne uwagi sformułowania
prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości prawo do odszkodowania przewidziane w art. 82 ust. 1 RODO pełni funkcję kompensacyjną, ponieważ odszkodowanie pieniężne oparte na tym przepisie powinno umożliwić pełne naprawienie szkody poniesionej konkretnie w wyniku naruszenia tego rozporządzenia, a nie pełnić funkcji odstraszającej lub represyjnej powstanie odpowiedzialności administratora danych jest uzależnione od istnienia jego winy, której istnienie domniemywa się, chyba że wykaże on, iż w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody
Skład orzekający
K. Jürimäe
prezes izby
N. Piçarra
sędzia
M. Safjan
sędzia
N. Jääskinen
sprawozdawca
M. Gavalec
sędzia
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Wykładnia przepisów RODO dotyczących przetwarzania danych zdrowotnych przez pracodawców będących jednocześnie podmiotami leczniczymi, a także wykładnia zasad odpowiedzialności administratora i prawa do odszkodowania za naruszenie RODO."
Ograniczenia: Orzeczenie dotyczy specyficznej sytuacji przetwarzania danych zdrowotnych przez służbę medyczną pracodawcy. Wymogi dotyczące bezpieczeństwa przetwarzania (art. 32 RODO) wymagają oceny w każdym indywidualnym przypadku.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy powszechnego problemu przetwarzania danych zdrowotnych w miejscu pracy i prawa do odszkodowania za naruszenie RODO, co jest istotne dla wielu pracowników i pracodawców. Wyjaśnienie funkcji odszkodowania i zasady winy w RODO jest kluczowe dla praktyki.
“Czy Twój pracodawca może sprawdzać Twoje dane zdrowotne? TSUE wyjaśnia granice RODO.”
Twój asystent do analizy prawnej
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka ponad 1,4 mln orzeczeń i aktualne akty prawne.
Powiązane tematy
Potrzebujesz pomocy prawnej?
Asystent AI przeanalizuje Twoje pytanie w oparciu o orzecznictwo, przepisy i doktrynę — jak rozmowa z ekspertem.
Zadaj pytanie Asystentowi AI