Jako pracodawca, w związku z zatrudnienim pracowników, staniesz w obliczu konieczności przekazywania danych osobowych swoich pracowników innym podmiotom. W niektórych sytuacjach – np. przy współpracy z firmą księgową – konieczne będzie zawarcie umowy powierzenia przetwarzania danych. W innych zaś będzie miało miejsce jedynie udostępnianie danych osobowych. Wówczas inni administratorzy będą przetwarzali te dane osobowe realizując już własne cele. Jak to jest w przypadku udostępniania danych osobowych pracowników firmom medycznym?

Powierzenie czy udostępnienie danych osobowych?

Nie zawsze zawarcie umowy powierzenia przetwarzania z innym administratorem danych, zwanym w takim przypadku procesorem, będzie konieczne. W wielu wypadkach wystarczające jest samo udostępnianie danych. RODO nakłada na podmiot przetwarzający wiele uciążliwych obowiązków. Jest to np. obowiązek wyrażenia zgody na przeprowadzenie audytu przetwarzania danych u procesora, uzgodnienia z administratorem zastosowania środków organizacyjnych i technicznych ochrony danych, czy też obowiązek rozliczania się z otrzymanych danych po zakończeniu przetwarzania.

Zdarza się, że firmy świadczące dodatkowe usługi medyczne wymagają, aby pracodawca zawarł odrębną umowę powierzenia przetwarzania danych jego pracowników.  W szczególności, w przypadku wykupienia dodatkowego pakietu medycznego dla pracowników. Dodatkowy pakiet medyczny dla pracowników – jak sama nazwa wskazuje – nie jest obowiązkowy. Oznacza to, że pracownik musi zgodzić się na to, aby część jego wynagrodzenia była potrącana na dodatkowy pakiet medyczny.

Udostępnienie danych a zgoda pracownika

Podobnie rzecz ma się z danymi osobowymi. Jako pracodawca z mocy prawa jesteś uprawniony jedynie do przetwarzania podstawowych danych osobowych, o których mowa w art. 22[1] Kodeksu Pracy. Przetwarzanie danych nie polega tylko na ich gromadzeniu, ale także na udostępnianiu danych innym administratorom. Aby udostępnić dane innym partnerom musisz wykazać, że masz ku temu podstawę prawną. Spośród wszystkich podstaw znajdujących się w art. 6 RODO będzie nią zgoda pracownika na udostępnienie danych. Oznacza to, że gdy zechcesz zapewnić swoim pracownikom dodatkową opiekę medyczną, będziesz musiał odebrać od nich zgodę na udostępnienie danych podmiotowi leczniczemu. 

Negatywnym zjawiskiem jakie obserwujemy po wprowadzeniu RODO, jest żądanie przez firmy świadczące dodatkowe usługi medyczne podpisania aneksu, bądź odrębnej umowy dotyczącej powierzenia przetwarzania danych osobowych pracowników. Zdarza się, że firmy medyczne dążą do tego, aby z pracodawcy uczynić podmiot przetwarzający. Pracodawca nie powinien godzić się na takie rozwiązanie. Odebranie zgody od pracownika umożliwia przekazanie jego danych i zgodne z prawem ich przetwarzanie przez firmę medyczną. Błędnym jest stanowisko głoszące, że firmy medyczne nie mogą uzyskać danych do przetwarzania inaczej, niż przez uczynienie pracodawcy swoim procesorem. Firmy świadczące usługi medyczne nie przetwarzają danych osobowych na podstawie zgody, lecz na podstawie realizacji celu, jakim jest zapewnienie opieki zdrowotnej (opisane jest to w art. 9 ust. 2 lit h RODO). 

Udostępnianie danych a obowiązek informacyjny

Pracownicy nie powinni obawiać się udzielenia zgody na udostępnianie danych osobowych. W żaden sposób nie narusza to ich praw i interesów. Jednakże przy odbieraniu takiej zgody powinieneś zrealizować wobec swoich pracowników obowiązek informacyjny. W jego treści wyjaśnisz dlaczego zgoda jest odbierana, komu dane są udostępniane oraz jaki jest cel ich przetwarzania. 

Zgodnie z RODO administratorem lub procesorem jest się ze względu na czynności, które się podejmuje. Nie można się co do tego umówić. Po prostu wynika to z faktu i sposobu przetwarzania danych. Administrator przetwarza dane w swoim celu i przez siebie ustalonymi sposobami. Podmiot przetwarzający przetwarza zaś dane w celach oraz środkami wyznaczonymi przez innego administratora. Firmy medyczne w stosowanych wzorcach umów często zamieszczają klauzule, w których wkładają na pracodawcę wykonanie obowiązku informacyjnego. Zdarza się również zobowiązanie do gromadzenia zgód pracowników na przetwarzanie danych. Jeśli przyjmiesz na siebie takie zobowiązania, możesz być uznany za podmiot przetwarzający. Jest to rozwiązanie nie tylko nie korzystne, ale też nieprawidłowe.

Konkludując, nie podpisuj z firmami świadczącymi dodatkowe usługi medyczne umów powierzenia przetwarzania danych pracowników. Nałoży to na Ciebie dodatkowe, uciążliwe obowiązki. Niektóre firmy medyczne unikają wykonywania formalnych obowiązków związanych z przetwarzaniem danych osobowych, albowiem chciałyby je scedować na Ciebie.  

Pracodawca informuje o udostępnianiu danych

Pewnym kompromisem jest zamieszczenie w formularzu zgody na udostępnianie danych pracownika firmie medycznej, obowiązku informacyjnego dotyczącego firmy leczniczej.  Jednakże zgodnie z art. 13 ust. 4 RODO realizacja obowiązku informacyjnego nie jest konieczna, jeśli osoba, której dane mają być przetwarzane posiada odpowiednie informacje, które administrator zobowiązany jest jej przedstawić. W takiej sytuacji, to na administratorze spoczywa ciężar udowodnienia, że osoba, której dane przetwarza posiada już informacje o firmie medycznej przetwarzającej jego dane.

Zawarcie umowy na powierzanie danych osobowych pracowników z firmą medyczną nie jest prawidłowym rozwiązaniem. W przypadku, w którym zapewniasz dodatkowe pakiety medyczne pracownikom, odbierz od nich zgodę na udostępnianie danych firmie świadczącej usługi medyczne.