Upoważnienie do przetwarzania danych osobowych
AnalizyPoradniki

Dane kontaktowe pracowników w umowie – powierzać czy nie powierzać, oto jest pytanie…

21 gru 2018
4

Od momentu rozpoczęcia stosowania Ogólnego rozporządzenia o ochronie danych osobowych minęło już ponad pół roku, ale w dalszym ciągu nowe przepisy wzbudzają sporą niepewność. Do organu nadzorczego wpłynęło, jak do tej pory ponad 3 tysiące zgłoszeń, co jest znaczącą ilością, mając na uwadze poprzednie lata funkcjonowania urzędu. Powyższe dowodzi nie tylko rozmiaru wątpliwości jakie wzbudza stosowanie RODO, ale również wzrostu świadomości wśród obywateli.

Jednak niejednokrotnie zwiększenie świadomości nie idzie w parze z rzetelną wiedzą oraz praktyką w zakresie ochrony danych osobowych, a jednym z przykładów jest zawieranie umów powierzenia, w przypadkach, gdy jest to nieuzasadnione i niepotrzebne. Jedną ze wskazówek w tym zakresie znajdą Państwo w naszym dzisiejszym artykule.

Żadna nowość…

Sama idea zawierania umów powierzenie przetwarzania danych osobowych, nie jest nowością na gruncie RODO. Przepisy regulujące te kwestie, były znane już w poprzednim stanie prawnym, czyli na gruncie ustawy o ochronie danych osobowych z 29 sierpnia 1997 roku. Jedyną zmianą, jak zaszła w tym zakresie jest konstrukcja umowy oraz możliwość skorzystania, w tej materii z innego instrumentu prawnego.

Z powierzeniem przetwarzania danych osobowych mamy do czynienia w sytuacji gdy inny podmiot ma wykonać w naszym imieniu pewne operacje na danych osobowych. Klasycznymi przykładami sytuacji, w których dochodzi do powierzenia przetwarzania danych osobowych jest outsourcing kadr lub outsourcing IT.I

Tak samo jak znana była wcześniej konstrukcja umowy powierzenia, tak również w obrocie prawnym od samego początku dochodziło do wymiany między współpracującymi podmiotami danych kontaktowych pracowników w umowach o współpracy. Nie jest to sytuacja nowa, jednak dopiero od 25 maja tego roku zaczęła ona wzbudzać niepokój wśród wielu przedsiębiorców, a konsekwencją tego są spływające do firm umowy powierzenia przetwarzania danych osób kontaktowych lub nawet umowy wzajemnego powierzenia przetwarzania danych osobowych.

Co na to wszystko organ ochrony danych osobowych?

Temat danych kontaktowych pracowników został poruszony przez Generalnego Inspektora Ochrony Danych Osobowych kilka lat temu -w swoim stanowisku organ powołał się również na jeden z wyroków Sądu Najwyższego.

Poniżej fragment wspomnianego stanowiska:

"Imię, nazwisko, stanowisko oraz adres służbowy e-mail stanowią tzw. dane służbowe, których wykorzystywanie przez pracodawcę nie wymaga zgody osoby (pracownika), której dane dotyczą. Informacje te są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Takie też stanowisko zajął Sąd Najwyższy, który w wyroku z 19 listopada 2003 r. (I PK 590/02) orzekł, że: „(...) nazwisko i imię jest z natury rzeczy skierowanym na zewnątrz znakiem rozpoznawczym osoby fizycznej i wymienienie go (ujawnienie) przez inny podmiot w celu identyfikacji danej osoby nie może być zasadniczo uznane za bezprawne, o ile ze względu na okoliczności towarzyszące nie łączy się to z naruszeniem innego jej dobra, np. czci, godności osobistej lub prywatności”. W dalszej części uzasadnienia Sąd wskazał, że „funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi – z kontrahentami, klientami, administracją publiczną itd. Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika. W normalnym bowiem układzie nie ma racjonalnych powodów, dla których pracownik byłby zainteresowany zachowaniem w tajemnicy swojego nazwiska, a co za tym idzie, faktu związania z danym zakładem pracy. Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, że zgodnie z powszechną praktyką są one zasadniczo jawne”. Zdaniem Sądu Najwyższego: „należy przyjąć, że ujawnienie przez pracodawcę nazwiska pracownika musi być usprawiedliwione celem działania pracodawcy, łączącym się z jego zadaniami i obowiązkami związanymi z prowadzeniem zakładu, musi być niezbędne oraz nie może naruszać praw i wolności pracownika."

Więc jak być zgodnym z RODO, w tym zakresie?

Jak ustaliliśmy powyżej, brak jest podstaw do tego, aby dane kontaktowe pracowników powierzyć, ale nie rozwiązuje to problemu – jak legalnie przekazać je naszemu klientowi czy kontrahentowi?

Odpowiedzią na to pytanie jest udostepnienie danych, bowiem jedną z operacji jaką administrator danych osobowych (a niewątpliwie ADO danych pracowników, jest ich pracodawca) może wykonać na danych osobowych jest właśnie ich udostepnienie.

Z udostepnieniem mamy do czynienia w sytuacji, gdy odbiorcą danych jest inny administrator. W związku z tym, udostępnienie nastąpi wtedy, gdy administrator danych osobowych przekaże bądź umożliwi zapoznanie się z danymi innemu podmiotowi, a podmiot ten będzie pełnił w stosunku do tych danych funkcję administratora. Nasz klient lub kontrahent niewątpliwie będzie wykorzystywać dane kontaktowe naszych pracowników do swoich własnych celów, np. komunikacji.

Danych osobowych nie możne jedna od tak, po prostu udostępnić, musimy posiadać na to właściwą podstawę prawną, której należy szukać odpowiednio w art. 6, 9 lub 10 RODO.

Naszym zdaniem właściwej podstawy prawnej do udostepnienie danych kontaktowych pracowników przez pracodawcę jego kontrahentowi należy upatrywać w art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes. Komunikacja pomiędzy stronami umowy jest bardzo istotnym składnikiem obrotu gospodarczego i trudno byłoby sobie wyobrazić wzajemną współpracę bez możliwości kontaktów. W tym przypadku prawnie uzasadnionym interesem administratora danych jest umożliwienie prawidłowej realizacji umowy między stronami, komunikacja z osobami kontaktowymi w zakresie realizacji umowy.
Należy jednak pamiętać, że na administratorze, któremu ujawniono dane osobowe spoczywa obowiązek informacyjny wtórny z art. 14 RODO. Musi on poinformować osobę, której dane dotyczą między innymi o tym, kto jest administratorem danych oraz jakie jest źródło danych. Rozwiązaniem w tym przypadku jest np. spełnienie obowiązku informacyjnego warstwowo lub scedowanie przekazania tych informacji w naszym imieniu przez klienta lub kontrahenta poprzez odpowiednie zapisy w umowie. Powinniśmy mieć, także na uwadze, że obowiązek informacyjny wtórny nie ma charakteru absolutnego i w niektórych przypadkach może zajść wyłączenie zgodnie z art. 14 ust. 5 RODO – o czym w Naszym artykule Tutaj: https://blog-daneosobowe.pl/obowiazek-informacyjny-rodo-cz-3/.

A zatem…

Podsumowując, właściwą podstawa prawną do przekazania danych kontaktowych naszych pracowników jest prawnie uzasadniony interes. Częstym błędem w tym zakresie jest powoływanie się przez administratorów na przesłankę z art. 6 ust. 1 lit. b) – niezbędność do wykonania umowy. Jednak należy pamiętać, że przesłanka ta legalizuje jedynie przetwarzania danych osobowych stron umowy, stroną umowy z klientem lub kontrahentem jest jednak pracodawca, a nie pracownik.

Pobierz artykuł w PDF

Źródła:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych).
Prawnik, absolwentka Wydziału Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie. Ukończyła również studia podyplomowe „Wykonywanie funkcji inspektora ochrony danych” organizowane przez Instytutu Nauk Prawnych Polskiej Akademii Nauk. Doświadczenie zawodowe zdobywała w kancelariach oraz instytucjach państwowych. Doświadczony praktyk w zakresie prawa ochrony danych osobowych. Przeprowadziła kilkadziesiąt projektów audytorsko – wdrożeniowych z zakresu ochrony danych osobowych. Wdrożyła RODO w międzynarodowych Grupach Kapitałowych. Zrealizowała ponad 200 godzin szkoleń z zakresu ochrony danych osobowych. Na co dzień sprawuje opiekę merytoryczna nad Klientami Spółki. Od dnia 25 maja 2018 roku jest członkiem zespołu inspektora ochrony danych osobowych u podmiotów współpracujących z Lex Artist. Swoje zainteresowania zawodowe skupia wokół zagadnień związanych z ochroną danych osobowych w obszarze marketingu i umów powierzenia przetwarzania danych osobowych.

Powiązane artykuły

Analizy
Firmy kurierskie a RODO
rodo faq
#RODOFAQ
Czy z firmą sprzątającą należy podpisać umowę powierzenia? #RODOFAQ
rodo faq
#RODOFAQ
Czym są standardowe klauzule umowne przyjęte przez KE? #RODOFAQ

4 Odpowiedzi

  1. Michał
    Odpowiedź

    Dzień dobry. Czy podstawą prawną udostępnienia danych naszego pracownika naszym kontrahentom nie może być realizacja umowy o pracę (art. 6 ust. 1 lit. b RODO)? Chodzi o przypadki kiedy w zakresie obowiązków pracownika należy np. kontakt z kontrahentami w ramach realizacji umów. W takim przypadku przekazanie danych pracownika kontrahentowi można chyba uznać za związane z realizacją umowy o pracę. Przekazujemy przecież dane tylko pracowników, do których obowiązków należy kontakt z kontrahentami.

    1. Lex Artist
      Odpowiedź

      Dzień dobry 🙂 W naszej opinii podstawą prawną w opisanej sytuacji będzie art. 6 ust. 1 lit. f) Ogólnego rozporządzenia o ochronie danych (prawnie uzasadniony interes administratora danych jakim jest usprawnienie wykonywania obowiązków służbowych). Informacja ta powinna być zawarta w klauzuli informacyjnej dla pracownika. pozdrawiamy

  2. Monika Kowalska
    Odpowiedź

    Witam. Nie zbieramy danych z dowodów osobistych naszych pracowników, ale nasz kontrahent wymaga podania serii i numeru dowodów osobistych naszych pracowników, którzy będą wykonywać prace montażowe w jego obiekcie. Te dane są mu potrzebne do zamieszczenia w przepustkach umożliwiających wstęp do obiektu. Jakich formalności należy dopełnić, aby uzyskać takie dane od pracowników i przekazać kontrahentowi?

    1. Lex Artist
      Odpowiedź

      Witamy. W naszej opinii, dane można pozyskiwać w przygotowanym w tym celu formularzu, który będzie opatrzony klauzulą informacyjną, w której zostanie m.in wskazany cel pozyskania i udostępnienia danych, odbiorca danych. Podajemy również podstawę prawną udostępnienia, a także inne elementy obowiązku informacyjnego wskazane w treści art 13. RODO. Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

TOP 5 najpopularniejsze artykuły

obowiązek informacyjny RODO
Obowiązek informacyjny w RODO
416 Komentarze
05 kwi 2018
zgoda RODO
Zgoda na przetwarzanie danych osobowych według RODO
159 Komentarze
19 maj 2017
ochrona danych osobowych
Czym są dane osobowe wg RODO?
146 Komentarze
27 mar 2017
dane osobowe rodo
Umowa powierzenia przetwarzania danych osobowych według RODO
130 Komentarze
24 paź 2016
monitoring RODO
Monitoring wizyjny a ochrona danych osobowych
55 Komentarze
30 gru 2016

Najnowsze komentarze

Cattani43
28 wrz 2024
Tyle szumu jest o ten przepis, ale nikt nie wyjaśnił jasno czego on dotyczy. Co jest i l...
Tomasz
26 wrz 2024
Dzień dobry. Ostatnio dostałem maila od jednej z mam odnośnie jednej sytuacji, któr...
Łukasz Zegarek
25 wrz 2024
Dzień dobry, Piotrze, Dziękuję za pytanie dotyczące klauzuli informacyjnej w konte...
Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 16 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!