Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Dane kontaktowe pracowników w umowie – powierzać czy nie powierzać, oto jest pytanie…

Od momentu rozpoczęcia stosowania Ogólnego rozporządzenia o ochronie danych osobowych minęło już ponad pół roku, ale w dalszym ciągu nowe przepisy wzbudzają sporą niepewność. Do organu nadzorczego wpłynęło, jak do tej pory ponad 3 tysiące zgłoszeń, co jest znaczącą ilością, mając na uwadze poprzednie lata funkcjonowania urzędu. Powyższe dowodzi nie tylko rozmiaru wątpliwości jakie wzbudza stosowanie RODO, ale również wzrostu świadomości wśród obywateli.

Jednak niejednokrotnie zwiększenie świadomości nie idzie w parze z rzetelną wiedzą oraz praktyką w zakresie ochrony danych osobowych, a jednym z przykładów jest zawieranie umów powierzenia, w przypadkach, gdy jest to nieuzasadnione i niepotrzebne. Jedną ze wskazówek w tym zakresie znajdą Państwo w naszym dzisiejszym artykule.

Żadna nowość…

Sama idea zawierania umów powierzenie przetwarzania danych osobowych, nie jest nowością na gruncie RODO. Przepisy regulujące te kwestie, były znane już w poprzednim stanie prawnym, czyli na gruncie ustawy o ochronie danych osobowych z 29 sierpnia 1997 roku. Jedyną zmianą, jak zaszła w tym zakresie jest konstrukcja umowy oraz możliwość skorzystania, w tej materii z innego instrumentu prawnego.

Z powierzeniem przetwarzania danych osobowych mamy do czynienia w sytuacji gdy inny podmiot ma wykonać w naszym imieniu pewne operacje na danych osobowych. Klasycznymi przykładami sytuacji, w których dochodzi do powierzenia przetwarzania danych osobowych jest outsourcing kadr lub outsourcing IT.I

Tak samo jak znana była wcześniej konstrukcja umowy powierzenia, tak również w obrocie prawnym od samego początku dochodziło do wymiany między współpracującymi podmiotami danych kontaktowych pracowników w umowach o współpracy. Nie jest to sytuacja nowa, jednak dopiero od 25 maja tego roku zaczęła ona wzbudzać niepokój wśród wielu przedsiębiorców, a konsekwencją tego są spływające do firm umowy powierzenia przetwarzania danych osób kontaktowych lub nawet umowy wzajemnego powierzenia przetwarzania danych osobowych.

Co na to wszystko organ ochrony danych osobowych?

Temat danych kontaktowych pracowników został poruszony przez Generalnego Inspektora Ochrony Danych Osobowych kilka lat temu -w swoim stanowisku organ powołał się również na jeden z wyroków Sądu Najwyższego.

Poniżej fragment wspomnianego stanowiska:

"Imię, nazwisko, stanowisko oraz adres służbowy e-mail stanowią tzw. dane służbowe, których wykorzystywanie przez pracodawcę nie wymaga zgody osoby (pracownika), której dane dotyczą. Informacje te są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Takie też stanowisko zajął Sąd Najwyższy, który w wyroku z 19 listopada 2003 r. (I PK 590/02) orzekł, że: „(...) nazwisko i imię jest z natury rzeczy skierowanym na zewnątrz znakiem rozpoznawczym osoby fizycznej i wymienienie go (ujawnienie) przez inny podmiot w celu identyfikacji danej osoby nie może być zasadniczo uznane za bezprawne, o ile ze względu na okoliczności towarzyszące nie łączy się to z naruszeniem innego jej dobra, np. czci, godności osobistej lub prywatności”. W dalszej części uzasadnienia Sąd wskazał, że „funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi – z kontrahentami, klientami, administracją publiczną itd. Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika. W normalnym bowiem układzie nie ma racjonalnych powodów, dla których pracownik byłby zainteresowany zachowaniem w tajemnicy swojego nazwiska, a co za tym idzie, faktu związania z danym zakładem pracy. Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, że zgodnie z powszechną praktyką są one zasadniczo jawne”. Zdaniem Sądu Najwyższego: „należy przyjąć, że ujawnienie przez pracodawcę nazwiska pracownika musi być usprawiedliwione celem działania pracodawcy, łączącym się z jego zadaniami i obowiązkami związanymi z prowadzeniem zakładu, musi być niezbędne oraz nie może naruszać praw i wolności pracownika."

Więc jak być zgodnym z RODO, w tym zakresie?

Jak ustaliliśmy powyżej, brak jest podstaw do tego, aby dane kontaktowe pracowników powierzyć, ale nie rozwiązuje to problemu – jak legalnie przekazać je naszemu klientowi czy kontrahentowi?

Odpowiedzią na to pytanie jest udostepnienie danych, bowiem jedną z operacji jaką administrator danych osobowych (a niewątpliwie ADO danych pracowników, jest ich pracodawca) może wykonać na danych osobowych jest właśnie ich udostepnienie.

Z udostepnieniem mamy do czynienia w sytuacji, gdy odbiorcą danych jest inny administrator. W związku z tym, udostępnienie nastąpi wtedy, gdy administrator danych osobowych przekaże bądź umożliwi zapoznanie się z danymi innemu podmiotowi, a podmiot ten będzie pełnił w stosunku do tych danych funkcję administratora. Nasz klient lub kontrahent niewątpliwie będzie wykorzystywać dane kontaktowe naszych pracowników do swoich własnych celów, np. komunikacji.

Danych osobowych nie możne jedna od tak, po prostu udostępnić, musimy posiadać na to właściwą podstawę prawną, której należy szukać odpowiednio w art. 6, 9 lub 10 RODO.

Naszym zdaniem właściwej podstawy prawnej do udostepnienie danych kontaktowych pracowników przez pracodawcę jego kontrahentowi należy upatrywać w art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes. Komunikacja pomiędzy stronami umowy jest bardzo istotnym składnikiem obrotu gospodarczego i trudno byłoby sobie wyobrazić wzajemną współpracę bez możliwości kontaktów. W tym przypadku prawnie uzasadnionym interesem administratora danych jest umożliwienie prawidłowej realizacji umowy między stronami, komunikacja z osobami kontaktowymi w zakresie realizacji umowy.
Należy jednak pamiętać, że na administratorze, któremu ujawniono dane osobowe spoczywa obowiązek informacyjny wtórny z art. 14 RODO. Musi on poinformować osobę, której dane dotyczą między innymi o tym, kto jest administratorem danych oraz jakie jest źródło danych. Rozwiązaniem w tym przypadku jest np. spełnienie obowiązku informacyjnego warstwowo lub scedowanie przekazania tych informacji w naszym imieniu przez klienta lub kontrahenta poprzez odpowiednie zapisy w umowie. Powinniśmy mieć, także na uwadze, że obowiązek informacyjny wtórny nie ma charakteru absolutnego i w niektórych przypadkach może zajść wyłączenie zgodnie z art. 14 ust. 5 RODO – o czym w Naszym artykule Tutaj: https://blog-daneosobowe.pl/obowiazek-informacyjny-rodo-cz-3/.

A zatem…

Podsumowując, właściwą podstawa prawną do przekazania danych kontaktowych naszych pracowników jest prawnie uzasadniony interes. Częstym błędem w tym zakresie jest powoływanie się przez administratorów na przesłankę z art. 6 ust. 1 lit. b) – niezbędność do wykonania umowy. Jednak należy pamiętać, że przesłanka ta legalizuje jedynie przetwarzania danych osobowych stron umowy, stroną umowy z klientem lub kontrahentem jest jednak pracodawca, a nie pracownik.

Pobierz artykuł w PDF

Źródła:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych).

Powiązane artykuły

audyt RODO procesora
RODO audyt procesora – jak to zrobić z głową?
umowa powierzenia
Umowa powierzenia w formie regulaminu vs. forma pisemna
Umowa powierzenia przetwarzania danych osobowych według RODO

2 Odpowiedzi

  1. Michał

    Dzień dobry. Czy podstawą prawną udostępnienia danych naszego pracownika naszym kontrahentom nie może być realizacja umowy o pracę (art. 6 ust. 1 lit. b RODO)? Chodzi o przypadki kiedy w zakresie obowiązków pracownika należy np. kontakt z kontrahentami w ramach realizacji umów. W takim przypadku przekazanie danych pracownika kontrahentowi można chyba uznać za związane z realizacją umowy o pracę. Przekazujemy przecież dane tylko pracowników, do których obowiązków należy kontakt z kontrahentami.

    1. Lex Artist

      Dzień dobry 🙂 W naszej opinii podstawą prawną w opisanej sytuacji będzie art. 6 ust. 1 lit. f) Ogólnego rozporządzenia o ochronie danych (prawnie uzasadniony interes administratora danych jakim jest usprawnienie wykonywania obowiązków służbowych). Informacja ta powinna być zawarta w klauzuli informacyjnej dla pracownika. pozdrawiamy

Zostaw odpowiedź