Dane kontaktowe pracowników w umowie – powierzać czy nie powierzać, oto jest pytanie…

Od momentu rozpoczęcia stosowania Ogólnego rozporządzenia o ochronie danych osobowych minęło już ponad pół roku, ale w dalszym ciągu nowe przepisy wzbudzają sporą niepewność. Do organu nadzorczego wpłynęło, jak do tej pory ponad 3 tysiące zgłoszeń, co jest znaczącą ilością, mając na uwadze poprzednie lata funkcjonowania urzędu. Powyższe dowodzi nie tylko rozmiaru wątpliwości jakie wzbudza stosowanie RODO, ale również wzrostu świadomości wśród obywateli.

Jednak niejednokrotnie zwiększenie świadomości nie idzie w parze z rzetelną wiedzą oraz praktyką w zakresie ochrony danych osobowych, a jednym z przykładów jest zawieranie umów powierzenia, w przypadkach, gdy jest to nieuzasadnione i niepotrzebne. Jedną ze wskazówek w tym zakresie znajdą Państwo w naszym dzisiejszym artykule.

Żadna nowość…

Sama idea zawierania umów powierzenie przetwarzania danych osobowych, nie jest nowością na gruncie RODO. Przepisy regulujące te kwestie, były znane już w poprzednim stanie prawnym, czyli na gruncie ustawy o ochronie danych osobowych z 29 sierpnia 1997 roku. Jedyną zmianą, jak zaszła w tym zakresie jest konstrukcja umowy oraz możliwość skorzystania, w tej materii z innego instrumentu prawnego.

Z powierzeniem przetwarzania danych osobowych mamy do czynienia w sytuacji gdy inny podmiot ma wykonać w naszym imieniu pewne operacje na danych osobowych. Klasycznymi przykładami sytuacji, w których dochodzi do powierzenia przetwarzania danych osobowych jest outsourcing kadr lub outsourcing IT.I

Tak samo jak znana była wcześniej konstrukcja umowy powierzenia, tak również w obrocie prawnym od samego początku dochodziło do wymiany między współpracującymi podmiotami danych kontaktowych pracowników w umowach o współpracy. Nie jest to sytuacja nowa, jednak dopiero od 25 maja tego roku zaczęła ona wzbudzać niepokój wśród wielu przedsiębiorców, a konsekwencją tego są spływające do firm umowy powierzenia przetwarzania danych osób kontaktowych lub nawet umowy wzajemnego powierzenia przetwarzania danych osobowych.

Co na to wszystko organ ochrony danych osobowych?

Temat danych kontaktowych pracowników został poruszony przez Generalnego Inspektora Ochrony Danych Osobowych kilka lat temu -w swoim stanowisku organ powołał się również na jeden z wyroków Sądu Najwyższego.

Poniżej fragment wspomnianego stanowiska:

"Imię, nazwisko, stanowisko oraz adres służbowy e-mail stanowią tzw. dane służbowe, których wykorzystywanie przez pracodawcę nie wymaga zgody osoby (pracownika), której dane dotyczą. Informacje te są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Takie też stanowisko zajął Sąd Najwyższy, który w wyroku z 19 listopada 2003 r. (I PK 590/02) orzekł, że: „(...) nazwisko i imię jest z natury rzeczy skierowanym na zewnątrz znakiem rozpoznawczym osoby fizycznej i wymienienie go (ujawnienie) przez inny podmiot w celu identyfikacji danej osoby nie może być zasadniczo uznane za bezprawne, o ile ze względu na okoliczności towarzyszące nie łączy się to z naruszeniem innego jej dobra, np. czci, godności osobistej lub prywatności”. W dalszej części uzasadnienia Sąd wskazał, że „funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi – z kontrahentami, klientami, administracją publiczną itd. Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika. W normalnym bowiem układzie nie ma racjonalnych powodów, dla których pracownik byłby zainteresowany zachowaniem w tajemnicy swojego nazwiska, a co za tym idzie, faktu związania z danym zakładem pracy. Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, że zgodnie z powszechną praktyką są one zasadniczo jawne”. Zdaniem Sądu Najwyższego: „należy przyjąć, że ujawnienie przez pracodawcę nazwiska pracownika musi być usprawiedliwione celem działania pracodawcy, łączącym się z jego zadaniami i obowiązkami związanymi z prowadzeniem zakładu, musi być niezbędne oraz nie może naruszać praw i wolności pracownika."

Więc jak być zgodnym z RODO, w tym zakresie?

Jak ustaliliśmy powyżej, brak jest podstaw do tego, aby dane kontaktowe pracowników powierzyć, ale nie rozwiązuje to problemu – jak legalnie przekazać je naszemu klientowi czy kontrahentowi?

Odpowiedzią na to pytanie jest udostepnienie danych, bowiem jedną z operacji jaką administrator danych osobowych (a niewątpliwie ADO danych pracowników, jest ich pracodawca) może wykonać na danych osobowych jest właśnie ich udostepnienie.

Z udostepnieniem mamy do czynienia w sytuacji, gdy odbiorcą danych jest inny administrator. W związku z tym, udostępnienie nastąpi wtedy, gdy administrator danych osobowych przekaże bądź umożliwi zapoznanie się z danymi innemu podmiotowi, a podmiot ten będzie pełnił w stosunku do tych danych funkcję administratora. Nasz klient lub kontrahent niewątpliwie będzie wykorzystywać dane kontaktowe naszych pracowników do swoich własnych celów, np. komunikacji.

Danych osobowych nie możne jedna od tak, po prostu udostępnić, musimy posiadać na to właściwą podstawę prawną, której należy szukać odpowiednio w art. 6, 9 lub 10 RODO.

Naszym zdaniem właściwej podstawy prawnej do udostepnienie danych kontaktowych pracowników przez pracodawcę jego kontrahentowi należy upatrywać w art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes. Komunikacja pomiędzy stronami umowy jest bardzo istotnym składnikiem obrotu gospodarczego i trudno byłoby sobie wyobrazić wzajemną współpracę bez możliwości kontaktów. W tym przypadku prawnie uzasadnionym interesem administratora danych jest umożliwienie prawidłowej realizacji umowy między stronami, komunikacja z osobami kontaktowymi w zakresie realizacji umowy.
Należy jednak pamiętać, że na administratorze, któremu ujawniono dane osobowe spoczywa obowiązek informacyjny wtórny z art. 14 RODO. Musi on poinformować osobę, której dane dotyczą między innymi o tym, kto jest administratorem danych oraz jakie jest źródło danych. Rozwiązaniem w tym przypadku jest np. spełnienie obowiązku informacyjnego warstwowo lub scedowanie przekazania tych informacji w naszym imieniu przez klienta lub kontrahenta poprzez odpowiednie zapisy w umowie. Powinniśmy mieć, także na uwadze, że obowiązek informacyjny wtórny nie ma charakteru absolutnego i w niektórych przypadkach może zajść wyłączenie zgodnie z art. 14 ust. 5 RODO – o czym w Naszym artykule Tutaj: https://blog-daneosobowe.pl/obowiazek-informacyjny-rodo-cz-3/.

A zatem…

Podsumowując, właściwą podstawa prawną do przekazania danych kontaktowych naszych pracowników jest prawnie uzasadniony interes. Częstym błędem w tym zakresie jest powoływanie się przez administratorów na przesłankę z art. 6 ust. 1 lit. b) – niezbędność do wykonania umowy. Jednak należy pamiętać, że przesłanka ta legalizuje jedynie przetwarzania danych osobowych stron umowy, stroną umowy z klientem lub kontrahentem jest jednak pracodawca, a nie pracownik.

Pobierz artykuł w PDF

Źródła:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych).

Powiązane artykuły

Firmy kurierskie a RODO
rodo faq
Czy z firmą sprzątającą należy podpisać umowę powierzenia? #RODOFAQ
rodo faq
Czym są standardowe klauzule umowne przyjęte przez KE? #RODOFAQ

4 Odpowiedzi

  1. Michał

    Dzień dobry. Czy podstawą prawną udostępnienia danych naszego pracownika naszym kontrahentom nie może być realizacja umowy o pracę (art. 6 ust. 1 lit. b RODO)? Chodzi o przypadki kiedy w zakresie obowiązków pracownika należy np. kontakt z kontrahentami w ramach realizacji umów. W takim przypadku przekazanie danych pracownika kontrahentowi można chyba uznać za związane z realizacją umowy o pracę. Przekazujemy przecież dane tylko pracowników, do których obowiązków należy kontakt z kontrahentami.

    1. Lex Artist

      Dzień dobry 🙂 W naszej opinii podstawą prawną w opisanej sytuacji będzie art. 6 ust. 1 lit. f) Ogólnego rozporządzenia o ochronie danych (prawnie uzasadniony interes administratora danych jakim jest usprawnienie wykonywania obowiązków służbowych). Informacja ta powinna być zawarta w klauzuli informacyjnej dla pracownika. pozdrawiamy

  2. Monika Kowalska

    Witam. Nie zbieramy danych z dowodów osobistych naszych pracowników, ale nasz kontrahent wymaga podania serii i numeru dowodów osobistych naszych pracowników, którzy będą wykonywać prace montażowe w jego obiekcie. Te dane są mu potrzebne do zamieszczenia w przepustkach umożliwiających wstęp do obiektu. Jakich formalności należy dopełnić, aby uzyskać takie dane od pracowników i przekazać kontrahentowi?

    1. Lex Artist

      Witamy. W naszej opinii, dane można pozyskiwać w przygotowanym w tym celu formularzu, który będzie opatrzony klauzulą informacyjną, w której zostanie m.in wskazany cel pozyskania i udostępnienia danych, odbiorca danych. Podajemy również podstawę prawną udostępnienia, a także inne elementy obowiązku informacyjnego wskazane w treści art 13. RODO. Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO