- Od niedawna zatrudniam pracowników. Czy w ramach grupowego ubezpieczenia mam prawo przekazać dane osobowe pracowników zakładowi ubezpieczeń? – pyta czytelnik.
Zawsze trzeba ustalić role pracodawcy i ubezpieczyciela w ramach ubezpieczeń grupowych. Pracodawca przetwarza dane osobowe swoich pracowników i współpracowników jako administrator danych kadrowych. Zawierając umowę grupowego ubezpieczenia, konieczne będzie przekazanie danych osobowych tych osób ubezpieczycielowi. Z punktu widzenia przepisów o ochronie danych osobowych ten przepływ danych należy zakwalifikować jako ich udostępnienie. W konsekwencji pracodawca udostępnia dane swoich pracowników do zakładu ubezpieczeń – ich drugiego administratora. Należy pamiętać, by zakres przekazywanych danych był zgodny ze specyfikacją podaną przez zakład ubezpieczeń. Dodatkowo sama czynność przekazania danych powinna zapewniać, z technicznego punktu widzenia, ich bezpieczeństwo. Jeśli będą one przekazywane za pośrednictwem poczty elektronicznej, to załącznik z nimi powinien zostać zaszyfrowany. Pamiętajmy, by w takim wypadku nie przesyłać hasła do danych w tej samej wiadomości.
Pracodawca powinien poinformować pracownika, najlepiej na etapie nawiązywania współpracy z nim, że w razie korzystania z oferowanego za pośrednictwem pracodawcy ubezpieczenia grupowego, jego dane osobowe będą udostępnione ubezpieczycielowi (obowiązek informacyjny określony w art. 24 ustawy o ochronie danych osobowych, zwanej dalej „ustawą"). Nie ma potrzeby, by pracownik wyrażał odrębną zgodę na ich udostępnienie do zakładu ubezpieczeń. W tym wypadku podstawą prawną takiego działania będzie art. 23. ust. 1 pkt 5 ustawy (prawnie usprawiedliwiony interes administratora danych). Do zakładu ubezpieczeń trafią podstawowe dane osobowe pracownika, a w dodatku będzie to w jego interesie.
O ile pracodawca posiada status administratora danych osobowych swoich pracowników, o tyle w stosunku do członków ich rodzin co do zasady taka zależność nie występuje. Mimo to pracodawca często ma dostęp do tych danych w związku z dołączaniem wskazanych osób do ubezpieczenia grupowego. W tym wypadku pracodawca będzie pełnił jednak tylko i wyłącznie rolę procesora, a więc podmiotu, któremu administrator danych (zakład ubezpieczeń) zlecił proces zebrania i przekazania danych osobowych (art. 31 ustawy). W konsekwencji to zakład ubezpieczeń jest odpowiedzialny za posiadanie podstawy prawnej przetwarzania tych danych osobowych oraz dopełnienie obowiązku informacyjnego. Jedynym obowiązkiem pracodawcy będzie w tym wypadku zawarcie z zakładem ubezpieczeń pisemnej umowy powierzenia przetwarzania danych osobowych. Będzie ona zobowiązywała pracodawcę do zbierania danych osobowych członków rodzin pracowników, dołączających do ubezpieczenia grupowego oraz ich bezpiecznego przekazywania na rzecz zakładu ubezpieczeń. Omawiana umowa będzie także umożliwiać pracodawcy przetwarzanie danych osobowych związane ze zgłaszaniem comiesięcznych zmian na liście ubezpieczonych.
Łukasz Onysyk specjalista ds. ochrony danych osobowych, wiceprezes Auraco sp. z o.o.
