W ciągu ostatniego miesiąca Urząd Ochrony Danych Osobowych (UODO) wydał dwa ciekawe stanowiska, które odnoszą się do przetwarzania danych osobowych pracowników. Z perspektywy pracodawców pewne kwestie w nich poruszone mogą okazać się bardzo użyteczne.
Z artykułu dowiesz się m.in.:
- Czy pracodawca korzystający z usług zewnętrznej firmy szkoleniowej, np. w zakresie BHP, powinien zawrzeć umowę powierzenia danych osobowych swoich pracowników.
- W jakich sytuacjach można liczyć na wyłączenie obowiązku informacyjnego wobec członków rodzin pracownika.
I. Wskazanie UODO odnośnie możliwości zwolnienia pracodawcy z realizacji tzw. obowiązku informacyjnego wobec członków rodzin pracowników korzystających z zakładowych funduszy świadczeń socjalnych (ZFŚS).
Przetwarzając dane osobowe administrator pozyskuje je na dwa sposoby, tj. bezpośrednio od podmiotu danych (np. pracownik w formie oświadczeń przekazuje pracodawcy dane osobowe dotyczące jego osoby) oraz z innego źródła (np. agencja pracy tymczasowej przekaże pracodawcy – tzw. pracodawcy użytkownikowi, dane osobowe pracowników tymczasowych). Ogólne rozporządzenie o ochronie danych z 27 kwietnia 2016 r. (RODO) przewiduje dwie formy informacji kierowanej przez administratora do podmiotów danych:
- na wypadek wspomnianego powyżej pozyskania bezpośredniego (art. 13 RODO)
- oraz pozyskanie danych z innego źródła (art. 14 RODO).
Tytułowym przykładem pozyskania danych osobowych z innego źródła przez administratora danych będącego jednocześnie pracodawcą, jest pozyskanie danych osobowych członków rodziny pracownika dla celu udzielenia świadczeń, realizacji obowiązków prawnych ciążących na pracodawcy, czy też obsługi zakładowego funduszu świadczeń socjalnych. Jakie wówczas obowiązki ma pracodawca?
Nasz ekspert Kacper Rączkowiak jest do Twojej dyspozycji.
ZFŚS a ochrona danych podczas oceny sytuacji życiowej i materialnej
Artykuł 8 ustawy z 4 marca 1994 r. o ZFŚS narzuca na pracodawcę obowiązek oceny sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z funduszu podczas oceny zasadności udzielenia ulgi lub świadczenia. Realizując powyższy obowiązek pracodawca rozpoczyna przetwarzanie danych osobowych dotyczących sytuacji życiowej, jak i materialnej, wszystkich członków rodziny pracownika, z którymi prowadzi on wspólne gospodarstwo domowe. Reasumując, wyżej opisane czynności są przetwarzaniem danych osobowych osób powiązanych z pracownikiem. Proces udostępnienia danych osobowych pracodawcy następuje w formie oświadczenia pracownika, a pracodawca ma prawo żądać odpowiedniego udokumentowania treści przedmiotowego oświadczenia.
Kiedy obowiązek informacyjny wobec członków rodzin pracownika nie jest konieczny?
Jak wiadomo, przetwarzanie danych osobowych powoduje konieczność realizacji tzw. obowiązków informacyjnych. W przypadku członków rodzin pracowników, których dane przetwarza się dla celów ZFŚS, czy też realizacji stosunku pracy, wydawać by się mogło, iż zasadne jest przekazanie informacji o szczegółach przetwarzania, o których mowa w art. 14 RODO, tj. pozyskanie danych z innego źródła. Jednak przywołany art. 14 przewiduje kilka sytuacji, w których przedstawienie informacji o szczegółach danych osobowych nie jest konieczne. Mowa tu przede wszystkim o sytuacji opisanej w art. 14 ust. 5 lit. c RODO, tj. wyraźne uregulowanie prawem unijnym lub krajowym przetwarzania danych osobowych z jednoczesnym uwzględnieniem odpowiednich środków chroniących prawnie uzasadnione interesy podmiotów danych.
Więcej wyłączeń przy przetwarzaniu danych rodziny pracownika
Potwierdza to niedawne stanowisko UODO (tj. z 15 października br.) – czytamy w nim „(…) art. 8 ustawy o zakładowym funduszu świadczeń socjalnych określa zasady pozyskiwania danych członków rodziny pracownika w związku z korzystaniem przez niego z ZFŚS. Wobec tego w takim przypadku można zasadnie rozważać skorzystanie ze wskazanego w art. 14 ust. 5 lit. c RODO zwolnienia”. W praktyce oznacza to, że pracodawca będący administratorem powinien także wziąć pod uwagę przedmiotowe wyłączanie przy innych sytuacjach, w których przetwarza dane osobowe członków rodziny pracownika w związku ze stosunkiem pracy. Wyjątkiem jednak będzie sytuacja kwestionariusza osobowego, gdzie pozyskanie danych osobowych członków rodziny jako tzw. osób kontaktowych nie ma podstawy prawnej. Kwestia oficjalnego wzorca, który można pobrać ze strony Ministerstwa Pracy, Rodziny i Polityki Społecznej i który może wprowadzić przedsiębiorcę w błąd była już poruszana przy okazji jednego z poprzednich artykułów.
Zapisz się do newslettera „Alerty RODO” – nie daj się zaskoczyć!
II. Zawarcie umowy powierzenia danych osobowych do przetwarzania z firmą szkoleniową na przykładzie zewnętrznego wsparcia BHP.
Jedne z ostatnich wytycznych Europejskiej Rady Ochrony Danych Osobowych (tj. EROD), które przekazano do konsultacji społecznych, odnosiły się do zagadnienia administratora, współadministratora, podmiotu przetwarzającego, jak i osoby trzeciej. W przypadku relacji administratora i procesora elementem nieodłącznym jest umowa powierzenia danych osobowych do przetwarzania. Podczas realizacji stosunku pracy wątpliwość co do zawierania przedmiotowych umów pojawia się dosyć często, a przykładem takiej sytuacji jest korzystanie z usług szkoleniowych. Na początek warto zadać sobie pytanie, czy przedstawione do konsultacji wytyczne EROD, jak i stanowisko PUODO z 15 października 2020 r., wyjaśniają to zagadnienie i przedstawiają jednoznaczną odpowiedź na pytanie co do zasadności lub braku zasadności umowy powierzenia? Odpowiedź brzmi: nie.
PUODO w swoim stanowisku, oprócz ewentualnych obowiązków ustawowych, dużą uwagę przywiązuje do kształtu samej umowy, jak i tego w jaki sposób pracodawca i podmiot szkoleniowy uzgodniły swoje role oraz zadania w zakresie przetwarzania danych osobowych. Co ważne, PUODO podkreśla, iż istotne jest ustalenie na ile samodzielnie i w jakich celach administrator oraz ewentualny procesor przetwarza dane w celach związanych ze szkoleniem.
Jak czytamy w stanowisku PUODO:
„W wielu przypadkach, gdy następuje przekazanie realizacji zadania innemu podmiotowi, który realizuje je (także w zakresie przetwarzania danych) w sposób niezależny, samodzielnie decydując o sposobach i celach przetwarzania, a zadania i obowiązki tego podmiotu są dodatkowo dość szczegółowo określone w przepisach prawa, istnieją podstawy do uznania ich za odrębnych administratorów. Powierzenie przetwarzania powinno mieć natomiast miejsce wówczas, jeśli zewnętrzny podmiot przetwarza dane w imieniu administratora, w celach i w sposób przez niego określony”.
Zatem w przypadku obsługi BHP (zgodnie z wytycznymi Kodeksu pracy) administrator będący pracodawcą jest obowiązany zapewnić bezpieczne i higieniczne warunki pracy, a w tym także prowadzić szkolenia pracowników (m.in. zgodnie z art. 94 Kodeksu pracy). Sam zakres szkolenia BHP jest także dookreślony odpowiednimi przepisami aktów wykonawczych. Firma zewnętrzna w procesie przetwarzania może występować w roli organizatora szkolenia, o którym mowa w § 4 pkt 1 rozporządzenia Ministra Gospodarki i Pracy z 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy. W § 5 pkt. 1-6 tego rozporządzenia zostały określone obowiązki organizatora szkolenia. Należy do nich m.in. zapewnienie: programu poszczególnych rodzajów szkolenia opracowanego dla określonych grup stanowisk, programu szkolenia instruktorów, wyposażenie dydaktyczne niezbędne do właściwej realizacji programów szkolenia, czy też właściwy przebieg szkolenia i prowadzenia dokumentacji w postaci programów szkolenia.
Jak widać z powyższego zestawu zadań, zewnętrzny dostawca usług szkoleniowych w dziedzinie BHP realizuje obowiązki nałożone rozporządzeniem, i w tym zakresie nie można go uznać za podmiot przetwarzający, ponieważ jest on odrębnym administratorem danych osobowych. Wydaje się, że taki schemat relacji należy przyjąć także w sytuacji, gdy przekazujemy na zewnątrz również inne obowiązki z zakresu BHP – standard wykonania usług BHP jest także określony przepisami szczegółowymi i cechuje go wysoka niezależność (np. ocena wypadków przy pracy).
Kto jest administratorem danych w przypadku szkoleń i usług BHP?
Podsumowując i odnosząc się do zagadnienia, kto jest administratorem w przypadku szkoleń i usług BHP można przychylić się ku stanowisku, że jest to relacja dwóch administratorów danych. Jednak w przypadku innych szkoleń podnoszących kwalifikacje pracowników, które nie dotyczą obszaru BHP, również zasadne jest dokonanie analizy i postawienie odpowiedzi na pytanie: kto podejmuje decyzje w zakresie kluczowych kwestii dla danego procesu przetwarzania. Idąc za PUODO:
„Na przykład, rola pracodawcy, który kieruje swoich pracowników na szkolenie, może ograniczać się tylko do rozdysponowania formularzy przygotowanych przez firmę, która oferuje szkolenie, a wszystkie kluczowe decyzje co do procesu przetwarzania danych należą do firmy szkoleniowej”.
Stanowisko EROD także nie daje jednoznacznych wytycznych odnośnie powierzenia danych osobowych do przetwarzania w przypadku szkoleń pracowniczych. Wydaje się zatem, że kwestia ta pozostanie nadal nieujednolicona do czasu wydania jasnego stanowiska organów państwowych i unijnych, dookreślającego zagadnienia: istoty powierzenia danych osobowych, zlecenia czynności na danych osobowych, jak i strony trzeciej.
AUTOR: Kacper Rączkowiak
