Z powierzeniem danych osobowych w stosunkach zatrudnienia mamy styczność wielokrotnie, niekiedy nie będąc tego do końca świadomym. Powierzenie zachodzi w przypadkach gdy Administrator (pracodawca) nie wykonuje czynności na danych osobowych samodzielnie, a swoje cele lub obowiązki realizuje, przy pomocy podmiotu zewnętrznego – podmiotu przetwarzającego (procesora). Podmiot przetwarzający wykonuje w imieniu administratora zadania na podstawie zawartej umowy powierzenia, która zawiera elementy wskazane w art. 28 RODO.
W obszarze zatrudnienia będziemy mieć do czynienia najczęściej w przypadku korzystania z usług: BHP, Kadrowych i księgowych, informatycznych, przechowywania akt, archiwizacji dokumentów, monitoringu, monitoringu wizyjnego itp. Nadmienione w RODO unormowania dotyczące powierzenia przetwarzania danych osobowych określają zasady korzystania przez administratorów z wykonawców i ich podwykonawców podczas przetwarzania danych.
Biorąc pod uwagę podległość pracownika wobec pracodawcy w procesie pracy, ciąży na nim niezwykle istotny obowiązek zapewnienia poprawności przetwarzania danych oraz zgodnie z art. 11[1] Kodeksu Pracy pracodawca zobowiązany jest szanować godność i inne dobra osobiste pracownika. Można zaryzykować stwierdzenie, że w związku z powyższym prawo do ochrony danych osobowych nabiera mocniejszego znaczenia w kontekście prawa pracy. Zależnie od tego czy wykonuje te działania samodzielnie, czy z pomocą podmiotów zewnętrznych, a zaangażowanie dodatkowego ogniwa w procesie przetwarzania danych osobowych na linii pracownik-pracodawca wiąże się z dodatkowym ryzykiem naruszenia prywatności zatrudnionego. Dlatego też należy zwrócić uwagę, że podczas gdy dochodzi do powierzenia przetwarzania danych, odpowiedzialnością obciąża się nie tylko administratora ale również procesora. Zatem, należy zwrócić szczególną uwagę i ostrożność przy wyborze podmiotu przetwarzającego i dogłębnie zastanowić się nad umożliwieniem dalszego podwykonawstwa. Niezależnie od celu i źródła powierzenia przetwarzania danych pracowniczych pracodawca powinien dbać o dobro pracowników, szczególnie w czasie, gdy czynności przetwarzania na jego rzecz wykonuje podmiot zewnętrzny, z którym pracownik nie jest połączony stosunkiem prawnym a jedynie dysponuje jego danymi np. Centra Usług Wspólnych.
Art. 28 ust 1 RODO mówi o tym, że podczas powierzenia administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymogi rozporządzenia i chroniło prawa osób. Więc jak wybrać taki podmiot? Administrator powinien dokonać weryfikacji podmiotu przetwarzającego w zakresie odpowiedniego poziomu ochrony danych, jeszcze przed podjęciem współpracy. Może to przybrać formę listy kontrolnej dotyczącego podmiotu z którym chcemy podjąć współpracę, przeprowadzenie audytu u potencjalnego procesora – możemy do tego wykorzystać pracowników administratora jak i również zewnętrznego audytora. W liście kontrolnej możemy zapytać o upoważnienia pracowników procesora, zabezpieczenia techniczne budynku, zabezpieczenia sieci informatycznych, czy podmiot powołał Inspektora Ochrony Danych, czy o tworzenie kopii zapasowych. Poziom tych zabezpieczeń należy ocenić adekwatnie do zamiaru przekazywanych danych (dane zwykłe, dane szczególnej kategorii), w jakiej ilości, jakim celu i za pomocą jakich technik.
Czasem zdarza się, że administrator nie ma możliwości o swobodnym decydowaniu co do wyboru podmiotu przetwarzającego np. jeżeli pracodawcy funkcjonują w ramach grupy kapitałowej, czy w ramach jednostki obsługującej jednostki samorządu terytorialnego jakim jest Centrum Usług Wspólnych. Warto już w trakcie powoływania czy to grup kapitałowych, czy centrów usług wspólnych brać pod uwagę i starannie zaplanować/zaprojektować akty, z których ta obsługa będzie wynikać z uwzględnieniem art. 28 ust. 3 RODO.
Zgodnie z brzmieniem artykułu 28 RODO ust. 3 przetwarzanie przez podmiot przetwarzający ma odbywać się na podstawie umowy lub innego instrumentu prawnego, ale czy jeżeli nie łączy nas żadna z tych rzeczy to powierzenie nie zachodzi? Oczywiście, że nie, powierzenie to proces, który zachodzi niezależnie od tego czy powyższe ma miejsce. Warto dodać, że brak umowy lub instrumentu prawnego należy uznać za naruszenie przepisów rozporządzenia gdyż jest to czynność legalizująca powierzenie przetwarzania danych osobowych Nie wszystkie usługi, jakie administrator zleca na zewnątrz noszą znamiona powierzenia przetwarzania danych, niezwykle ważne jest kto decyduje o celach i sposobach przetwarzania danych osobowych lub komu z przepisu prawa przyznają ową decyzyjność, gdyby natomiast procesor brał udział w decydowaniu o celach o sposobach przetwarzania danych osobowych stałby się współadministratorem w świetle przepisu art. 26 RODO.
Umowa powierzenia zazwyczaj zawierana jest do wspomnianej już wcześniej umowy głównej jako jej uzupełnienie. W rozporządzeniu zapisane jest, że może się odbywać to na podstawie innego instrumentu prawnego jednak należy podkreślić, że nie chodzi tu o wspólne i zgodne oświadczenie woli a być może uchwałę, etc. Nie sposób nie wspomnieć o tym, że administrator i podmiot przetwarzający mogą skorzystać ze standardowych klauzul umownych.
Umowa powierzenia to nie tylko określenie zabezpieczeń technicznych i organizacyjnych ale również określenie szeregu kwestii dotyczących powierzenia przetwarzania danych na podstawie przytoczonego już wcześniej art. 28 ust 3 oraz motywu 81 RODO.
Pracodawca powierzając dane poza organizacje powinien zadbać aby każda z ww. kwestii została dokładnie uregulowana ze szczególnym uwzględnieniem okoliczności oraz ryzyka naruszenia praw lub wolności osób, w których posiadaniu jest i które to dane oddaje do przetwarzania.
Autor: Monika Jędro, Kierownik Projektu CompNet Sp. z o.o.