Dane osobowe pracowników – udostępniać czy powierzać?

dane osobowe pracowników

Jednym z wielu problemów powstających na gruncie UODO jest kwestia korzystania z danych osobowych pracowników w celach kontaktowych przez inne podmioty. W tym kontekście powstaje pytanie, czy korzystanie z danych osobowych pracowników przez inne podmioty powinno obywać się na zasadzie powierzenia przetwarzania danych, czy też na zasadzie udostępnienia tych danych?

Czy w ogóle te dane są przetwarzane?

Zgodnie z art. 7 pkt 2 UODO pod pojęciem przetwarzania danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w  systemach informatycznych. W tej definicji mieści się również przekazanie danych pracowników w celach  kontaktowych.

Powierzenie przetwarzania danych osobowych pracowników

Instytucja powierzenia przetwarzania danych osobowych nie jest wprost zdefiniowana w UODO. Ustawa zawiera natomiast wymogi dotyczące umów powierzenia przetwarzania danych osobowych – zgodnie z art. 31 ust. 1 UODO administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych osobowych. Natomiast zgodnie z ust. 2 wskazanego artykułu podmiot przetwarzający dane na podstawie umowy, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. W praktyce dzięki możliwości zawarcia umowy powierzenia przetwarzania danych administrator nie musi wykonywać wszystkich czynności z zakresu przetwarzania danych osobowych samodzielnie – jest to przydatne np. przy przeprowadzeniu akcji promocyjnej lub konkursu lub outsourcingu niektórych usług (np. usług księgowości). Należy jednak wskazać, że podmiot przetwarzający dane osobowe na zlecenie nie decyduje o środkach i celach przetwarzania, a jedynie dokonuje pewnych czynności na zlecenie administratora danych.

Udostępnienie danych osobowych pracowników

Jak wskazuje się w literaturze prawniczej w przepisach UODO brak legalnej definicji pojęcia udostępnienia danych osobowych, gdyż udostępnienie danych uznane zostało za jedną z form przetwarzania danych w art. 7 pkt 2 ustawy[1]. Z udostępnieniem danych osobowych będziemy mieli do czynienia wyłącznie wtedy, gdy odbiorcą danych jest inny administrator danych, a więc podmiot decydujący o celach i środkach przetwarzania danych osobowych[2].

Na marginesie warto także wskazać, że do wejścia w życie ustawy z dnia 29.10.2010 r.
(tj. do dnia 7.03.2011 r.) o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw jedna z postaci udostępnienia danych była przedmiotem szczególnej regulacji art. 29 i 30 UODO[3]. Uchylenie powyższej regulacji stworzyło pewną lukę dotyczącą tej postaci przetwarzania danych osobowych.

Udostępnienie danych osobowych ma miejsce w sytuacji, gdy podmiot, który korzysta z udostępnionych danych osobowych samodzielnie decyduje o celach i środkach przetwarzania danych osobowych (odwrotnie niż w przypadku powierzenia przetwarzania danych osobowych). W sytuacji kiedy dane udostępnianie są innemu administratorowi danych osobowych zawsze należy poszukiwać podstawy przetwarzania danych w art. 23 ust. 1 UODO. Jedną z przesłanek dopuszczalności przetwarzania danych osobowych w tej sytuacji będzie art. 23 ust. 1 pkt 5) UODO tj. przetwarzanie danych (ich udostępnianie) będzie dopuszczalne, gdyż jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Jeśli zatem pracodawca udostępnia dane osobowe swoich pracowników kontrahentowi w celu umożliwienia kontaktu z tymi pracownikami w celu realizacji kontraktu (podane dane obejmują imię, nazwisko, adres e-mail oraz telefon kontaktowy), to niewątpliwe nie jest konieczne w tym przypadku zawieranie umowy powierzenia przetwarzania danych osobowych – wystarczy powołać się w tej sytuacji na wskazany art. 23 ust. 1 pkt 5) UODO.

W innej sprawie – dotyczącej przetwarzania przez bank danych osobowych użytkowników przedpłaconych, imiennych kart płatniczych przekazywanych mu przez podmiot, z którym została zawarta umowa o wydanie tych kart – GIODO i sądy administracyjne[4]  stanęły na stanowisku, że bank, któremu dane są przekazywane, jest administratorem przekazywanych mu danych, a nie podmiotem, który przetwarza dane osobowe na podstawie umowy powierzenia przetwarzania tych danych[5]. W wydanym tej sprawie wyroku Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że „Na gruncie rozpoznawanej sprawy ze zbiorem danych osobowych użytkowników imiennych przedpłaconych kart płatniczych związanych jest dwóch administratorów, ponieważ zbiór ten pozostaje w dyspozycji dwóch podmiotów, którzy samodzielnie podejmują decyzje dotyczące celów i środków przetwarzania tych danych”.

Podobnie sytuacja będzie wyglądała, gdy administrator danych przekaże dane osobowe pracowników uprawnionych do dokonywania zakupów w supermarkecie, czy w przypadku udostępnienia danych osobowych pracowników firmom prowadzącym szkolenia w celu przygotowania list obecności lub ich sprawdzenia. Identycznie należy ocenić stan faktyczny, w którym podmiot zatrudniający pracowników udostępnia dane osobowe innemu podmiotowi, aby ten założył konta dla tych osób w systemie informatycznym. Podstawy dopuszczalności przetwarzania danych można poszukiwać, także w innych punktach w/w przepisu – m.in. przetwarzanie danych (ich udostępnienie) może się odbywać na podstawie zgody osoby, której te dane dotyczą (art. 23 ust. 1 pkt 1 UODO) lub przetwarzanie danych jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 UODO). W przypadku przetwarzania danych na podstawie art. 23 ust. 1 pkt 2 UODO należy jednak zawsze wskazać precyzyjnie podstawę prawną, z której wynika uprawnienie lub obowiązek do udostępnienia danych.

Obowiązek informacyjny (art. 25 UODO)

Oprócz ustalenia właściwej podstawy prawnej przy udostępnieniu danych należy także pamiętać, że art. 25 ust. 1 UODO nakłada na administratorów danych, w przypadku zbierania danych osobowych nie od osoby, której dane dotyczą, obowiązek poinformowania tej osoby, bezpośrednio po utrwaleniu zebranych danych, o:

– adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;

– celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych;

– źródle danych;

– prawie dostępu do treści swoich danych oraz ich poprawiania;

– uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.

Natomiast zgodnie z art. 25 ust. 2 pkt 6) UODO powyższe informacje nie muszą zostać przekazane jeśli osoba, której dane dotyczą, posiada informacje, o których mowa w art. 25 ust. 1 UODO.

W związku z powyższym należy w każdej sytuacji korzystania z danych osobowych przez innego administratora dopełnić także obowiązku informacyjnego we wskazanym powyżej zakresie.

 

Przypisy:

[1] Paweł Litwiński, Paweł Barta  [w:] Ustawa o ochronie danych osobowych. Komentarz, wyd. 3, C.H.Beck, art. 7, nb. 33.

[2] ibidem

[3] Paweł Litwiński, Paweł Barta  [w:] Ustawa o ochronie danych osobowych. Komentarz, wyd. 3, C.H.Beck, art. 23, nb. 13.

[4] decyzja GIODO o znaku DIS/DEC-306/12915/08 – http://www.giodo.gov.pl/plik/id_p/3667/j/pl/, wyrok WSA w Warszawie o sygn. II SA/Wa 1242/08 – http://orzeczenia.nsa.gov.pl/doc/C89FFB2B3E, wyrok NSA o sygn. I OSK 227/09 – http://orzeczenia.nsa.gov.pl/doc/1828DBA6BE

[5] W powyższej sprawie GIODO oraz sądy administracyjne uznały, że właściwą podstawą przetwarzania danych (udostępnienia) będzie zgoda pracownika.

About Paweł Fedczyszyn 1 Article
Adwokat, absolwent prawa na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie. Doktorant na Wydziale Prawa i Administracji UJ w Katedrze Prawa Własności Intelektualnej. Współpracował z renomowanymi kancelariami specjalizującymi się w obsłudze klientów w obszarze prawa własności intelektualnej, ochrony danych osobowych oraz prawa konkurencji. Doradzał firmom z sektora FMCG oraz działającym na rynku medycznym. Jego zainteresowania obejmują również zagadnienia prawa procesowego oraz prawa umów w obrocie gospodarczym. Absolwent studiów podyplomowych z zakresu dziennikarstwa w Wyższej Szkole Europejskiej im. Ks. Józefa Tischnera w Krakowie oraz Zarządzania Mediami i Kulturą w Instytucie Kultury Uniwersytetu Jagiellońskiego.