W związku z wejściem w życie RODO, jako przedsiębiorca otrzymasz wiele wiadomości, których celem będzie zawarcie umowy powierzenia przetwarzania danych. Ze względu jednak skomplikowany charakter przepisów, wdrożenie RODO w firmie może być uciążliwe. 

Może dojść do sytuacji, w której zawarcie umowy powierzenia przetwarzania nie będzie koniecznym dla Ciebie jako przedsiębiorcy, a wręcz będzie szkodliwym – RODO nakłada na podmiot przetwarzający wiele uciążliwych obowiązków (audyty przeprowadzane przez administratora, rozliczanie się z otrzymanych danych po zakończeniu przetwarzania, uzyskanie polecenia administratora na przetwarzanie). Jeśli jesteś pracodawcą, mogłeś spotkać się z sytuacją, w której firmy świadczące dodatkowe usługi medyczne chciały, abyś zawarł odrębną umowę powierzenia przetwarzania w związku z wykupieniem dodatkowego pakietu medycznego dla Twoich pracowników. W dalszej części artykułu dowiesz się, jak zachować się w takich sytuacjach. Nie należy bagatelizować tego zagadnienia, gdyż ochrona danych osobowych od 25 maja 2018 roku zaczęła być traktowana poważnie. 

Dodatkowy pakiet medyczny dla pracowników – jak sama nazwa wskazuje – nie jest obowiązkowy. Oznacza to, że pracownik musi zgodzić się na to, aby część jego wynagrodzenia była wpłacana na dodatkowy pakiet medyczny. Podobnie rzecz ma się z danymi osobowymi. Jako pracodawca z mocy prawa jesteś uprawniony jedynie do przetwarzania danych osobowych, o których mowa w art. 221 Kodeksu Pracy. Przetwarzanie danych nie polega tylko na ich gromadzeniu, ale także na udostępnianiu ich innym administratorom. Aby udostępnić dane innym partnerom musisz wykazać, że masz ku temu podstawę w prawie. Spośród wszystkich podstaw znajdujących się w art. 6 RODO, udostępnianie danych osobowych administratorowi, którą jest firma świadcząca dodatkowe usługi medyczne będzie zgoda Twojego pracownika na udostępnienie danych. Oznacza to, że gdy zechcesz zapewnić dodatkową opiekę medyczną Twoim pracowników, będziesz musiał odebrać od nich zgodę na udostępnienie ich danych podmiotowi leczniczemu. 

Negatywnym zjawiskiem jakie obserwujemy po wprowadzeniu RODO, jest żądanie przez firmy świadczące dodatkowe usługi medyczne podpisania aneksu, bądź odrębnej umowy dotyczącej powierzenia przetwarzania danych osobowych pracowników. Głównym problemem przedstawianych do podpisu wzorów umownych jest to, że firmy medyczne dążą do tego, aby z pracodawcy, jako pierwotnego administratora danych uczynić podmiot przetwarzający. W takiej sytuacji, pracodawca nie powinien podpisywać takiej umowy, bądź aneksu do umowy już zawartej. Opisywana wyżej procedura, w której pracodawca odbiera od pracowników zgodę na udostępnienie danych firmie świadczącej dodatkowe usługi medyczne chroni jego przetwarzanie jako administratora, jak również umożliwia przetwarzanie danych osobowych jego pracowników firmie świadczącej dodatkowe usługi medyczne. Błędnym jest stanowisko firm medycznych głoszące, że nie mogą uzyskać danych do przetwarzania inaczej, niż przez uczynienie pracodawcy swoim podmiotem przetwarzającym. Wspomnieć należy, że po udostepnieniu przez pracodawcę danych osobowych pracowników firmom świadczącym usługi medyczne te ostatnie nie przetwarzają danych osobowych na podstawie zgody, ale na podstawie realizacji celu, jakim jest zapewnienie opieki zdrowotnej (opisane jest to w art. 9 ust. 2 lit h RODO). 

Pracownicy nie powinni obawiać się podpisania zgody na udostępnianie danych osobowych, gdyż w żaden sposób nie narusza to ich praw i interesów. Pamiętaj jednak, że jako pracodawca przy odbieraniu takiej zgody powinieneś zrealizować wobec swoich pracowników obowiązek informacyjny, w którym wyjaśnisz im między innymi, dlaczego zgoda jest odbierana, komu dane są udostępniane oraz jaki jest cel ich przetwarzania. 

Wg RODO administratorem lub podmiotem przetwarzającym jest się ze względu na czynności, które się podejmuje. Administrator przetwarza dane w swoim celu i przez siebie ustalonymi sposobami, podmiot przetwarzający przetwarza dane w celach oraz środkami wyznaczonymi przez administratora. W opisywanej sytuacji firma lecznicza w przedstawianych porozumieniach często zamieszcza klauzule, wedle których pracodawca jest zobowiązany np. do wykonywania za nią obowiązku informacyjnego, czy magazynowania zgód pracowników na przetwarzanie. Pamiętaj, że jeśli podejmiesz takie działanie, staniesz się podmiotem przetwarzającym, co jak wyżej opisano, nie jest dla Ciebie sytuacją korzystną. 

Konkludując, nie podpisuj z firmami świadczącymi dodatkowe usługi medyczne dla pracowników umów powierzenia przetwarzania, gdyż nałoży to na Ciebie dodatkowe, uciążliwe obowiązki. Firmy świadczące dodatkowe usługi medyczne nie będą przychylne proponowanym przez rozwiązaniom, gdyż jest to związane z koniecznością wykonywania części obowiązków, które chciałyby scedować na Ciebie.  

Ewentualnością, na którą pracodawca może przystać jest, aby w formularzu zgody na udostępnienie danych pracownika firmie medycznej znalazł się obowiązek informacyjny dotyczący przetwarzania w firmie leczniczej (np. na rewersie, po obowiązku informacyjnym dotyczącym pracodawcy). Zgodnie z art. 13 ust. 4 RODO, nie jest koniecznym realizacja obowiązku informacyjnego, jeśli osoba, której dane mają by c przetwarzane posiada odpowiednie informacje, które administrator zobowiązany jest jej przedstawić. W sytuacji, w której na podstawie takiej sytuacji firma medyczna postanowiłaby, że nie musi przedstawiać obowiązku informacyjnego, to na niej spoczywałby ciężar udowodnienia, że osoba, której dane przetwarza posiada już informacje o firmie leczniczej jako administratorze. Taka sytuacja jest bezpieczna jednak dla pracodawcy udostępniającego dane. 

W przypadku, w którym zapewniasz dodatkowe pakiety medyczne pracownikom, odbierz od nich zgodę na przetwarzanie, które polega na udostępnieniu ich danych firmie świadczącej usługi medyczne. Wzór zgody na takie przetwarzanie jest dostępny pod adresem elektronicznym…