Dane osobowe a dodatkowe benefity pracownicze

Pracodawcy chcą zapewnić pracownikom dobre warunki pracy i coraz częściej decydują się na nabywanie różnych usług dla osób zatrudnionych. Obok powszechnie stosowanych ubezpieczeń grupowych dla pracowników, pojawiają się także abonamenty medyczne, karty sportowe, różne systemy punktowe itp. Dodatkowe benefity pracownicze wiążą się zazwyczaj z przemieszczeniem danych osobowych pracowników pomiędzy pracodawcą i usługodawcą. Dane osobowe w dodatkowych benefitach pracowniczych są zagadnieniem złożonym, któremu warto poświęcić trochę uwagi.

Ubezpieczenia grupowe

Zazwyczaj ubezpieczenie grupowe pracowników polega na tym, że pracodawca negocjuje składkę, zawiera umowę na rzecz pracowników, którzy mogą dobrowolnie przystąpić do programu. Pracodawca zbiera od pracowników deklaracje uczestnictwa w ubezpieczeniu grupowym, przekazuje listy ubezpieczonych do zakładu ubezpieczeń, a następnie prowadzi obsługę tego ubezpieczenia, tj. pobiera składki z wynagrodzenia, opłaca składki w imieniu pracowników, zgłasza fakt zakończenia umowy o pracę itp. Niewątpliwie zakład ubezpieczeń, jako podmiot działający na podstawie ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej, jest zobowiązany do zachowania w tajemnicy wszystkich danych (tajemnica zawodowa z art. 35 ust. 1). Zakład ubezpieczeń w ramach swojej działalności statutowej samodzielnie określa cele i sposoby przetwarzania danych osobowych, które są mu niezbędne do świadczenia usług ubezpieczenia. W rezultacie zakład ubezpieczeń jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO[1], odrębnym od pracodawcy.

Zakład ubezpieczeń świadczy usługi ubezpieczenia grupowego w imieniu własnym, ale na rzecz pracowników. Pracodawca i zakład ubezpieczeń pozostają odrębnymi administratorami danych osobowych. Z powyższego wynika, że pracodawca i zakład ubezpieczeń ponoszą samodzielną odpowiedzialność za przetwarzanie danych osobowych. Żadna ze stron umowy ubezpieczenia grupowego nie może narzucić drugiej stronie celu ani sposobu przetwarzania danych osobowych, bo każda z nich działa we własnym obszarze. Umowa ubezpieczenia grupowego wyraźnie rozróżnia bowiem obowiązki pracodawcy i obowiązki zakładu ubezpieczeń.

Abonamenty medyczne

W większości przypadków pracodawca zgłasza pracowników jako osoby uprawnione do świadczeń z prywatnej opieki zdrowotnej, uiszcza składki w zryczałtowanej wysokości i otrzymuje zanonimizowane, zbiorcze informacje o poziomie wykorzystania pakietów lub limitów. Podmiot medyczny nie przekazuje pracodawcy żadnych informacji o świadczeniach medycznych udzielonych poszczególnym pracownikom ani ich stanie zdrowia. Sposoby zakładania i prowadzenia dokumentacji medycznej są szczegółowo określone przepisami prawa, a dostęp do tych danych jest bardzo ograniczony. Niezależnie od powyższego istnieją tajemnice ustawowe, np. lekarska czy pielęgniarska. Wszystkie powyższe okoliczności powodują, że podmiot leczniczy, podobnie jak wspomniany wcześniej zakład ubezpieczeń, samodzielnie określa cele i sposoby przetwarzania danych osobowych, które są mu niezbędne do świadczenia usług medycznych. Podmiot leczniczy jest więc administratorem danych osobowych, które zbiera i posiada w procesie udzielania świadczeń medycznych oraz obsługi umowy z pracodawcą.

W celu należytego wykonania umowy abonamentu medycznego pomiędzy pracodawcą i podmiotem leczniczym przekazywane są listy uprawnionych pracowników (potencjalnych pacjentów) zawierające dane osobowe, takie jak imię, nazwisko czy data urodzenia. Skoro pracodawca i podmiot leczniczy są osobnymi administratorami i każdy z nich realizuje własne zadania, przekazywanie danych osobowych zawartyc...

Dalsza część jest dostępna dla użytkowników z wykupionym planem