Art. 2b.

1. Pracodawca przetwarza dane osobowe, w tym dane o stanie zdrowia osób:
1) pozostających z nim w stosunku pracy oraz niepracujących byłych pracowników,
2) niepełnosprawnych wykonujących pracę nakładczą,
3) uczestniczących w procesie rekrutacji, odbywających szkolenie, staż, przygotowanie zawodowe albo praktyki zawodowe lub absolwenckie,
4) należących do grup wymienionych w art. 5 załącznika nr 1 do rozporządzenia Komisji (WE) nr 800/2008 z dnia 6 sierpnia 2008 r. uznającego niektóre rodzaje pomocy za zgodne ze wspólnym rynkiem w zastosowaniu art. 87 i 88 Traktatu (ogólne rozporządzenie w sprawie wyłączeń blokowych) (Dz. Urz. WE L 214 z 09.08.2008, str. 3, z późn. zm.) oraz do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Dz. Urz. UE L 187 z 26.06.2014, str. 1, z późn. zm.),
5) będących członkami rodzin pracowników i niepracujących byłych pracowników,
6) o których mowa w art. 21 ust. 2c, i osób korzystających z usług jednostek organizacyjnych, o których mowa w art. 21 ust. 2e pkt 3
– dla celów określonych w ustawie.

2. Przedstawienie pracodawcy dokumentów potwierdzających dane osobowe o stanie zdrowia jest dobrowolne.

3. W celu realizacji zadań, o których mowa w art. 25a, art. 25c, art. 25d i art. 26a–26c, działania mogą być podejmowane w oparciu o zautomatyzowane przetwarzanie danych.

4. Przetwarzanie, o którym mowa w ust. 3, może obejmować dane osobowe o stanie zdrowia.

5. W przypadku, o którym mowa w ust. 3 i 4, administrator danych zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, w tym w szczególności zapewnia tej osobie prawo do uzyskania interwencji ludzkiej, prawo do wyrażenia własnego stanowiska oraz zakwestionowania decyzji podjętej w sposób zautomatyzowany.

6. Zabezpieczenia przetwarzania danych osobowych przez podmioty i osoby realizujące zadania wynikające z ustawy polegają co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

7. Pracodawcy, o których mowa w ust. 1, podmioty i osoby realizujące zadania wynikające z ustawy przechowują dane osobowe wyłącznie przez okres nie dłuższy niż jest to niezbędne i w zakresie koniecznym do realizacji celów przetwarzania danych osobowych oraz dokonują przeglądu przydatności przetwarzania danych osobowych nie rzadziej niż co 5 lat.

8. Okres przechowywania danych przetwarzanych przez podmioty, o których mowa w art. 6 ust. 1, wynosi 50 lat.