Grupowe ubezpieczenie pracowników w świetle RODO - udostępnienie czy umowa powierzenia przetwarzania
Podpisując umowę ubezpieczenia grupowego, pracodawca udostępnia firmie ubezpieczeniowej dane osobowe swoich pracowników. Dowiedz się, czy w związku z przetwarzaniem danych osobowych pracowników objętych ubezpieczeniem grupowym musisz zawrzeć umowę powierzenia przetwarzania danych.
Grupowe ubezpieczenie pracowników wiąże się z przetwarzaniem danych osobowych
Wiele firm daje swoim pracownikom możliwość skorzystania z ubezpieczenia grupowego. Pracodawca ustala warunki umowy ubezpieczenia z firmą ubezpieczeniową, ustalając sumę ubezpieczenia i składki dla każdego pracownika. Przekazanie danych osobowych pracowników ubezpieczycielowi może być konieczne już do oszacowania sumy ubezpieczenia. Gdy pracownicy zdecydują się przystąpić do ubezpieczenia, pracodawca podpisuje odpowiednią umowę z firmą ubezpieczeniową, na podstawie której następuje objęcie ubezpieczeniem grupowym poszczególnych pracowników. Już na tym etapie rodzi się pytanie, jaka jest podstawa udostępnienia danych osobowych pracowników firmie ubezpieczeniowej. Innymi słowy, należy rozstrzygnąć, jak zakwalifikować taki przepływ danych między pracodawcą a zakładem ubezpieczeń, tzn. czy jest to udostępnienie, czy powierzenie danych. Ustalenie tej kwestii jest kluczowe w kontekście ochrony danych osobowych pracowników.
Status ubezpieczyciela według RODO
Administratorem danych osobowych jest, w myśl art. 4 pkt 7 ogólnego rozporządzenia o ochronie danych (RODO), osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Niewątpliwie pracodawca jest administratorem danych osobowych swoich pracowników.
Firma ubezpieczeniowa przetwarza dane osobowe klientów lub osób ubezpieczonych, odwołując się, w zależności od okoliczności, do art. 6 ust. 1 pkt a RODO (wyrażenie zgody osoby, której dane dotyczą), pkt b (przetwarzanie niezbędne do wykonania umowy) lub pkt c (przetwarzanie niezbędne do wypełnienia obowiązku prawnego) RODO. Jeśli chodzi o obowiązek prawny spoczywający na administratorze, o którym mowa w art. 6 ust. 1 pkt c, to jest to obowiązek wynikający z przepisów ustawy o działalności ubezpieczeniowej i reasekuracyjnej. Czy zatem ubezpieczyciel jest administratorem danych osobowych pracowników firmy, która korzysta z usługi grupowego ubezpieczenia?
Ubezpieczyciel jako procesor - w jakich przypadkach
Aby odpowiedzieć na to pytanie, należy ustalić, na jakim etapie i w jakim celu zakład ubezpieczeń uzyskuje dostęp do danych osobowych pracowników. Jeśli ubezpieczający otrzymuje dane osobowe przed zawarciem umowy ubezpieczenia grupowego pracowników, np. w celu przygotowywania symulacji kosztów ubezpieczenia, to powstaje relacja pomiędzy administratorem danych osobowych a podmiotem przetwarzającym. Zachodzi zatem konieczność zawarcia umowy powierzenia przetwarzania danych osobowych.
W takim przypadku ubezpieczyciel działa jako podmiot przetwarzający. Podejmuje czynności na zlecenie administratora i w jego imieniu dokonuje określonych operacji na powierzonych danych pracowników. Wykorzystuje przekazane mu dane osobowe do wyliczenia pracodawcy kosztów ubezpieczenia grupowego, a zatem nie realizuje własnych celów przetwarzania danych.
Udostępnienie danych osobowych w związku z zawarciem umowy grupowego ubezpieczenia pracowników
Inaczej należy ocenić sytuację, w której pracodawca zawiera już z ubezpieczycielem umowę ubezpieczenia grupowego, działając na rzecz i na rachunek ubezpieczonych pracowników. W takim przypadku dochodzi do udostępnienia danych osobowych pracowników ubezpieczycielowi. Ten bowiem przetwarza dane osobowe udostępnione przez pracodawcę na podstawie zawartej umowy ubezpieczenia jako ich samodzielny administrator. Zwłaszcza że dla wykonania celu przetwarzania, czyli świadczenia usługi ubezpieczenia, może się okazać konieczne pozyskanie przez niego dodatkowych danych pracowników, których pracodawca nie ma prawa przetwarzać (m.in. dane o stanie zdrowia, wyniki badań).
Zakład ubezpieczeń może być odrębnym administratorem danych osobowych
Nie jest też wykluczone, że ubezpieczyciel pozyska dane osobowe bezpośrednio od pracowników w związku z zawieraniem przez nich indywidualnych umów (choć na warunkach ustalonych w umowie ramowej). W takim przypadku staje się on odrębnym od pracodawcy administratorem danych osobowych pracowników. Ubezpieczeni pracownicy są stronami umów ubezpieczenia, a zakład ubezpieczeń może przetwarzać ich dane na podstawie art. 6 ust. 1 lit. b RODO (przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy).
Nie dochodzi wówczas ani do udostępnienie danych, ani do ich powierzenia.
- Jak przeprowadzać analizę ryzyka zgodnie z RODO
- Ochrona sygnalistów a RODO – 10 obowiązków administratora w zakresie ochrony danych osobowych
- Ustawa Kamilka a RODO – ochrona danych osobowych w związku z weryfikacją niekaralności
- Wdrażasz system sztucznej inteligencji? Sprawdź dokumentację ochrony danych osobowych pod kątem AI
- Jak zredagować klauzulę informacyjną RODO i uniknąć błędów
Bezpieczne przechowywanie danych w chmurze
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
