Pytanie:
Firma korzysta z możliwości odliczenia ulg z PFRON. Prowadzi również zakładowy fundusz dla pracowników korzystających z PFRON, którzy mogą złożyć wniosek o opłacenie wizyty lekarza, leków bądź rehabilitacji. Pisząc taki wniosek, pracownik załącza fakturę za wizytę czy leki. Na podstawie tych informacji jest podejmowana decyzja o pełnym lub częściowym pokryciu kosztów. Tym samym pracodawca otrzymuje dodatkowe dane osobowe pracownika dotyczące jego zdrowia. Jak jaka jest podstawa prawna przetwarzania takich danych według RODO?
Odpowiedź: Bez wątpienia we wskazanych wyżej przypadkach mamy do czynienia z przetwarzaniem danych osobowych. Aby to przetwarzanie było możliwe zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO), konieczne jest spełnienie przynajmniej jednej z przesłanek przetwarzania danych osobowych wyliczonych w art. 6 ust. 1 tego rozporządzenia.
Przede wszystkim należy zalecić pobieranie zgody od podmiotów danych (pracowników) na przetwarzanie ich danych osobowych, w tym danych wrażliwych, w celu ustalenia, czy i jakie świadczenie z funduszu zakładowego im się należy. Wówczas podstawą prawną przetwarzania danych osobowych będzie na gruncie RODO art. 6 ust. 1 lit. a. Zgodnie z tym przepisem przetwarzanie jest zgodne z prawem, gdy osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.
Poza zgodą, takie przetwarzanie może mieć za podstawę prawną:
- art. 6 ust. 1 lit. c RODO – gdyż przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (chodzi tu o obowiązek realizacji świadczeń z funduszu założonego przez administratora),
- art. 6 ust. 1 lit. d RODO – gdyż przetwarzanie danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą (tym żywotnym interesem pracownika jest uzyskanie świadczenie i umożliwienie leczenia lub rehabilitacji),
- art. 6 ust. 1 lit. f RODO – gdyż przetwarzanie danych jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (tym prawnie uzasadnionym interesem jest interes pracownika w otrzymaniu świadczenia).
Autor: Marcin Sarna
Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.
