Pakiety medyczne dla pracowników – czy dochodzi do powierzenia danych
Nie. W sytuacji o której mowa w pytaniu, występują dwaj niezależni administratorzy danych, którzy dokonują ich przetwarzania w zakresie niezbędnym do realizacji swoich wynikających z przepisów prawa celów (realizowania procesu zatrudniania i współpracy - realizowania świadczeń zdrowotnych).
Przekazywanie danych pracowników poza zakład pracy
Bywają oczywiście sytuacje kiedy przetwarzanie danych pracowników będzie musiało wyjść poza teren zakładu pracy. Takie sytuacje będą miały miejsce w przypadku zlecenia szkoleń bhp w firmie zewnętrznej czy powierzenia na zewnątrz obsługi kadrowo-płacowej. W powyższych przypadkach, zarówno jednostka szkoleniowa jak również firma zajmująca się obsługą kadrowo-płacową działają w imieniu administratora jakim jest pracodawca i przetwarzają dane osobowe pracowników na polecenie pracodawcy, co wiąże się z podpisaniem umowy powierzenia przetwarzania danych osobowych.
Pracodawca może zawrzeć z placówką medyczną (nie służbą medycyny pracy) umowę, na podstawie której placówka medyczna będzie realizowała świadczenia zdrowotne na rzecz pracowników oraz ich rodzin. Powstaje wątpliwość czy w takim przypadku zastosować konstrukcje jaką jest umowa powierzenia przetwarzania danych osobowych - gdzie administratorem danych były pracodawca a podmiotem przetwarzającym placówka medyczna - czy może występuje dwóch niezależnych administratorów w ramach czego dochodzi nie do powierzenia przetwarzania danych co do ich udostępnienia.
Placówka medyczna jako odrębny ADO
W opisanej sytuacji status niezależnego administratora będzie miał zarówno pracodawca - który przetwarza dane pracowników na potrzeby realizacji konkretnych przepisów prawa pracy, niezależnym administratorem będzie również placówka medyczna - która musi przetwarzać dane osobowe pacjentów na potrzeby realizacji świadczeń zdrowotnych, w tym prowadzenia dokumentacji medycznej. Dlatego relacja o której mowa w pytaniu będzie się opierała nie na powierzeniu przetwarzania danych z udziałem administratora i podmiotu przetwarzającego - a na udostępnieniu danych drugiemu niezależnym administratorowi.
Nie zawieramy umowy powierzenia przetwarzania danych z placówką realizującą na rzecz pracowników pakiet medyczny.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 4, art. 28.
- Udostępnienie danych osobowych na żądanie zakładu ubezpieczeń – w jakich przypadkach
- Weryfikacja niekaralności w Krajowym Rejestrze Karnym i Rejestrze Sprawców Przestępstw na Tle Seksualnym – czy dotyczy także niepełnoletnich
- Udostępnienie danych osobowych właścicieli lokali – kiedy spółdzielnia musi to zrobić
- Przenoszenie baz danych – czy konieczna umowa powierzenia przetwarzania
- Inspektor ochrony danych dla urzędu i samorządowych jednostek organizacyjnych
- Dostęp do danych osobowych dla pełnomocnika
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
