Busse Grzybowska Odwołanie od decyzji ZUSPatrycja Busse – Grzybowska -
Świadczenia dobrostanowe a RODO – jakie dane pracodawca może zbierać, a gdzie zaczyna się ryzyko

Świadczenia dobrostanowe są dziś stałym elementem oferty pracodawców, ale pod względem RODO nie tworzą jednej prostej kategorii. Inaczej ocenia się kartę sportową, inaczej pakiet medyczny, jeszcze inaczej wsparcie psychologiczne, programy profilaktyczne czy aplikacje wellbeingowe. Z prawnego punktu widzenia kluczowe jest nie to, jak benefit nazywa dział HR, ale jakie dane są zbierane, po co, od kogo i komu są dalej przekazywane. RODO wymaga zgodności z prawem, ograniczenia celu i minimalizacji danych, a kodeks pracy dodatkowo ogranicza zakres informacji, których pracodawca może żądać od pracownika lub kandydata. Gdy w grę wchodzą dane o zdrowiu albo zdrowiu psychicznym, ryzyko rośnie jeszcze bardziej.

Z tego artykułu dowiesz się:

  • czym są świadczenia dobrostanowe z perspektywy prawa pracy i RODO
  • kiedy wystarczą zwykłe dane osobowe, a kiedy pojawiają się dane szczególnych kategorii
  • czy zgodę pracownika można traktować jako uniwersalne rozwiązanie
  • jak bezpiecznie organizować pakiety medyczne i wsparcie psychologiczne
  • co zmienia finansowanie świadczeń z ZFŚS
  • jakie błędy pracodawców pojawiają się najczęściej
  • jak zbudować bardziej trwały i bezpieczny model wdrożenia benefitów

    Potrzebujesz pomocy? Skorzystaj z porady!

    Czym są świadczenia dobrostanowe z perspektywy RODO?

    Świadczenia dobrostanowe to raczej praktyczna etykieta HR niż gotowa kategoria ustawowa. Pod tą nazwą mieszczą się bardzo różne rozwiązania, od prostych benefitów organizacyjnych po usługi dotykające zdrowia, kondycji psychicznej, sytuacji rodzinnej albo stylu życia pracownika. I właśnie dlatego nie da się zastosować jednego mechanicznego schematu RODO do całej tej grupy. Punkt wyjścia jest zawsze ten sam – trzeba ustalić cel przetwarzania, zakres danych i podstawę prawną dla konkretnego świadczenia, a nie dla samego modnego hasła wellbeing. Zasada ograniczenia celu i minimalizacji danych z art. 5 RODO działa tutaj bardzo mocno.

    W praktyce warto od razu rozdzielić trzy poziomy:

    • świadczenia, które wymagają tylko zwykłych danych identyfikacyjnych i organizacyjnych
    • świadczenia, które zahaczają o sytuację rodzinną lub socjalną pracownika
    • świadczenia, które wchodzą w dane dotyczące zdrowia fizycznego albo psychicznego

    To rozróżnienie jest kluczowe, bo dopiero ono pokazuje, czy pracodawca porusza się jeszcze w zwykłym reżimie danych pracowniczych, czy już w obszarze danych szczególnych kategorii z art. 9 RODO.

    Kiedy wystarczą zwykłe dane, a kiedy zaczynają się dane o zdrowiu?

    RODO definiuje dane dotyczące zdrowia szeroko – jako dane osobowe o zdrowiu fizycznym lub psychicznym, w tym o korzystaniu z usług opieki zdrowotnej, które ujawniają informacje o stanie zdrowia danej osoby. Jednocześnie art. 9 RODO co do zasady zakazuje przetwarzania takich danych, chyba że zachodzi jeden z wyjątków przewidzianych w rozporządzeniu. UODO przypomina też wprost, że dane o stanie zdrowia nie mogą być przetwarzane poza wyjątkami wskazanymi w art. 9 RODO.

    W praktyce zwykłe dane wystarczą najczęściej wtedy, gdy benefit wymaga jedynie:

    • imienia i nazwiska
    • służbowego albo prywatnego adresu e-mail
    • numeru identyfikacyjnego pracownika
    • informacji o wybranym wariancie świadczenia bez wchodzenia w powód zdrowotny

    Ryzyko rośnie wtedy, gdy pracodawca albo dostawca benefitu zaczyna pytać o:

    • diagnozy
    • wyniki badań
    • historię leczenia
    • terapię psychologiczną
    • korzystanie z określonych świadczeń zdrowotnych
    • stan fizyczny lub psychiczny ujawniający kondycję zdrowotną pracownika

    To właśnie w tym miejscu benefit przestaje być zwykłą usługą pracowniczą, a zaczyna wchodzić w szczególne kategorie danych.

    Czy zgoda pracownika rozwiązuje problem?

    Najczęstszy błąd polega na założeniu, że wystarczy zebrać zgodę od pracownika i temat jest zamknięty. Tymczasem kodeks pracy mówi wyraźnie, że zgoda pracownika lub kandydata może być podstawą przetwarzania innych danych niż podstawowy katalog kodeksowy, a przy danych szczególnych kategorii wyłącznie wtedy, gdy ich przekazanie następuje z inicjatywy pracownika albo kandydata. Dodatkowo brak zgody albo jej wycofanie nie może prowadzić do niekorzystnego traktowania ani negatywnych konsekwencji w zatrudnieniu.

    To oznacza w praktyce:

    • zgoda nie jest uniwersalnym biletem do zbierania wszystkiego
    • przy danych o zdrowiu trzeba szczególnie pilnować, czy to naprawdę pracownik wychodzi z inicjatywą ich przekazania
    • nie wolno budować modelu, w którym pracownik realnie czuje, że bez zgody na głębszą ingerencję straci benefit, szansę rozwojową albo dobrą pozycję w firmie

    Pakiet medyczny – gdzie kończy się rola pracodawcy?

    Pakiet medyczny to jeden z najlepszych przykładów, że nie wszystko powinno przechodzić przez pracodawcę. UODO przypomina, że dane o zdrowiu mogą być przetwarzane w celach profilaktyki zdrowotnej, medycyny pracy albo oceny zdolności pracownika do pracy, ale tylko przy zachowaniu warunków i zabezpieczeń z art. 9 ust. 3 RODO, a więc zasadniczo przez osoby związane obowiązkiem tajemnicy zawodowej.. To już pokazuje, że pracodawca nie powinien wchodzić głęboko w treść danych medycznych tylko dlatego, że finansuje świadczenie.

    Jeszcze ważniejsza jest praktyczna wskazówka z kodeksu postępowania dla sektora ochrony zdrowia zatwierdzonego pod auspicjami UODO. Wynika z niego, że podmiot leczniczy, który obejmuje pracowników opieką medyczną, również poza medycyną pracy, działa co do zasady jako odrębny administrator danych pacjentów w celach zdrowotnych, a nie zwykły procesor pracodawcy. Innymi słowy – w modelu benefitu medycznego rola pracodawcy powinna być ograniczona do minimum organizacyjnego, a właściwe dane zdrowotne powinny pozostawać po stronie podmiotu medycznego.

    Najbezpieczniejszy model praktyczny wygląda więc tak:

    • pracodawca przekazuje tylko dane potrzebne do objęcia pracownika świadczeniem
    • pracodawca nie zbiera diagnoz, wyników badań i historii leczenia
    • nie buduje wewnętrznej bazy zdrowotnej pracowników dla wygody administracyjnej
    • zostawia ocenę zdrowia, leczenie i dokumentację podmiotowi leczniczemu

    To zwykle najprostsza droga do ograniczenia ryzyka.

    Wsparcie psychologiczne i wellbeing app – dlaczego to bywa najtrudniejsze?

    Programy psychologiczne, aplikacje do samopoczucia, testy dobrostanu, ankiety o stresie, śnie, nastroju czy odporności psychicznej są szczególnie wrażliwe, bo bardzo łatwo zaczynają ujawniać dane o zdrowiu psychicznym. RODO ujmuje dane dotyczące zdrowia szeroko, a UODO w swoich materiałach sygnalizuje, że testowanie psychologiczne pracowników nie powinno być opierane wyłącznie na zgodzie. To oznacza, że im bardziej benefit przestaje być neutralnym udogodnieniem, a zaczyna pełnić funkcję oceny stanu psychicznego pracownika, tym większe ryzyko prawne.

    W praktyce szczególną ostrożność trzeba zachować, gdy program:

    • pyta o objawy psychiczne albo fizyczne
    • profiluje pracowników pod kątem odporności psychicznej, wypalenia czy obniżonego nastroju
    • łączy dane o aktywności z wnioskami zdrowotnymi
    • daje pracodawcy dostęp do wyników indywidualnych, a nie tylko anonimowych statystyk zbiorczych

    Im bardziej rozwiązanie wchodzi w obszar diagnozy, oceny lub profilowania zdrowia, tym słabiej wygląda model oparty wyłącznie na prostym checkboxie zgody. Tu naprawdę trzeba patrzeć nie na nazwę programu, ale na to, co system faktycznie robi z danymi.

      Potrzebujesz pomocy? Skorzystaj z porady!

      Świadczenia dobrostanowe z ZFŚS – inne zasady, inne dane

      Część świadczeń dobrostanowych bywa finansowana z zakładowego funduszu świadczeń socjalnych. Wtedy zmienia się logika przetwarzania danych. UODO przypomina, że przyznanie ulgowej usługi, świadczenia lub dopłaty z ZFŚS zależy od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej. To oznacza, że pracodawca może przetwarzać dane pracownika i członków jego rodziny potrzebne do ustalenia prawa do świadczenia oraz jego wysokości, a udostępnienie tych danych następuje w formie oświadczenia. Pracodawca może też żądać udokumentowania danych tylko w zakresie niezbędnym do ich potwierdzenia.

      To jest bardzo ważny wyjątek praktyczny:

      • przy benefitach finansowanych zwyczajowo z budżetu pracodawcy nie zawsze wolno pytać szeroko o sytuację rodzinną i zdrowotną
      • przy świadczeniach z ZFŚS prawo wprost wiąże świadczenie z sytuacją życiową, rodzinną i materialną
      • nadal jednak działa zasada niezbędności i minimalizacji

      Innymi słowy – ZFŚS daje pracodawcy silniejszą podstawę do zebrania określonych informacji, ale nie zwalnia go z obowiązku ograniczania zakresu danych do tego, co rzeczywiście potrzebne dla konkretnego świadczenia.

      Jak ułożyć proces zgodnie z RODO – praktyczna checklista

      Żeby taki program dało się obronić w dłuższej perspektywie, warto przejść przez prostą checklistę.

      Najpierw odpowiedz na pytania podstawowe:

      • jaki dokładnie jest cel świadczenia
      • jakie dane są naprawdę potrzebne
      • czy bez tych danych benefit nadal da się uruchomić
      • czy wchodzisz w dane o zdrowiu albo zdrowiu psychicznym
      • kto jest administratorem danych na każdym etapie
      • czy pracodawca naprawdę musi widzieć dane indywidualne

      Potem uporządkuj model przetwarzania:

      • rozdziel zwykłe benefity organizacyjne od świadczeń medycznych i psychologicznych
      • ogranicz rolę pracodawcy przy danych zdrowotnych do minimum
      • nie opieraj całego programu na domyślnej zgodzie pracownika
      • pamiętaj, że przy danych szczególnych kategorii inicjatywa pracownika ma znaczenie
      • dopuszczaj do danych zdrowotnych tylko osoby z pisemnym upoważnieniem i obowiązkiem zachowania tajemnicy, jeżeli taki model w ogóle ma zastosowanie po stronie pracodawcy

      Na końcu zadbaj o warstwę organizacyjną:

      • przekaż jasną informację o celu, zakresie, odbiorcach i okresie przechowywania
      • usuń dane, których nie potrzebujesz
      • nie przechowuj wyników ankiet i testów w nieskończoność
      • oddziel statystyki zbiorcze od danych indywidualnych
      • regularnie sprawdzaj, czy program nie rozrósł się ponad pierwotny cel

      To jest właśnie praktyczne przełożenie zasad z art. 5 RODO na politykę benefitową.

      Najczęstsze błędy pracodawców

      W tym obszarze najczęściej powtarzają się te same potknięcia:

      • wrzucenie wszystkich benefitów do jednego worka pod nazwą wellbeing
      • zbieranie większej ilości danych niż potrzeba
      • traktowanie zgody jak uniwersalnej podstawy dla wszystkiego
      • proszenie HR o dostęp do informacji zdrowotnych, które powinny pozostać po stronie podmiotu medycznego

      Największe ryzyko pojawia się zwykle nie wtedy, gdy firma daje kartę sportową, ale wtedy, gdy zaczyna przez taki program poznawać stan zdrowia, kondycję psychiczną albo sytuację rodzinną pracownika w zakresie szerszym niż to naprawdę konieczne. Właśnie tam najczęściej kończy się benefit, a zaczyna problem z RODO.

      Podsumowanie

      Świadczenia dobrostanowe nie są z punktu widzenia RODO jedną prostą kategorią. To, czy dany program jest bezpieczny prawnie, zależy od tego, jakie dane są zbierane i jaki model organizacyjny stoi za benefitem. Przy prostych rozwiązaniach wystarczą zwykłe zwykłe dane identyfikacyjne i organizacyjne. Gdy jednak program zaczyna ujawniać informacje o zdrowiu fizycznym lub psychicznym wchodzimy w obszar szczególnych kategorii danych, gdzie sama zgoda pracownika bardzo często okazuje się niewystarczającym rozwiązaniem.

      FAQ

      Czy świadczenia dobrostanowe zawsze wymagają zgody pracownika?

      Nie ma jednej odpowiedzi dla wszystkich benefitów. Zgoda może pojawiać się przy niektórych dodatkowych danych, ale nie jest uniwersalną podstawą dla każdego programu. Przy danych szczególnych kategorii Kodeks pracy dopuszcza zgodę tylko wtedy, gdy przekazanie danych następuje z inicjatywy pracownika.

      Czy pracodawca może pytać pracownika o stan zdrowia, żeby przyznać benefit?

      Co do zasady bardzo ostrożnie. Dane o zdrowiu są objęte zakazem przetwarzania z art. 9 RODO, chyba że zachodzi jeden z wyjątków. Sam fakt, że benefit dotyczy dobrostanu, nie daje automatycznego prawa do zbierania diagnoz czy informacji o leczeniu.

      Czy pakiet medyczny oznacza, że pracodawca może znać dane medyczne pracownika?

      Pracodawca nie powinien tak tego organizować. W modelu świadczeń zdrowotnych podmiot leczniczy co do zasady działa jako odrębny administrator danych pacjentów w celach zdrowotnych, a rola pracodawcy powinna być ograniczona do minimum organizacyjnego.

      Czy ankieta wellbeingowa o stresie i nastroju to już dane o zdrowiu?

      Może bardzo łatwo wejść w ten obszar. RODO szeroko definiuje dane dotyczące zdrowia jako dane ujawniające informacje o stanie fizycznym lub psychicznym albo o korzystaniu z usług zdrowotnych.

        Skorzystaj z porady

        Bardzo profesjonalne podejście do klienta i duża wiedza w zakresie prawa pracy. Zdecydowanie polecam.

        Adrian Koper Avatar Adrian Koper

        Kancelaria godna polecenia w 100%. Pełen profesjonalizm i doskonałe kompetencje. Ze strony Pani Katarzyny Klemby zawsze można liczyć na wsparcie i fachową pomoc w przypadku problemów związanych z ZUSem.

        Piotr Tauter Avatar Piotr Tauter

        Napisz komentarz

        Twój adres email nie zostanie opublikowany. Zaznaczone pola są obowiązkowe *