Czy konieczne jest realizowanie obowiązku informacyjnego wobec członków rodziny pracownika zgłaszanych przez pracodawcę do ubezpieczenia zdrowotnego?
Nad powyższym pytaniem zastanawiali się pracodawcy, których pracownicy chcieli zgłosić do ubezpieczenia swoich członków rodzin. Prezes Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”) w swoim stanowisku stwierdził, że pracodawca nie ma obowiązku informowania członków rodziny pracownika o przetwarzaniu ich danych osobowych w związku ze zgłoszeniem ich do ubezpieczenia zdrowotnego.
Wyjątek taki został oparty na art. 14 ust. 5 lit. c RODO, tj. gdy pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i przewidujące odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą. Warto podkreślić, że tego rodzaju ogólne zwolnienie obejmuje jedynie gromadzenie danych z innych źródeł (tutaj od pracownika, nie zaś bezpośrednio od członka rodziny), natomiast nie przewidziano go w odniesieniu do gromadzenia danych od osób, których dane dotyczą.
Zastosowanie takiego wyjątku wymaga, aby przepisy wyraźnie regulujące przetwarzanie danych przewidywały jednocześnie odpowiednie środki chroniące prawa osób, których dane poddawane są przetwarzaniu. Pojawiały się jednak wątpliwości, kto może dokonać oceny tego, czy przepisy przewidują odpowiednie środki: czy może być to administrator danych czy jednak powinien być to prawodawca.
W opinii Prezesa UODO przetwarzanie danych członka rodziny w zgłoszeniu do ubezpieczenia jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, czyli pracodawcy-płatniku (art. 6 ust. 1 lit. c RODO).
Przepisy ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych stanowią podstawę do zastosowania wyjątku opisanego powyżej. Przewidują one obowiązek zgłoszenia członków rodziny pracownika do ubezpieczenia w przypadku zaistnienia wskazanych w ustawie przesłanek (np. małżonek pracownika utraci tytuł do ubezpieczenia), właściwy krąg osób uprawnionych do zgłoszenia, tryb samego zgłoszenia oraz wyrejestrowania. Pracownik powinien poinformować swoje pracodawcę o zaistnieniu przesłanek do zgłoszenia do ubezpieczenia albo wyrejestrowania z takiego ubezpieczenia członka rodziny w ciągu 7 dni od zaistnienia tych przesłanek.
Z kolei rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 20 grudnia 2018 r. w sprawie określenia wzorów zgłoszeń do ubezpieczeń społecznych i ubezpieczenia zdrowotnego, imiennych raportów miesięcznych i imiennych raportów miesięcznych korygujących, zgłoszeń płatnika składek, deklaracji rozliczeniowych i deklaracji rozliczeniowych korygujących, zgłoszeń danych o pracy w szczególnych warunkach lub o szczególnym charakterze, raportów informacyjnych, oświadczeń o zamiarze przekazania raportów informacyjnych oraz innych dokumentów przewiduje właściwy formularz ZUS ZCNA, który pracownik wypełnia i przekazuje pracodawcy-płatnikowi. Dodatkowo ubezpieczony, który nie poinformuje podmiotu właściwego do dokonania zgłoszenia do ubezpieczenia zdrowotnego o okolicznościach powodujących konieczność zgłoszenia lub wyrejestrowania członka rodziny, podlega karze grzywny. Według Prezesa UODO to właśnie powyższe regulacje mają zapewniać odpowiednią ochronę prawnie uzasadnionych interesów osoby, której dane dotyczą.
Przypomnijmy, że w sytuacji gromadzenia danych osobowych bez udziału podmiotu danych niedopełnienie obowiązku informacyjnego skutkować może nałożeniem na administratora administracyjnej kary pieniężnej w maksymalnej przewidzianej przepisami RODO wysokości, tj. do 20 mln euro, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Kara za niedopełnienie tego obowiązku była już nałożona przez Prezesa UODO na spółkę pozyskującą dane z publicznie dostępnych rejestrów. Kara wyniosła 943 tys. zł i wzbudzała kontrowersje dotyczące tego, czy wysoki koszt spełnienia obowiązku informacyjnego może być traktowany jako nadmierny wysiłek, który uzasadniałby odstąpienie od tego obowiązku zgodnie z art. 14 ust. 5 lit. a RODO. Niewspółmiernie duży wysiłek również stanowi jedno z wyłączeń od obowiązku przekazywania klauzuli informacyjnej podmiotom danych.
Jednoznaczne stanowisko Prezesa UODO należy więc ocenić pozytywnie, w szczególności wobec możliwych trudności z przekazaniem właściwej informacji do członków rodzin zgłaszanych do ubezpieczeń oraz dużej ilości takich sytuacji. Wypowiedź Prezesa UODO, choć nie jest źródłem prawa, będzie ważną wskazówką interpretacyjną dla administratorów danych.
Nadal jednak nie zostały rozwiane wątpliwości dotyczące innych sytuacji, gdzie pracodawca przetwarza dane członków rodziny pracownika. Stanowisko Prezesa UODO odnosi się bowiem jedynie do obowiązkowego ubezpieczenia zdrowotnego, natomiast już nie odpowiada na pytanie, czy obowiązek istnieje w przypadku zgłaszania członków rodziny do dodatkowych benefitów pracowniczych (przykładowo ubezpieczenia fakultatywne), czy nawet podawania danych członka rodziny jako kontaktu w razie wypadku.