Grupowe ubezpieczenie pracowników – kto jest administratorem danych

Wielu pracodawców oferuje swoim pracownikom możliwość przystąpienia do ubezpieczenia grupowego na wypadek różnych sytuacji życiowych. Po stronie pracodawcy leży wynegocjowanie z zakładem ubezpieczeń warunków umowy ubezpieczenia, w tym sumy ubezpieczenia i wysokości składki od pojedynczego pracownika. Niekiedy do symulacji kosztów ubezpieczenia zakład ubezpieczeń wymaga przekazania rzeczywistych danych pracowników. Gdy pracownicy zadeklarują chęć przystąpienia do ubezpieczenia, pracodawca zawiera z zakładem ubezpieczeń stosowną umowę. Umowa ta może mieć charakter ramowy umożliwiający poszczególnym pracownikom objęcie ich ubezpieczeniem grupowym. W takim przypadku do zawarcia właściwej umowy ubezpieczenia dochodzi dopiero z inicjatywy pracownika, np. przez podpisanie deklaracji przystąpienia.Umowa ubezpieczenia grupowego może być także umową zawieraną na rzecz pracowników oraz na rachunek pracowników. W związku z zawieraniem umowy ubezpieczenia grupowego pracowników może pojawić się problem podstawy prawnej dla przekazania danych pracowników zakładowi ubezpieczeń.

Administratorem danych jest, w myśl art. 4 pkt 7 ogólnego rozporządzenia o ochronie danych (RODO), osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Bez wątpienia pracodawca jest administratorem danych osobowych swoich pracowników. Dopuszczalność przetwarzania przez pracodawcę danych osobowych pracowników wynika przede wszystkim z przepisów Kodeksu pracy i z ustaw szczególnych. Natomiast zakład ubezpieczeń może przetwarzać dane swoich klientów bądź osób ubezpieczonych, powołując się w zależności od okoliczności faktycznych na art. 6 ust. 1 pkt a (zgoda osoby, której dane dotyczą), pkt b (przetwarzanie niezbędne do wykonania umowy) lub pkt c (przetwarzanie niezbędne do wypełnienia obowiązku prawnego) RODO. Jeśli chodzi o obowiązek prawny ciążący na administratorze, o którym mowa w art. 6 ust. 1 pkt c,to w grę wchodzą przede wszystkim przepisy ustawy o działalności ubezpieczeniowej i reasekuracyjnej.

Udostępnienie i powierzenie przetwarzania danych osobowych to sposoby przekazania danych osobowych znajdujących się w posiadaniu administratora danych do innego podmiotu. Udostępnienie danychjest jedną z form przetwarzania danych osobowych. Zarówno podmiot udostępniający, jak i podmiot, któremu dane udostępniono, muszą legitymować się jedną z przesłanek dopuszczalności przetwarzania danych. W przypadku udostępniania danych odbiorcą danych jest inny administrator danych. Natomiast powierzenie przetwarzania danychnastępuje w sytuacji korzystania przez administratora danych z usług podmiotu zewnętrznego i konieczności udostępnienia temu podmiotowi danych osobowych.W przypadku powierzenia przetwarzania danych osobowych podmiot przetwarzający realizuje cele przetwarzania danych określone przez administratora i przetwarza powierzone dane jedynie w zakresie wskazanym przez administratora. Procesor nie staje się odrębnym administratorem powierzonych mu danych osobowych – status administratora danych ma nadal powierzający dane.

Decyzja administratora danych dotycząca tego, czy z danym podmiotem zawrzeć umowę powierzenia przetwarzania danych osobowych, czy też udostępnić mu dane,zależy od konkretnych okoliczności faktycznych. Podstawową kwestią jest ustalenie, na jakim etapie i w jakim celu zakład ubezpieczeń uzyskuje dostęp do danych osobowych pracowników. Jeśli ubezpieczający otrzymuje dane osobowe pracowników przed zawarciem umowy ubezpieczenia grupowego, np. w celu przygotowywaniasymulacji kosztów ubezpieczenia, to konieczne jest sporządzenie umowy powierzenia przetwarzania danych osobowych. Ubezpieczający działa wówczas jako podmiot przetwarzający. Podejmuje czynności na zlecenie administratora i w jego imieniu dokonuje określonych operacji na powierzonych danych pracowników.  Wykorzystuje przekazane mu dane osobowe do wyliczenia pracodawcy kosztów ubezpieczenia grupowego, a zatem nie realizuje własnych celów przetwarzania danych.

Jeśli ubezpieczający uzyskuje dane osobowe bezpośrednio od pracowników w związku z zawieraniem przez nich indywidualnych umów (choć na warunkach ustalonych w umowie ramowej), to oczywiście jest odrębnym od pracodawcy administratorem danych osobowych pracowników. Ubezpieczeni pracownicy są stronami umów ubezpieczenia, a zakład ubezpieczeń może przetwarzać ich dane na podstawie art. 6 ust. 1 lit. b RODO (przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy). 

Sporną kwestią jest to, czy konieczne jest sporządzanie umowy powierzenia przetwarzania danych, gdy pracodawcazawiera z ubezpieczycielem umowę ubezpieczenia grupowego, działając na rzecz i na rachunek ubezpieczonych pracowników.Najczęściej przekazanie danych w takiej sytuacji kwalifikuje się jako ich udostępnienie.Zatem przekazanie danych osobowych międzypracodawcą a zakładem ubezpieczeń odbywa się na zasadzie udostępnienia danych międzydwoma odrębnymi administratorami danych.Nie jest wobec tego konieczne zawieranie pomiędzy pracodawcąa ubezpieczycielem umowy powierzenia przetwarzania danych.Przeciwny pogląd prowadziłby do sytuacji, w której pracodawca mógłby przetwarzać dane np. o stanie zdrowia pracowników wynikające z badań medycznychprzeprowadzonych na zlecenie ubezpieczyciela, do czego zgodnie z przepisami prawa nie jest w ogóle uprawniony.

Zakład ubezpieczeń przetwarza dane osobowe udostępnione przez pracodawcę na podstawie zawartej umowy ubezpieczenia jako ich samodzielny administrator. Zwłaszcza że dla wykonania celu przetwarzania, czyli świadczenia usługi ubezpieczenia, może się okazać konieczne pozyskanie przez niego dodatkowych danych pracowników, których pracodawca nie ma prawa przetwarzać (m.in. dane o stanie zdrowia, wyniki badań).