GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Absurdy RODO – powierzanie danych kontaktowych pracowników

Wejście w życie Ogólnego Rozporządzenia o Ochronie Danych, zwanego dalej Rozporządzeniem 679/2016/UE lub RODO spowodowało znaczne zainteresowanie tematyką ochrony danych osobowych. Konsekwencją tej sytuacji jest zwiększenie liczby pomysłów na to, jak należycie zastosować jego przepisy. Jednym z mniej trafionych jest powierzanie przez administratora danych osobowych swoich pracowników w celu umożliwienia utrzymywania kontaktów ze współpracującymi podmiotami.

Ustalenie ról w procesie przetwarzania

Zgodnie z Rozporządzeniem 679/2016/UE podmioty zaangażowane w operacje przetwarzania danych osobowych mogą występować w dwóch podstawowych rolach: administratora lub podmiotu przetwarzającego. Zgodnie z art. 4 ust. 7) RODO administrator: „oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”. Natomiast w myśl definicji zawartej w art. 4 ust. 8) Rozporządzenia 679/2016/UE podmiot przetwarzający: „oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.”

Powierzanie danych kontaktowych

Tak jak wskazano powyżej, w praktyce zaczęto stosować rozwiązania polegające na tym, że w przypadku współpracy dwóch podmiotów zawiera się umowy powierzenia przetwarzania danych osobowych, zgodnie z art. 28 RODO, dotyczące danych kontaktowych pracowników. Innymi słowy, administrator danych swoich pracowników powierza ich podstawowe dane, tj. imię, nazwisko, służbowy numer telefonu oraz służbowy adres poczty elektronicznej drugiemu podmiotowi, który w tej relacji staje się podmiotem przetwarzającym. Co więcej zaczęto stosować „wzajemne umowy powierzenia”, które polegały na tym, że na początku takiej umowy wskazywano, że każdy z podmiotów jest administratorem w odniesieniu do danych osobowych swoich pracowników oraz podmiotem przetwarzającym w odniesieniu do danych osobowych pracowników kontrahenta.

Interpretacja RODO

Zdaniem Omni Modo wyżej wskazana interpretacja i co za tym idzie przyporządkowanie ról jest nieprawidłowe. Naturalnie każdy podmiot jest administratorem danych osobowych swoich pracowników na podstawie art. 6 ust. 1 lit. c) Rozporządzenia, tj. ponieważ przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”. Obowiązek ten jest skonkretyzowany w art. 22¹ Ustawy z dnia 26 czerwca 1974 .r Kodeks Pracy (Dz. U. z 2018 r. poz. 917), który „pozwala” (a w połączeniu z innymi przepisami sektorowymi w praktyce nakazuje) pracodawcy na przetwarzanie określonych kategorii danych osobowych pracownika, w tym wyżej wskazanych „danych podstawowych”. Jednakże w przypadku przekazania danych osobowych pracownika
w zakresie imienia, nazwiska, służbowego numeru telefonu oraz służbowego adresu poczty elektronicznej w celu zapewnienia komunikacji w związku ze współpracą biznesową trudno jest mówić o powierzeniu przetwarzania danych osobowych. Podmiot, który otrzymuje dane osobowe  pracowników zatrudnionych przez swojego kontrahenta nie przetwarza ich dla celów tego kontrahenta a dla swoich własnych. Komunikacja pomiędzy uczestnikami życia gospodarczego w związku z prowadzonymi wspólnie interesami stanowi w oczywisty sposób prawnie uzasadniony interes każdego z tych podmiotów – nie da się prowadzić działalności bez kontaktu z innymi podmiotami na rynku. Tymczasem w ramach takiego kontaktu może dochodzić do przetwarzania danych osobowych.

Stanowisko organu  nadzorczego i sądów

Warto w tym miejscu przywołać stanowisko ówczesnego Generalnego Inspektora Ochrony Danych Osobowych wyrażone w kwestii udostępniania danych osobowych pracowników. GIODO stwierdził, że pracodawca ma prawo opublikować na swoich stronach internetowych dane osobowe pracowników takie jak imiona i nazwisko oraz dokładne miejsce pracy obejmujące numer telefonu oraz adres poczty elektronicznej (czyli innymi słowy służbowy numer telefonu oraz adres poczty elektronicznej) bez zgody tych pracowników. Jednocześnie GIODO powołał się na wyrok Sądu Najwyższego z dnia 19 listopada 2003 r.; sygn. I PK 590/02, zgodnie z którym: najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie, a funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi – z kontrahentami, klientami (…). Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika.(…) Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, że zgodnie z powszechną praktyką są one zasadniczo jawne” (stanowisko dostępne pod adresem  https://giodo.gov.pl/pl/348/1118 , dostęp 7 sierpnia 2018 r.).

Na co należy zwrócić uwagę?

Tak jak wskazano powyżej, w przypadku danych kontaktowych pracowników w związku z prowadzoną współpracą biznesową dochodzi do udostępnienia danych osobowych przez jednego administratora drugiemu, odrębnemu administratorami. W związku z tym nie trzeba podpisywać umowy powierzenia. Jednakże na podmiocie odbierającym dane osobowe ciąży obowiązek spełnienia obowiązku informacyjnego o którym mowa w art. 14 RODO, który nakłada obowiązek przekazania informacji w przypadku gdy dane osobowe są pozyskiwane w sposób inny niż od osoby, której dane dotyczą. Ww. obowiązek zawiera szereg obligatoryjnych elementów obejmujących: 1) tożsamość i dane kontaktowe administratora; 2) dane kontaktowe inspektora ochrony danych (oraz jego imię i nazwisko co wynika z nowo uchwalonej ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych – Dz. U. z 2018 r. poz. 1000); 3) cele oraz podstawę prawną przetwarzania; 4) kategorie danych osobowych; 5) informacje o odbiorcach lub kategoriach odbiorców danych, jeżeli istnieją; 6) informacje o zamiarze przekazania danych poza Europejski Obszar Gospodarczy, 7) okres przechowywania danych osobowych, 8) opis prawnie uzasadnionego interesu administratora; 9) informacje o prawach przysługujących osobie, której dane dotyczą; 10) informacje o prawie wniesienia skargi do organu nadzorczego, 11) informacje o źródle danych oraz 12) ewentualną informację o zautomatyzowanym podejmowaniu decyzji w tym profilowaniu.

Jak informować pracowników?

Jak widać ilość informacji, którą należy podać jest bardzo duża. Rozporządzenie 679/2016/UE pozostawia swobodę co do formy ich podania, przy czym jednym z rozwiązań jest tzw. warstwowy obowiązek informacyjny. Rozwiązanie to polega na tym, że rozdziela się obowiązek informacyjny, pod warunkiem że pozostałe informacje są łatwo dostępne. Zgodnie z wytycznymi Grupy Roboczej Art. 29 w sprawie przejrzystości zgodnie z Rozporządzeniem 679/2016/UE (WP260) pierwsza warstwa obowiązku informacyjnego musi zawierać: 1) tożsamość administratora danych 2) cele przetwarzania danych 3) prawa, przysługujące osobie, której dane dotyczą oraz 4) informacje o przetwarzaniu, które ma największy wpływ na osobę, której dane dotyczą oraz przetwarzaniu, które mogłoby ją zaskoczyć. W praktyce ww. obowiązek można jeszcze skrócić. Punkt 4) nie musi być co do zasady uwzględniany
w omawianym przypadku, ponieważ trudno aby doszło do znacznego wpływu na osobę lub do jej zaskoczenia w związku z przetwarzaniem podstawowych danych w celach kontaktów w związku
z wykonywaniem przez nią pracy. Tak więc dopuszczalnym rozwiązaniem jest przekazanie pierwszej warstwy obowiązku informacyjnego w treści wiadomości elektronicznej przesłanej do osoby, pod warunkiem, że zawiera ona bezpośredni link do pełnej treści obowiązku informacyjnego umieszczonego na stronie internetowej. Należy również w tym miejscu przypomnieć, że obowiązek informacyjny w przypadku pozyskiwania danych z innego źródła niż osoba, której dane dotyczą musi być spełniony w terminie 30 dni lub przy pierwszym kontakcie z tą osobą, w zależności od tego, który z tych warunków będzie spełniony jako pierwszy.

Podsumowanie

Reasumując, w przypadku przekazania danych osobowych pracowników przez pracodawcę w celach kontaktowych innemu podmiotowi w zakresie imienia, nazwiska, służbowego numeru telefonu oraz służbowego adresu poczty elektronicznej nie dochodzi do powierzenia przetwarzania danych a do ich udostępnienia. W związku z tym nie trzeba podpisywać umowy powierzenia przetwarzania danych, natomiast podmiot odbierający dane musi spełnić obowiązek informacyjny, o którym mowa w art. 14 RODO jako odrębny administrator danych.