W ostatnim newsletterze UODO dla IOD, znalazły się odwołania do odpowiedzi udzielonych na zadane przez Inspektorów pytania. Dwa z nich dotyczyły umów powierzeń danych. Jest to jedno z najtrudniejszych do rozstrzygnięcia zagadnień w pracy Inspektora ochrony danych. Wiele odpowiedzi zależy od danej sytuacji. Dlatego też UODO w wielu przypadkach nie może w sposób jednoznaczny odpowiedzieć na pytania, a w szczególności gdy są one zadane w sposób dość ogólny. Czasami jednak odpowiedzi Urzędu sprowadzają się na powołaniu kilku przepisów i odniesieniu się do prac EROD – bez wskazywania jednoznacznego stanowiska. Najlepszym tego przykładem jest odpowiedź na pytanie dotyczące statusu projektanta w związku z wykonywaniem prac projektowych (https://uodo.gov.pl/pl/225/1735). Są na szczęście relacje, które nie wymagają zbyt dużej weryfikacji aby stwierdzić, że umowa powierzenia jest niezbędna. Listę taką możecie znaleźć w moim innym artykule: https://www.comp-net.pl/2020/04/08/umowa-powierzenia-z-kancelaria-prawna-zawierac-czy-nie-zawierac-oto-jest-pytanie/. Wskazałem tam między innymi współpracę z podmiotami świadczącymi usługi BHP (w tym szkolenia). Moja pewność nie wynikała jednak z osobistych przekonań, ale z jednoznacznej rekomendacji UODO, którą wyraził w 2018 r. w Podręczniku dla pracodawców:
Szkolenia z zakresu bhp mogą być przeprowadzone przez pracownika pracodawcy wyznaczonego np. ds. bhp lub podmiot zewnętrzny (osobę fizyczną lub firmę). Pracownik ds. bhp lub podmiot zewnętrzny będący osobą fizyczną powinni posiadać upoważnienie do przetwarzania danych osób biorących udział w szkoleniu. Z kolei firma zewnętrzna będzie musiała zawrzeć z pracodawcą umowę powierzenia przetwarzania danych osobowych.
Wszyscy byli szczęśliwi – BHP-owcy powoli przyzwyczajali się do tych dodatkowych zapisów, administratorzy i Inspektorzy obowiązek ten spełniali z automatu… aż nie wyszedł nowy newsletter. Urząd uznał bowiem, że w przypadku organizowania szkoleń z zakresu bezpieczeństwa i higieny pracy, nie powinniśmy zawierać umów powierzeń danych:
Firma zewnętrzna w procesie przetwarzania może występować w roli organizatora szkolenia, o którym mowa w § 4 pkt 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy. W § 5 pkt. 1-6 tego rozporządzenia zostały określone obowiązki organizatora szkolenia. Należy do nich zapewnienie: programu poszczególnych rodzajów szkolenia opracowanego dla określonych grup stanowisk; programu szkolenia instruktorów w zakresie metod prowadzenia instruktażu – w przypadku prowadzenia takiego szkolenia; wykładowców i instruktorów posiadających zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia; odpowiednich warunków lokalowych do prowadzenia działalności szkoleniowej; wyposażenie dydaktyczne niezbędne do właściwej realizacji programów szkolenia; właściwy przebieg szkolenia oraz prowadzenia dokumentacji w postaci programów szkolenia, dzienników zajęć, protokołów przebiegu egzaminów i rejestru wydanych zaświadczeń.
Jednostka organizacyjna prowadząca działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy, realizując nałożone na nią w ww. rozporządzeniu obowiązki, przetwarza dane pracownika w związku ze sporządzaniem protokołów z przebiegu egzaminów i rejestru wydanych zaświadczeń oraz w zakresie nawiązania współpracy (zawarcia stosownych umów) z wykładowcami i instruktorami posiadającymi zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia (§ 5 pkt. 3 i 6 ww. rozporządzenia Ministra Gospodarki i Pracy). W tym zakresie zasadnie można uznać, że przetwarza dane jako administrator w rozumieniu przepisów o ochronie danych osobowych.
Więcej na https://uodo.gov.pl/pl/225/1736
Nie chcę powiedzieć, że nie zgadzam się z argumentacją Urzędu. Nie jestem zwolennikiem podpisywania umów o powierzeniu danych z każdym jak leci. Jednak gorsza jest jeszcze niepewność prawna. Aby dobrze wykonywać zadania, każdy z nas musi się na czymś stałym opierać. Jak widać – rekomendacje Urzędu takie nie są. Podobną sytuację mieliśmy z przekazywaniem danych kontaktowych pracowników w związku z PPK. Wówczas Urząd wycofał się z rekomendacji wskazanej w newsletterze twierdząc, że opinie tam wskazane nie są obowiązujące (więc jaki jest cel ich publikowania?). UODO jak każdy Urząd, organizacja czy sąd – ma problem z zachowaniem jednolitego stanowiska. Jest to wyzwanie nie tylko dla administratorów (którzy chcą przede wszystkim uniknąć kar administracyjnych), ale również dla Inspektorów. Co prawda, nie ponoszą oni odpowiedzialności administracyjnej, ale szeroko rozumianą odpowiedzialność biznesową. Niepoważnie wygląda Inspektor, który co chwilę zmienia zdanie (tworząc tym samym dodatkową pracę dla administratora i jego pracowników), ale przede wszystkim kiedy dochodzi do kontroli i okazuje się, że zalecenia przez niego wydane, są w oczach Urzędu błędne. Brak pewności prawa podważa istotę państwa prawa. Oczywiście problem ten dotyczy wielu dziedzin prawa i nie jest niczym nowym (np. prawo podatkowe). Czasami zostaje powiedzieć za Sokratesem: wiem, że nic nie wiem…
Autor: Tomasz Nowiński CompNet Sp. z o.o.
© Copyright by CompNet Sp. z o. o.