Dane osobowe pracowników – udostępniać czy powierzać?

dane osobowe pracowników

Jednym z wielu problemów powstających na gruncie UODO jest kwestia korzystania z danych osobowych pracowników w celach kontaktowych przez inne podmioty. W tym kontekście powstaje pytanie, czy korzystanie z danych osobowych pracowników przez inne podmioty powinno obywać się na zasadzie powierzenia przetwarzania danych, czy też na zasadzie udostępnienia tych danych?

Czy w ogóle te dane są przetwarzane?

Zgodnie z art. 7 pkt 2 UODO pod pojęciem przetwarzania danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w  systemach informatycznych. W tej definicji mieści się również przekazanie danych pracowników w celach  kontaktowych.

Powierzenie przetwarzania danych osobowych pracowników

Instytucja powierzenia przetwarzania danych osobowych nie jest wprost zdefiniowana w UODO. Ustawa zawiera natomiast wymogi dotyczące umów powierzenia przetwarzania danych osobowych – zgodnie z art. 31 ust. 1 UODO administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych osobowych. Natomiast zgodnie z ust. 2 wskazanego artykułu podmiot przetwarzający dane na podstawie umowy, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. W praktyce dzięki możliwości zawarcia umowy powierzenia przetwarzania danych administrator nie musi wykonywać wszystkich czynności z zakresu przetwarzania danych osobowych samodzielnie – jest to przydatne np. przy przeprowadzeniu akcji promocyjnej lub konkursu lub outsourcingu niektórych usług (np. usług księgowości). Należy jednak wskazać, że podmiot przetwarzający dane osobowe na zlecenie nie decyduje o środkach i celach przetwarzania, a jedynie dokonuje pewnych czynności na zlecenie administratora danych.

Udostępnienie danych osobowych pracowników

Jak wskazuje się w literaturze prawniczej w przepisach UODO brak legalnej definicji pojęcia udostępnienia danych osobowych, gdyż udostępnienie danych uznane zostało za jedną z form przetwarzania danych w art. 7 pkt 2 ustawy[1]. Z udostępnieniem danych osobowych będziemy mieli do czynienia wyłącznie wtedy, gdy odbiorcą danych jest inny administrator danych, a więc podmiot decydujący o celach i środkach przetwarzania danych osobowych[2].

Na marginesie warto także wskazać, że do wejścia w życie ustawy z dnia 29.10.2010 r.
(tj. do dnia 7.03.2011 r.) o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw jedna z postaci udostępnienia danych była przedmiotem szczególnej regulacji art. 29 i 30 UODO[3]. Uchylenie powyższej regulacji stworzyło pewną lukę dotyczącą tej postaci przetwarzania danych osobowych.

Udostępnienie danych osobowych ma miejsce w sytuacji, gdy podmiot, który korzysta z udostępnionych danych osobowych samodzielnie decyduje o celach i środkach przetwarzania danych osobowych (odwrotnie niż w przypadku powierzenia przetwarzania danych osobowych). W sytuacji kiedy dane udostępnianie są innemu administratorowi danych osobowych zawsze należy poszukiwać podstawy przetwarzania danych w art. 23 ust. 1 UODO. Jedną z przesłanek dopuszczalności przetwarzania danych osobowych w tej sytuacji będzie art. 23 ust. 1 pkt 5) UODO tj. przetwarzanie danych (ich udostępnianie) będzie dopuszczalne, gdyż jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Jeśli zatem pracodawca udostępnia dane osobowe swoich pracowników kontrahentowi w celu umożliwienia kontaktu z tymi pracownikami w celu realizacji kontraktu (podane dane obejmują imię, nazwisko, adres e-mail oraz telefon kontaktowy), to niewątpliwe nie jest konieczne w tym przypadku zawieranie umowy powierzenia przetwarzania danych osobowych – wystarczy powołać się w tej sytuacji na wskazany art. 23 ust. 1 pkt 5) UODO.

W innej sprawie – dotyczącej przetwarzania przez bank danych osobowych użytkowników przedpłaconych, imiennych kart płatniczych przekazywanych mu przez podmiot, z którym została zawarta umowa o wydanie tych kart – GIODO i sądy administracyjne[4]  stanęły na stanowisku, że bank, któremu dane są przekazywane, jest administratorem przekazywanych mu danych, a nie podmiotem, który przetwarza dane osobowe na podstawie umowy powierzenia przetwarzania tych danych[5]. W wydanym tej sprawie wyroku Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że „Na gruncie rozpoznawanej sprawy ze zbiorem danych osobowych użytkowników imiennych przedpłaconych kart płatniczych związanych jest dwóch administratorów, ponieważ zbiór ten pozostaje w dyspozycji dwóch podmiotów, którzy samodzielnie podejmują decyzje dotyczące celów i środków przetwarzania tych danych”.

Podobnie sytuacja będzie wyglądała, gdy administrator danych przekaże dane osobowe pracowników uprawnionych do dokonywania zakupów w supermarkecie, czy w przypadku udostępnienia danych osobowych pracowników firmom prowadzącym szkolenia w celu przygotowania list obecności lub ich sprawdzenia. Identycznie należy ocenić stan faktyczny, w którym podmiot zatrudniający pracowników udostępnia dane osobowe innemu podmiotowi, aby ten założył konta dla tych osób w systemie informatycznym. Podstawy dopuszczalności przetwarzania danych można poszukiwać, także w innych punktach w/w przepisu – m.in. przetwarzanie danych (ich udostępnienie) może się odbywać na podstawie zgody osoby, której te dane dotyczą (art. 23 ust. 1 pkt 1 UODO) lub przetwarzanie danych jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 UODO). W przypadku przetwarzania danych na podstawie art. 23 ust. 1 pkt 2 UODO należy jednak zawsze wskazać precyzyjnie podstawę prawną, z której wynika uprawnienie lub obowiązek do udostępnienia danych.

Obowiązek informacyjny (art. 25 UODO)

Oprócz ustalenia właściwej podstawy prawnej przy udostępnieniu danych należy także pamiętać, że art. 25 ust. 1 UODO nakłada na administratorów danych, w przypadku zbierania danych osobowych nie od osoby, której dane dotyczą, obowiązek poinformowania tej osoby, bezpośrednio po utrwaleniu zebranych danych, o:

– adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;

– celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych;

– źródle danych;

– prawie dostępu do treści swoich danych oraz ich poprawiania;

– uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.

Natomiast zgodnie z art. 25 ust. 2 pkt 6) UODO powyższe informacje nie muszą zostać przekazane jeśli osoba, której dane dotyczą, posiada informacje, o których mowa w art. 25 ust. 1 UODO.

W związku z powyższym należy w każdej sytuacji korzystania z danych osobowych przez innego administratora dopełnić także obowiązku informacyjnego we wskazanym powyżej zakresie.

Autor: Paweł Fedczyszyn, adwokat

Przypisy:

[1] Paweł Litwiński, Paweł Barta  [w:] Ustawa o ochronie danych osobowych. Komentarz, wyd. 3, C.H.Beck, art. 7, nb. 33.

[2] ibidem

[3] Paweł Litwiński, Paweł Barta  [w:] Ustawa o ochronie danych osobowych. Komentarz, wyd. 3, C.H.Beck, art. 23, nb. 13.

[4] decyzja GIODO o znaku DIS/DEC-306/12915/08 – http://www.giodo.gov.pl/plik/id_p/3667/j/pl/, wyrok WSA w Warszawie o sygn. II SA/Wa 1242/08 – http://orzeczenia.nsa.gov.pl/doc/C89FFB2B3E, wyrok NSA o sygn. I OSK 227/09 – http://orzeczenia.nsa.gov.pl/doc/1828DBA6BE

[5] W powyższej sprawie GIODO oraz sądy administracyjne uznały, że właściwą podstawą przetwarzania danych (udostępnienia) będzie zgoda pracownika.

About Redakcja 304 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.