Przetwarzanie danych osobowych pozyskanych z innego źródła na przykładzie zgłaszania członków rodziny do ubezpieczenia zdrowotnego.
Podsumowanie
- Czy pracodawca przetwarzający dane osobowe członków rodziny pracownika w związku ze zgłoszeniem ich do ubezpieczenia zdrowotnego ma obowiązek realizacji wobec nich tzw. klauzuli informacyjnej.
- Czy pracodawca ma obowiązek informacyjny wobec osób kontaktowych podawanych przez pracownika np. na okoliczność wypadku przy pracy.
- Jakie są dwa zasadnicze aspekty dotyczące przetwarzania danych osobowych.
- Jakie istnieją rodzaje klauzul informacyjnych, zależnie od tego kogo dotyczą pozyskiwane dane i w jaki sposób zostały pozyskane.
- Jakie są przypadki pozwalające na odstępstwa od realizacji obowiązku informacyjnego RODO.
Przetwarzanie danych osobowych podczas zatrudnienia oznacza przede wszystkim przetwarzanie danych osobowych pracownika. Pojawiają się jednak sytuacje, w których pracodawca przetwarza także dane członków rodziny pracownika. Dotyczy to np. przetwarzania danych osobowych członków rodziny w kontekście zakładowego funduszu świadczeń socjalnych, czy też ubezpieczenia zdrowotnego.
W powyższym kontekście należy zwrócić uwagę na dwie zasadnicze kwestie odnoszące się do przetwarzania danych osobowych, którymi są: podstawa prawna czynności przetwarzania oraz realizacja tzw. obowiązku informacyjnego (czyli przekazania informacji na temat przetwarzania danych osobowych). Obie zostaną omówione w dalszej części niniejszego artykułu, jednak na początek przyjrzyjmy się kontekstowi przytaczanego przykładu, związanego ze zgłoszeniem członków rodziny pracownika do ZUS.
Zgłoszenie członków rodziny pracownika do ubezpieczenia zdrowotnego
Zasady realizacji przetwarzania danych osobowych członków rodziny pracownika są sprecyzowane przede wszystkim w ustawie z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej. Jeżeli członkowie rodziny pracownika nie mają własnego tytułu do ubezpieczenia zdrowotnego, pracownik ma obowiązek zgłosić ich w ciągu 7 dni od zaistnienia okoliczności, które spowodowały konieczność takiego zgłoszenia. Nadto w ustawie wskazuje się, że ubezpieczony, który nie poinformuje podmiotu właściwego do dokonania zgłoszenia do ubezpieczenia zdrowotnego o okolicznościach powodujących konieczność zgłoszenia lub wyrejestrowania członka rodziny, podlega karze grzywny.
Sposób pozyskania danych osobowych przez pracodawcę, jak i katalog przekazywanych danych, został określony w Rozporządzeniu Ministra Rodziny, Pracy i Polityki Społecznej z dnia 20 grudnia 2018 r. w sprawie określenia wzorów zgłoszeń do ubezpieczeń społecznych i ubezpieczenia zdrowotnego, imiennych raportów miesięcznych i imiennych raportów miesięcznych korygujących, zgłoszeń płatnika składek, deklaracji rozliczeniowych i deklaracji rozliczeniowych korygujących, zgłoszeń danych o pracy w szczególnych warunkach lub o szczególnym charakterze, raportów informacyjnych, oświadczeń o zamiarze przekazania raportów informacyjnych oraz innych dokumentów.
Podstawa prawna przetwarzania danych osobowych członków rodziny zatrudnionego
Biorąc pod uwagę powyższe informacje oczywistym staje się, że pracodawca przetwarza dane osobowe członków rodzin własnych pracowników w wyżej opisanych celach, w celu realizacji ciążącego na nim obowiązku prawnego związanego z byciem płatnikiem składek. Pozyskanie przez pracodawcę danych osobowych w celu realizacji obowiązków z zakresu obsługi ubezpieczeń zdrowotnych jest ściśle uregulowane prawem państwa członkowskiego.
Ważny fragment
Dla przypomnienia – podstawy prawne czynności przetwarzania są wskazane w ramach art. 6 Ogólnego rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 r. (dalej: RODO). Najczęściej pojawiającą się podstawą prawną w ramach realizacji stosunku pracy jest właśnie przytoczone powyżej wypełnienie obowiązku prawnego ciążącego na administratorze z art. 6 ust. 1 lit. c RODO.
Obowiązek informacyjny
Najistotniejszym aspektem dotyczącym przetwarzania danych osobowych członków rodzin pracownika, realizowanym przez pracodawcę w ramach stosunku pracy, jest wywiązanie się z tzw. obowiązku informacyjnego. Warto rozróżnić, że istnieją niejako dwie formy informacji podawanej w przypadku przetwarzania danych, tj.:
- informacja, o której mowa w art. 13 RODO – zbieranie danych osobowych od osoby, której dane dotyczą,
- informacja, o której mowa w art. 14 RODO – pozyskanie danych osobowych w sposób inny niż od osoby, której dane dotyczą.
Zasadnicza różnica w budowie przytaczanych klauzul informacyjnych skupia się na tym, że klauzula zakładająca niebezpośrednie pozyskanie danych (wg art. 14) , wymaga od administratora podania źródła pochodzenia danych osobowych oraz zakresu kategorii przetwarzanych danych. Na pierwszy rzut oka mogłaby być odpowiednią klauzulą, jaką należałoby przekazać członkom rodziny pracownika, których dane przetwarza pracodawca w związku z realizacją zadań płatnika. Czy takie działanie jednak jest prawidłowe i niezbędne?
Termin realizacji klauzuli informacyjnej przy danych pozyskanych niebezpośrednio
W przypadku obowiązku informacyjnego, o którym mowa w art. 14 RODO (zgodnie z treścią ust. 3 przywołanego artykułu), obowiązek ten powinien być realizowany:
- w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca (biorąc pod uwagę konkretne okoliczności przetwarzania danych osobowych);
- jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Odstępstwa od konieczności realizacji obowiązku informacyjnego
Realizacja obowiązku informacyjnego wobec osób, których dane pozyskaliśmy niebezpośrednio (wg art. 14 RODO) rodzi określone trudności interpretacyjne, które dotyczą zwłaszcza: (1) zasadności stosowania obowiązku oraz (2) niejednokrotnie technicznych trudności przy realizacji obowiązku informacyjnego (tj. jak dostarczyć informację do podmiotu danych).
Unijny ustawodawca wskazał kilka odstępstw od konieczności realizowania klauzuli informacyjnej, które zostały zebrane w ramach ust. 5 omawianego art. 14 RODO. Mowa tu o następujących przypadkach:
- osoba, której dane dotyczą dysponuje już informacjami o szczegółach przetwarzania jej danych osobowych przez administratora;
- udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku (w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych);
- pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
- dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Newsletter "Alerty RODO" - nie daj się zaskoczyć!
Klauzula informacyjna nie „na zapas”
W pierwszym okresie stosowania przepisów RODO często mogliśmy się spotkać z brakiem jasnego wskazania interpretacji przepisów odnoszących się do realizacji obowiązki informacyjnego, o którym mowa w art. 14 RODO. Efektem takiego stanu faktycznego było częste asekuracyjne podejście, tj. realizowanie obowiązku informacyjnego niejako „na zapas”. Dopiero z końcem maja bieżącego roku, Urząd Ochrony Danych Osobowych (dalej jako: UODO) opublikował stanowisko głoszące, że wyłączenie (wspomniane w art. 14 ust. 5 lit. c RODO, tj. pozyskiwanie lub ujawnianie) które jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, ma również zastosowanie do sytuacji, w której działamy jako pracodawcy i przetwarzamy dane osobowe członków rodziny pracowników w celu obsługi ubezpieczenia zdrowotnego. Jak czytamy w stanowisku UODO z dnia 25 maja 2020 r.:
Ważny fragment
Ponieważ pozyskiwanie danych członków rodziny pracownika zgłaszanych przez pracodawcę do ubezpieczenia zdrowotnego odbywa się na podstawie przepisów prawa, które zapewniają odpowiednią ochronę ich praw, pracodawca może skorzystać ze zwolnienia z dopełniania wobec nich obowiązku informacyjnego.
RODO a dane tzw. osób kontaktowych pracownika
Omawiając powyższe zagadnienia warto zwrócić uwagę na inną sytuację, która choć z pozoru jest błaha, to jednak bardzo często pojawia się w obszarze realizacji stosunku pracy. Równocześnie wiąże się z zagadnieniem przetwarzania danych osobowych członków rodzin pracownika oraz z dostarczeniem informacji o szczegółach przetwarzania danych osobowych. Taką sytuacją jest przetwarzanie danych osobowych tzw. osób kontaktowych, które pracodawca miałby informować np. w razie wypadku przy pracy.
Uwaga! Takie przetwarzanie nie jest uregulowane prawem.
Co ważne i zarazem i ciekawe, Ministerstwo Rodziny, Pracy i Polityki Społecznej (dalej: MRPiPS) opublikowało pomocnicze wzory dokumentów związanych z ubieganiem się o zatrudnienie, nawiązaniem, zmianą oraz ustaniem stosunku pracy. Wzorzec kwestionariusza osobowego dla pracownika posiada rubrykę, w której pracownik miałby podać dane kontaktowe osoby właściwej do powiadomienia w razie wypadku. Podstawą przetwarzania zaproponowaną przez MRPiPS jest zgoda pracownika – we wzorach nie ma mowy o zgodzie podmiotu danych, tj. konkretnego członka rodziny, czy też innej wskazanej osoby (zgodnie z art. 6 ust. 1 lit. a RODO). Czy w przypadku takiego przetwarzania miałoby zastosowanie jedno z wyłączeń, o którym mowa w art. 14 ust. 5 RODO? Wydaje się, że nie. Co więcej, MRPiPS w swoich oficjalnych stanowiskach wyraźnie wskazuje, że dokumenty te są jedynie wzorami, nie mają charakteru wiążącego i stanowią jedynie wskazówkę dla pracodawcy. Zatem w pierwszej kolejności należy odpowiedzieć sobie na pytanie, czy takie przetwarzanie jest rzeczywiście niezbędne i zgodne z prawem, a dopiero w drugiej kolejności zastanowić się nad zasadnością realizacji tzw. obowiązku informacyjnego.
Jak widać w obliczu powyższych informacji, dostarczenie klauzuli informacyjnej w sytuacji przetwarzania danych osobowych członków rodzin pracowników przez pracodawców, może być wyłączone gdy przetwarzanie takie jest wyraźnie uregulowane prawem. Pracodawca musi jednak mieć na uwadze to, że nie zawsze wyłączenie, o którym mowa w art. 14 ust. 5 RODO może być stosowane. Dlatego też warto się zastanowić, czy realizowane przez firmę czynności przetwarzania są zawsze niezbędne i uzasadnione do realizacji celów i potrzeb wynikających ze stosunku pracy.
AUTOR: Kacper Rączkowiak
