GoldenLine
Zaloguj się
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Witam serdecznie,

Dwukrotnie spotkałem się z sytuacją, gdy firma ubezpieczeniowa, świadcząca usługi ubezpieczenia grupowego dla pracowników oraz firma oferująca prywatną opiekę zdrowotną dla pracowników, proponują firmie zatrudniającej tych ludzi, zawarcie umowy powierzenie, w ten sposób, że to ONI (ubezpieczyciel, firma medyczna) są Administratorem a firma zatrudniająca tych pracowników jest Procesorem.

Moim zdaniem jest dokładne odwrotnie, czyli to firma zatrudniająca pracowników jest administratorem ich danych a firma ubezpieczeniowa i medyczna są procesorem. Nawet jeśli polisy są wystawiane bezpośrednio pracownikowi przez ubezpieczyciela, to firma musi co miesiąc dostarczyć informacje o statusie zatrudnienia tych ludzi. Przekazuje ona zatem ubezpieczycielowi dane pracowników, które przetwarza w celu zrealizowania umowy ubezpieczeniowej, którą świadczy ubezpieczyciel.

Czy ja czegoś nie rozumiem, czy duże firmy po prostu znalazły du-chron jak to pozbyć się odpowiedzialności i wysyłają gotowe umowy z odwróconymi rolami, licząc, że ktoś się nie połapie i podpisze?

No i właśnie chciałem prosić o Państwa opinię o doświadczenia w tym zakresie :)

Pozdrawiam,
Michał
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Jeśli firma ubezpieczeniowa/zdrowotna wysyła do pracodawcy wykaz osób objętych ubezpieczeniem/ochroną zdrowia, to tak. Pracodawca jest procesorem.

Pytanie pomocnicze pozwoli to zrozumieć:
Kto i w jaki sposób zawiera umowy i ma obowiązek płacić składki (o ubezpieczenie/o opiekę)? - jeśli pracownik (to, że w ocenie bierze się profil pracodawcy jako ryzyko, nie ma nic wspólnego), to pracodawca jest procesorem (otrzymuje polecenie od pracownika, potrącania z wypłaty należnej składki).

Co innego gdy pracodawca podpisuje umowę na rzecz swoich pracowników (np. świadczenia zdrowotne), to wówczas on jako strona jest ADO.

Na kanwie tego przykładu - jest ciekawszy - grupowe ubezpieczenie NNW uczniów w szkołach. :)
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Michał S.:
Dwukrotnie spotkałem się z sytuacją, gdy firma ubezpieczeniowa, świadcząca usługi ubezpieczenia grupowego dla pracowników oraz firma oferująca prywatną opiekę zdrowotną dla pracowników, proponują firmie zatrudniającej tych ludzi, zawarcie umowy powierzenie, w ten sposób, że to ONI (ubezpieczyciel, firma medyczna) są Administratorem a firma zatrudniająca tych pracowników jest Procesorem.
Przy benefitach może być różnie, nie wypowiem się bez znajomości procesu.
Natomiast w ubezpieczeniach grupowych wg mnie jest dwóch administratorów. Pracodawca zawiera umowę na rzecz osoby trzeciej.
Moim zdaniem jest dokładne odwrotnie, czyli to firma zatrudniająca pracowników jest administratorem ich danych a firma ubezpieczeniowa i medyczna są procesorem.
Przy ubezpieczeniach na pewno nie. Ocena ryzyka ubezpieczeniowego - przykład pierwszy z brzegu - to cel ubezpieczyciela, nie pracodawcy. Podobnie likwidacja szkód.
polisy są wystawiane bezpośrednio pracownikowi przez ubezpieczyciela, to firma musi co miesiąc dostarczyć informacje o statusie zatrudnienia tych ludzi.
Czemu tak? Widzę inne rozwiązania.

Na marginesie, to się zastanówcie, czy chcecie te polisy grupowe, czy ten proces przetwarzania jest wam do czegoś niezbędny, czy robicie tak, bo "zawsze tak było"?
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Firma Beneficial (przykładowa nazwa) zawarła z firmą XYZ SA umowę ramową na podstawie której pracownicy firmy XYZ SA mogą skorzystać z oferty Beneficial na specjalnych warunkach (grupowych). Firma XYZ SA ogłasza wśród swoich pracowników, że umowa taka została zawarta i zaprasza pracowników do przystąpienia do programu, czyli zbiera deklaracje przystąpienia. Dane te przekazuje firmie Beneficial żeby Beneficial wiedzielo komu mają wystawić karty uprawniające do skorzystania z usług. Dodatkowo, firma XYZ SA regularnie dostarcza do Beneficial status obecnych pracowników (pracuje / nie pracuje) oraz zgłsza nowych, którzy zechcieli przystąpić do programu. Firma XYZ SA rozlicza się z Beneficial zgodnie z umową: czyli wnosi opłatę jako zaklad pracy a także dokonuje potrąceń z wynagrodzeń pracowników (to już w relacji pracownik <> firma).

Dla mnie jest to oczywiste powierzenia przetwarzania danych osobowych przez XYZ SA do Beneficial. Mówiąc inaczej, Beneficial przetwarza dane otrzymane w powierzeniu od XYZ SA w celu zrealizowania usługi w jego imieniu, polegającej na udostępnieniu pracownikom XYZ SA silowni, bsenów itp.

To było dla mnie oczywiste dopóki nie zobaczyłem propozycji umowy powierzenia od Beneficial, gdzie to ten podmiot wskazany jest jako Administrator ze wszystkimi tego konsekwencjami dla XYZ SA - np. Beneficial zachowuje prawo kontroli czy XYZ SA przetwarza te dane zgodnie z prawem (?!)

"Na marginesie, to się zastanówcie, czy chcecie te polisy grupowe, czy ten proces przetwarzania jest wam do czegoś niezbędny, czy robicie tak, bo "zawsze tak było"?"

No właśnie tak nie robimy i dlatego wywoluję ten wątek na forum, żeby posłuchać opinii i może uprzedzić, że duże firmy ubezpieczeniowe oraz te od benefitów chyba znalazły trick jak zrobić w konia swoich klientów :)
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Michał S.:
Dla mnie jest to oczywiste powierzenia przetwarzania danych osobowych przez XYZ SA do Beneficial.
Moim zdaniem nie ma powierzenia w żadną stronę. Odnajdź sobie decyzję GIODO DIS/DEC-594/15/62961.
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Paweł G.:
Michał S.:
Dla mnie jest to oczywiste powierzenia przetwarzania danych osobowych przez XYZ SA do Beneficial.
Moim zdaniem nie ma powierzenia w żadną stronę. Odnajdź sobie decyzję GIODO DIS/DEC-594/15/62961.

Gdyby nie było powierzenia, to DUŻE firmy nie wysyłałyby takich "propozycji" umów.

Podana przez Ciebie decyzja też nie jest ratunkiem bo:

1. Ta decyzja dotyczy UstOOchrDa a nie RODO (2015 r.)
2. Uchybienie w tym przypadku polegało na braku zgody osoby kt dane dotyczą. Tu nie ma tego problemu, bo na deklaracji przystąpienia osoba wyraża zgodę.
i
3. To o czym piszę zdarzyło się w ubiegłym tygodniu (2 pisma od 2 różnych firm). Spodziewam się, że wkrótce wszyscy Wasi klienci otrzymają takie umowy "do podpisania" od dużych ubezpieczycieli i benefitów.

Trzeba się nie dać :)

Pozdr M
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Michał S.:
Gdyby nie było powierzenia, to DUŻE firmy nie wysyłałyby takich "propozycji" umów.
Dlaczego nie? Czy duża firma ma monopol na rację?
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Paweł G.:
Michał S.:
Gdyby nie było powierzenia, to DUŻE firmy nie wysyłałyby takich "propozycji" umów.
Dlaczego nie? Czy duża firma ma monopol na rację?

Ej widzę że nie tylko jak się lubie tak boksować z "dużymi" hehe. To był skrót myślowy. Wiesz o co mi chodzi, założę się :) A powierzenie występuje zgodnie z def. art. 28 tak czy inaczej.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Michał S.:
2. Uchybienie w tym przypadku polegało na braku zgody osoby kt dane dotyczą. Tu nie ma tego problemu, bo na deklaracji przystąpienia osoba wyraża zgodę.
To jest akurat tu nieważne. Zauważ jednak, na podstawie jakich przesłanek GIODO wskazuje administratora.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Michał S.:
Firma Beneficial ....
Tak opisana sytuacja daje podstawy do twierdzenia, że pracodawca jest ADO, firma Beneficial - procesorem.

Co będzie gdy odmówicie podpisania umowy powierzenia i jednocześnie zażądacie wypełnienia warunków umowy ? ;)

Polisy grupowe to już może być zgoła inna sytuacja - pracownik zawiera umowę przystąpienia, a pracodawcy wydaje upoważnienie do potrąceń z wynagrodzenia. Wówczas pracodawca jest procesorem.
Link do wypowiedziLink

konto usunięte

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Pracodawca jest ADO danych osobowych swoich pracowników. Jednak firma świadcząca usługi prywatnej opieki medycznej (dalej jako "MED") ma swoje własne cele przetwarzania, a dodatkowo przetwarza inne (szersze) kategorie danych, więc również stanie się ADO.

Dlatego rozważyłbym udostępnienie na podstawie art. 9 ust. 2 lit. h RODO. Pracodawca udostępnia MED listę swoich pracowników obejmująca imię i nazwisko oraz PESEL. Jak pracownik przychodzi na badanie to sam podaje MED pozostałe dane osobowe.

Konieczność nadania MED statusu ADO potwierdza okoliczność, że MED przetwarza dane o stanie zdrowia w szerszym zakresie, niż pracodawca, który otrzymuje (co do zasady) jedynie zaświadczenie o zdolności do pracy i zwolnienia lekarskie. Natomiast MED ma pełną informację o badaniach, wynikach badań laboratoryjnych, zabiegach, przyczynach wydania danego zwolnienia lekarskiego idt. I tych danych MED nie może (!!!) przekazać pracodawcy. Poza tym ustawy dotyczące prowadzenia działalności leczniczej zobowiązują MED do prowadzenia własnej dokumentacji medycznej. Dodatkowo, umowa powierzenia uprawnia do kontroli procesora, a przecież pracodawca nie może (!!!) kontrolować dokumentacji medycznej
Link do wypowiedziLink

konto usunięte

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Co do ubezpieczenia grupowego, moim zdaniem zakład ubezpieczeń również jest ADO. Podpisanie deklaracji przystąpienia do ubezpieczenia grupowego jest przecież formą wyrażenia zgody na objęcie pracownika ochrona ubezpieczeniową w ramach umowy grupowego ubezpieczenia zawartej z konkretnym ubezpieczycielem.. Zatem podstawą udostępnienia jest zgoda osoby, której dane dotyczą. Należy zadbać o właściwe klauzule informacyjne na deklaracji.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Mikołaj C.:
Dodatkowo, umowa powierzenia uprawnia do kontroli procesora, a przecież pracodawca nie może (!!!) kontrolować dokumentacji medycznej
Kontrola na podstawie umowy powierzenia może dotyczyć TYLKO tych danych które zostały powierzone umową. W tym przypadku zasadnym może być możliwość kontrolowania, czy dany pracownik zgłosił się na badania (wstępna weryfikacja legalności zaświadczenia).
ps.
Istnieją wyjątki kiedy pracodawca może, a wręcz ma obowiązek zasięgnąć informacji z dokumentacji medycznej pracownika.
Link do wypowiedziLink
Aneta C.

Aneta C. Specjalista ds. kadr
i płac, Firma

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Radosław Z.:
Istnieją wyjątki kiedy pracodawca może, a wręcz ma obowiązek zasięgnąć informacji z dokumentacji medycznej pracownika.

Ale to dotyczy chyba tylko wypadków przy pracy ?
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Aneta C.:
Ale to dotyczy chyba tylko wypadków przy pracy ?
To wykracza poza temat wątku (nie tylko).
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Mikołaj C.:
Co do ubezpieczenia grupowego, moim zdaniem zakład ubezpieczeń również jest ADO. Podpisanie deklaracji przystąpienia do ubezpieczenia grupowego jest przecież formą wyrażenia zgody na objęcie pracownika ochrona ubezpieczeniową w ramach umowy grupowego ubezpieczenia zawartej z konkretnym ubezpieczycielem.. Zatem podstawą udostępnienia jest zgoda osoby, której dane dotyczą.
Rozważam inną koncepcję. Skoro pracodawca zawiera z ubezpieczycielem umowę na rzecz osób trzecich (pracownicy), to pracownik przestępując do umowy, musi przyjąć do wiadomości, że przesłanką przetwarzania nie może być jego zgoda, ale umowa. Zgodę można wycofać w każdej chwili, żądając usunięcia danych. Usuniemy?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Radosław Z.:
Kontrola na podstawie umowy powierzenia może dotyczyć TYLKO tych danych które zostały powierzone umową.
Nieprawda. Kontrola taka powinna dotyczyć też polityk bezpieczeństwa danych, wdrożenia środków ochrony, bezpieczeństwa systemów informatycznych, powierzenia danych do dalszego przetwarzania i tak dalej. Jeśli nie ma powierzenia, to nie widzę powodu, żeby ktoś miał się godzić na jakąkolwiek kontrolę. Dlaczego ktoś ma ponosić koszty umożliwienia kontrolującym wykonania czynności kontrolnych? Kto za to zapłaci? Kto weźmie odpowiedzialność za przekazanie samozwańczym kontrolującym informacji poufnych o sposobach zabezpieczenia danych? Na jakiej podstawie udostępniać samozwańczym kontrolującym tajemnice handlowe (umowy powierzenia przetwarzania danych osobowych)?

Jeżeli ktoś mnie nie przekona argumentami prawnymi, że rzeczywiście jestem jego procesorem, a nie odbiorcą danych, to do mojej organizacji z kontrolą wejdzie po moim trupie.
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Mikołaj C.:
Co do ubezpieczenia grupowego, moim zdaniem zakład ubezpieczeń również jest ADO. Podpisanie deklaracji przystąpienia do ubezpieczenia grupowego jest przecież formą wyrażenia zgody na objęcie pracownika ochrona ubezpieczeniową w ramach umowy grupowego ubezpieczenia zawartej z konkretnym ubezpieczycielem.. Zatem podstawą udostępnienia jest zgoda osoby, której dane dotyczą. Należy zadbać o właściwe klauzule informacyjne na deklaracji.

Ten temat nie daje mi spokoju, więc podrążę go jeszcze z tej strony :)

Mamy tu do czynienia z trzema relacjami:
Relacja #1 Pracownik - Pracodawca (ADO) cel: zatrudnienia, podst: prawo pracy
Relacja #2 Osoba - UBEZP (ADO) cel: objęcie ubezpieczeniem, podst: zgoda/umowa
Relacja #3 Pracodawca - UBEZP jako strony umowy ramowej na mocy, której UBEZP oferuje osobom usługę ubezpieczeniową na warunkach wynegocjowanych z Pracodawcą.

Bez tej umowy osoba/pracownik nie mogłaby zawrzeć umowy ubezpieczeniowej na takich warunkach (preferencyjnych), jakie wynegocjował Pracodawca. Aby UBEZP mógł świadczyć swoje usługi na w/w warunkach musi otrzymać od Pracodawcy informacje o statusie osoby/pracownika, czy nadal tam pracuje i przysługują mu te specjalne warunki. W tej sytuacji Pracodawca (ADO) przekazuje informacje o swoich pracownikach podmiotowi trzeciemu, aby ten mógł objąć ich świadczeniami, które dla swoich pracowników zapewnił im Pracodawca (ADO). Dla mnie zatem to Pracodawca jest ADO -> UBEZP jest procesorem.

I jeszcze jedno, z tego co się orientuję, to rzeczywiście pracownik wyraża zgodę na przetwarzanie, ale robi to na rzecz UBEZP, w praktyce zresztą odbywa się to na jego drukach.

No i tak to widzę.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Michał S.:
Mamy tu do czynienia z trzema relacjami:
Relacja #1 Pracownik - Pracodawca (ADO) cel: zatrudnienia, podst: prawo pracy
Relacja #2 Osoba - UBEZP (ADO) cel: objęcie ubezpieczeniem, podst: zgoda/umowa
Słusznie.
Relacja #3 Pracodawca - UBEZP jako strony umowy ramowej na mocy, której UBEZP oferuje osobom usługę ubezpieczeniową na warunkach wynegocjowanych z Pracodawcą.
Bez tej umowy osoba/pracownik nie mogłaby zawrzeć umowy ubezpieczeniowej na takich warunkach (preferencyjnych), jakie wynegocjował Pracodawca.
Słusznie. Jest to klasyczna umowa zawierana na rzecz osoby trzeciej. Patrz Kodeks cywilny.
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Mikołaj C.:
...
medycznej. Dodatkowo, umowa powierzenia uprawnia do kontroli procesora, a przecież pracodawca nie może (!!!) kontrolować dokumentacji medycznej

Ale czy prawo do kontroli procesora jest równoznaczne z dostępem do dokumentacji medycznej? Moim zdaniem MED może i powinien wykazać tylko prawidłowe wypełnianie obowiązków RODO a tutaj wgląd w same dane jest chyba zbędny.

Jeśli założymy, że to pracodawca jest ADO, to tak w ogóle może on kontrolować procesora, ale tylko w zakresie, który mu powierzył. Dane, których ADO jest firma MED w ogóle nie powinny pracodawcy interesować, i nie mogą.

Dodatkowo w art. 28 ust. 3 pod lit. h znajduje się zdanie, które być może rozwiązuje tę sprawę.

"W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych."

Reasumując, nadal stoję na stanowisku, że zarówno w tym przypadku, jak i poniżej opisanej sytuacji z firmą ubezpieczeniową, Administratorem jest Pracodawca a MED/UBEZP jest procesorem. Ale oczywiście dam się przekonać, że jest na odwrót.

Pozdrawiam,
MichałTen post został edytowany przez Autora dnia 06.04.18 o godzinie 15:13
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Kto jest administratorem da...




Wyślij zaproszenie do
Anuluj