Tymczasem na rynku funkcjonują już firmy, które oferują pracodawcom swoje usługi przy kontroli zwolnień lekarskich. Ponieważ nie ma zakazu, praktykę tę należy uznać za dopuszczalną. Nie ulega wątpliwości, że kontrola dokonywana przez podmioty trzecie może być bardziej efektywna. Pracodawca ma prawo bowiem zobowiązać podmiot trzeci, aby skontrolował wszystkie zaświadczenia przedkładane przez etatowców.
Podstawą powierzenia przez pracodawcę obowiązków w zakresie kontroli zaświadczeń lekarskich powinna być umowa zawarta między nim a firmą świadczącą usługi przy kontroli zwolnień lekarskich. Na jej podstawie pracodawca może powierzyć firmie zewnętrznej dokumenty i informacje niezbędne do należytego wykonania umowy. Przede wszystkim przekazuje pracownikom tej firmy upoważnienia do wykonywania kontroli w miejscu zamieszkania, miejscu czasowego pobytu lub miejscu zatrudnienia osoby kontrolowanej. Zgodnie bowiem z rozporządzeniem osoba kontrolująca musi dysponować imiennym upoważnieniem do przeprowadzenia kontroli wystawionym przez płatnika składek. Jeżeli je posiada, nie ma znaczenia, czy jest pracownikiem pracodawcy, czy pracownikiem firmy zewnętrznej.
Doniosłość przedmiotu umowy i dostęp do danych pracodawcy i pracowników powodują, że warto też w niej zamieścić postanowienia dotyczące zachowania poufności, aby firma zewnętrzna wykorzystywała uzyskane informacje tylko w celu wykonywania obowiązków umownych. Umowa powinna też określać, jak długo będzie obowiązywać, a także zasady wypowiedzenia jej przez każdą ze stron.
Dane osobowe
Istotnym elementem umowy z firmą zewnętrzną jest ochrona danych osobowych. Firma kontrolująca zaświadczenia lekarskie uzyskuje dostęp do wielu danych osobowych pracowników, w tym wrażliwych, takich jak informacje o stanie zdrowia. Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2016 r., poz. 922) zezwala na przetwarzanie danych wrażliwych m.in. wtedy, gdy przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony. Przyjmuje się, że umowa powierzenia przetwarzania danych może być postrzegana jako podstawa dostępu do danych osobowych dla wykonania uprawnień określonych w art. 68 ust. 1 ustawy z 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (tekst jedn. DzU z 2016 r., poz. 372 ze zm.) oraz rozporządzenia o kontroli zwolnień lekarskich.
Należy jednak pamiętać, że przetwarzanie takich danych musi spełniać wymagania określone w art. 31 ustawy o ochronie danych osobowych. Dlatego w umowie z firmą zewnętrzną należy zastrzec, że przed rozpoczęciem świadczenia usług musi ona zastosować środki zabezpieczające przewidziane w ustawie o ochronie danych osobowych, w tym przede wszystkim chronić dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Powierzenie kontroli zwolnień lekarskich firmie zewnętrznej nie może natomiast naruszać tajemnicy lekarskiej czy zawodowej. Dlatego będzie miała ona ograniczone możliwości, aby uzyskać informacje o stanie zdrowia bezpośrednio od lekarza wydającego zaświadczenie lekarskie.
