Kontrola trzeźwości w firmie a RODO

W „Rzeczpospolitej” w dniu 9 maja 2019 roku pojawił się artykuł o tym, że wyrywkowe kontrole trzeźwości są niezgodne z prawem z uwagi na RODO, a dokładniej nowelizację kodeksu pracy, która weszła w życie 4 maja 2019 roku. Dziennik „Rzeczpospolita” wskazuje, że po nowelizacji kodeksu pracy ustawodawca nie daje pracodawcom możliwości samodzielnej kontroli trzeźwości pracowników przy użyciu alkomatu. Zgodnie ze zmianami do kodeksu pracy, przetwarzanie przez pracodawcę danych wrażliwych ma być  możliwe wyłącznie w przypadku, gdy nastąpi to z inicjatywy pracownika. W konsekwencji przepisy mają nie dawać więc możliwości prowadzenia przez pracodawcę rutynowej kontroli trzeźwości w stosunku do pracowników.

Rzeczpospolita formułuje zatem tezę, że pracodawcy „mogą przeprowadzić kontrole wyłącznie, gdy będą mieli podejrzenie, że pracownik spożywał alkohol. Dla celów dowodowych muszą natomiast korzystać z innych źródeł niż badanie alkomatem, np. nagrań z monitoringu czy świadków. Coraz częstsze będzie również wzywanie do zakładu pracy policji, aby to funkcjonariusz przeprowadził badanie”.

Jeden z naszych klientów zainteresował się tym tematem i poprosił o opinię w tym zakresie. Klient prowadzi działalność w formie transportu, zatrudniając przede wszystkim zawodowych kierowców. Dla zwiększenia bezpieczeństwa oraz wobec pojawiających się przypadków spożywania przez kierowców alkoholu, planuje on wprowadzić rutynowe kontrole trzeźwości. Czy wobec nowelizacji kodeksu pracy takie kontrole nie mogą być prowadzone? Według mnie tezy stawiane w komentowanym artykule są nieprawidłowe, a same przepisy zostały źle zrozumiane.

Pierwszym i zasadniczym problemem jest to, czy informacja o tym czy pracownik jest trzeźwy czy też trzeźwy nie jest stanowi daną osobową szczególnych kategorii – i w związku z tym czy stosujemy do nich art. 9 RODO. Aby tak było, dane te musimy zakwalifikować do jednej z następujących kategorii: dane ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Z tego całego katalogu do informacji o trzeźwości pracownika wstępnie pasować może wyłącznie kategoria danych dotyczących zdrowia. Umówmy się, że trudno uznać spożywanie alkoholu za daną ujawniającą przekonania światopoglądowe…

Zgodnie z definicją, dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. Definicję rozwija motyw 35 RODO, który wskazuje, że do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą:

 – informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej; 

– numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; 

– informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; 

– wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

Definicja ta jest bardzo szeroko, jednak mam wątpliwości czy objęte są nią informacja o tym czy pracownik jest trzeźwy czy nie. Z faktu bycia pracownika pod wpływem alkoholu nie sposób wnioskować o jego stanie zdrowia fizycznego lub psychicznego. Byłoby to w mojej ocenie znaczne nadużycie. W końcu nie każde spożycie alkoholu to zaraz choroba alkoholowa, marskość wątroby i inne schorzenia związane z piciem alkoholu. Oczywistym jest, że alkohol wpływa na funkcjonowanie organizmu, jednak w mojej ocenie nie każda informacja o funkcjonowaniu organizmu będzie daną o zdrowiu w rozumieniu RODO. Nie wpisuje się to w mojej ocenie w definicję zdrowia jako: stanu pełnego dobrostanu fizycznego, psychicznego i społecznego (definicja WHO). Definicji zdrowia jest jednak więcej (np. stan organizmu bez choroby), stąd wykładnia jest kwestią problematyczną.

W efekcie uznając, że informacja o trzeźwości pracownika nie stanowi informacji o jego stanie zdrowia i w efekcie danych szczególnych kategorii regulacja art. 9 RODO nie powinna nas interesować, a podstawy przetwarzania powinniśmy szukać w art. 6 RODO. Chociażby w uzasadnionym interesie pracodawcy. Jeśli bowiem zdarzało się, że w pracy pojawiali się „nawiani” pracownicy, taki interes będzie dosyć łatwo wykazać. Takiego interesu można w mojej ocenie można doszukiwać się także w obowiązkach pracowniczych i charakterystyce zakładu pracy. Jeśli pracownik wykonuje bardzo odpowiedzialne zadania dla których wykonania kluczowa jest trzeźwość, a brak tej trzeźwości może sprowadzić istotne i realne zagrożenie dla najważniejszych wartości to interes w badaniu trzeźwości przed dopuszczeniem do pracy jest dla mnie oczywisty. Będzie to dotyczyło na przykład osób zatrudnionych na stanowisku kierowców zawodowych. Z podobnych powodów według mnie można uznać za zasadne badanie alkomatem pracowników w zakładzie pracy, w którym występują istotne czynniki zagrożenia (np. materiały łatwopalne lub szkodliwe substancje). Obecność nietrzeźwego pracownika może wtedy realnie zwiększać ryzyko wystąpienia poważnego wypadku w pracy. 

Oczywiście należy pamiętać, że dla przyjęcia podstawy przetwarzania w postaci uzasadnionego interesu pracodawcy należy wcześniej przeprowadzić analizę ryzyka i w ramach tej analizy – test proporcjonalności pomiędzy interes pracodawcy jako administratora i prawami i wolnościami pracownika jako osoby, której dane dotyczą.

Drugą kwestią – nawet uznając informacje o trzeźwości pracownika za daną szczególnej kategorii, której przetwarzanie nie jest dopuszczalne – na znowelizowane przepisy w mojej ocenie należy spojrzeć wyłącznie jako regulacji uszczegóławiającej zgodę pracownika jako jedną z możliwych podstaw przetwarzania (art. 6 ust 1 lit a) RODO i art. 9 ust 2 lit a) RODO). Dodane do kodeksu pracy przepisy art. 221ai 221bw połączeniu z wcześniejszymi przepisami nie stanowi w mojej ocenie pełnej regulacji o tym kiedy dane pracownika mogą być przetwarzane. Ustawa nie wyłącza regulacji zawartych w RODO i zawartych tam podstaw przetwarzania danych osobowych innych niż zgoda i przepis prawa. Co więcej, w samym uzasadnieniu do ustawy wprowadzającej omawianą zmianę jest wskazane, że: „Przykładem (przetwarzania danych na podstawie innej niż przepis prawa i zgoda – przyp. autora) może być chociażby art. 9 ust. 2 lit. c RODO, w którym mowa, że podstawą przetwarzania danych osobowych może być ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.” 

Trzeba wobec tego zauważyć, że wprowadzone nowelizacją przepisy kodeksu pracy dotyczą wyłącznie przetwarzania danych osobowych na podstawie zgody. Stanowią one, że dane „zwyczajne” pracownika mogą być przetwarzane na podstawie zgody z inicjatywy pracodawcy, pracownika lub osoby ubiegającej się o zatrudnienie, a dane szczególnych kategorii można przetwarzać wyłącznie, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika (art. 221b§ 1 Kodeksu pracy). Przepisy te w żadnej mierze nie wyłączają przetwarzania danych na podstawie innej przesłanki wskazanej w RODO

Wobec powyższego uważam (uznając dane o trzeźwości za dane szczególnych kategorii), że można rozważyć ich przetwarzanie na podstawie art. 9 ust. 2 lit. b) RODO który stanowi, że przetwarzanie jest dopuszczalne, jeśli jest ono niezbędne do wypełnienia obowiązków (..) przez administratora (…) w dziedzinie prawa pracy (…) o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą. Jako uzasadnienie dla stosowania tej podstawy przetwarzania można wskazać, że podstawowym obowiązkiem pracodawcy jest zapewnienie bezpieczeństwa i higieny pracy dla swoich pracowników. Pracodawca jest zobowiązany do podjęcia wszelkich możliwych działań dla ochrony życia i zdrowia pracowników. Obecność nietrzeźwego pracownika na terenie zakładu pracy może natomiast stwarzać zagrożenie dla bezpiecznych warunków pracy. Jego zachowanie może bowiem powodować realne zagrożenie, szczególnie jeśli chodzi o stanowiska pracy o dużej odpowiedzialności

Trzeba zauważyć na koniec, że wzmocnieniem tej argumentacji jest fakt, że z możliwości przetwarzania danych osobowych osoby ubiegającej się o zatrudnienie lub pracownika na podstawie ich zgody wyłączone są dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa – środków karnych oraz środków zabezpieczających (art. 10 RODO). Tego rodzaju dane osobowe można przetwarzać – zgodnie z art. 10 RODO – wyłącznie w przypadku, kiedy przepis prawa przewiduje obowiązek ich żądania przez pracodawcę lub obowiązek ich udostępnienia przez osobę ubiegającą się o zatrudnienie lub pracownika. Brakuje tożsamej regulacji dotyczącej danych szczególnych kategorii, o których mowa w art. 9 RODO. Tym samym nie ma w mojej ocenie żadnych przeszkód do tego, by podstawy przetwarzania danych osobowych poszukiwać w innych przesłankach, niż zgoda i przepis prawa. Koncepcja wykorzystania art. 9 ust. 2 lit. b) RODO jest według mnie wystarczająca. 

Na koniec trzeba zauważyć, że podstawy przetwarzania danych osobowych nie są żadną nowością wprowadzoną przez RODO. Trudno sobie wyobrazić, żeby w jakimkolwiek przypadku podstawą przetwarzania danych związanych z trzeźwością pracownika była zgoda. Taka koncepcja jest całkowicie karkołomna i niepraktyczna. Trudno mówić bowiem w tej sytuacji o jakiejkolwiek dobrowolności, która jest immanentną cechą zgody. Wobec tego budowanie argumentacji o możliwości pozyskiwania takich danych o pracowniku w kontekście znowelizowanych przepisów regulujących zgodę jawi się jako całkowite pomylenie pojęć. 

Kontrole RODO 2019

Prezes UODO opublikował na swojej stronie internetowej plan kontroli obszarowych na rok 2019. Podmioty działające w obszarach, które zostały wyszczególnione w wykazie powinny być w szczególności gotowe do wykazania posiadania sprawnego i zgodnego z prawem systemu ochrony danych osobowych. S ą to przede wszystkim spółdzielnie mieszkaniowe oraz gminy w zakresie sektora publicznego oraz formy telemarketingowe i handlarze danymi osobowymi z sektora prywatnego.

Nie wyklucza to oczywiście kontroli w innych obszarach. Należy pamiętać, że Prezes UODO poza planowymi kontrolami reaguje także na bieżące sytuacje oraz zawiadomienia. Tych było w ciągu pierwszych trzech miesięcy funkcjonowania RODO zgodnie z oświadczeniami urzędników około 2.400, a ich liczba ma stare rosnąć.

PLAN KONTROLI PREZESA UODO NA ROK 2019

SEKTOR PUBLICZNY
I. Miejski monitoring wizyjny (kontynuacja kontroli sektorowych z 2018 r.)
II. Udostępnianie danych w Biuletynie Informacji Publicznej oraz sposób wysyłania korespondencji zawierającej dane osobowe
III. Sposób prowadzenia rejestru czynności przetwarzania danych osobowych i sposób dokumentowania przez administratora danych naruszeń ochrony danych osobowych
IV. System identyfikacji i monitoringu odpadów
V. Sposób prowadzenia i zabezpieczenia przez spółdzielnie mieszkaniowe rejestru członków

SEKTOR PRYWATNY
I. Telemarketing
II. Brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych
III. Profilowanie w sektorze bankowym i ubezpieczeniowym.

Biorąc pod uwagę oficjalne kontrole należy zwrócić uwagę na inny komunikat Prezesa UODO, który swojego czasu informował jakich dokumentów dotyczących RODO będzie wymagał.

Wedle komunikatu, zgodną z RODO dokumentację przetwarzania danych osobowych, która będzie jednocześnie instrumentem wykazującym zgodność wykonywanych czynności przetwarzania z przepisami prawa, występujące w dotychczasowej dokumentacji elementy należy uzupełnić o takie elementy jak:

  1. rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  2. wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  3. procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
  4. procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  5. raport z przeprowadzonej, ogólnej analizy ryzyka;
  6. raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
  7. procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
  8. plan ciągłości działania – art. 32 ust 1 pkt b RODO;
  9. procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.

W przypadku kontroli Prezesa UODO warto korzystać z pomocy specjalistów. Zapraszamy do kontaktu.

Akcja informacyjna na Dzień Ochrony Danych Osobowych

Dzień Ochrony Danych Osobowych został ustanowiony na dzień 28 stycznia przez Komitet Ministrów Rady Europy. Obchodzony jest w rocznicę sporządzenia Konwencji 108 Rady Europy z dnia 28 stycznia 1981 r. w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych. Konwencja ta, jest najstarszym aktem prawnym o zasięgu międzynarodowym, który reguluje zagadnienia związane z ochroną danych osobowych.

To dzisiaj obchodzimy to Święto, które po 25 maja 2018 roku z pewnością nabierze nowego znaczenia.

To dobry pretekst do przeprowadzenia akcji informacyjnej u Administratora. W tym celu opracowaliśmy infografikę, którą warto do tego wykorzystać. Dotyczy ona incydentów związanych z ochroną danych osobowych. To bardzo ważny temat, bo zgodnie z RODO Administrator/Podmiot przetwarzający ma obowiązek niezwłocznego reagowania na występujące incydenty (72 h) – dlatego każdy pracownik powinien mieć świadomość czym one są i wiedzieć co z tym zrobić.

Ponadto taka akcja wpisuje się w konieczność ciągłości działania i dbania Administratora o dane osobowe. Będzie z pewnością to dobrze postrzegane na wypadek kontroli.

Infografikę warto rozdystrybuować wśród pracowników, którzy pracują na danych osobowych. Można też wydrukować i przywiesić na tablice lub udostępnić w inny sposób – dodatkowo zbierając potwierdzenie, że taka akcja miała miejsce.

Materiał do pobrania:

Inforgrafika_MDDO

Czy masz wdrożone RODO – oficjalny formularz wymogów sprawdzanych podczas kontroli

W ostatnich dnia 2018 roku Departament Polityki Wydatkowej udostępnił na swojej stronie internetowej formularz oceny spełniania obowiązków wynikających z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) oraz ustawy o ochronie danych osobowych. Stanowi on podsumowaniem dotychczasowych doświadczeń w zakresie przygotowania jednostek administracji do realizacji zadań związanych z badaniem funkcjonowania systemu ochrony danych osobowych.

W praktyce jest to dokument zawierający szczegółową listę 111 wymogów związanych z systemem ochrony danych osobowych, których sprawdzenie ma dać odpowiedź czy w jednostce podlegającej ocenie zostało wdrożone RODO w sposób prawidłowy i kompletny.

Skierowany jest on do sektora publicznego, jednak w mojej ocenie warto także, by jednostki sektora prywatnego skorzystały z tego dokumentu i wykorzystały go do własnych celów.  W jaki sposób? Warto przebrnąć roboczo prze ten formularz dokonując samooceny w zakresie spełniania wymienionych wymogów, żeby odpowiedź na pytanie czy wdrożenie RODO jest właściwe i pełne. Co więcej, warto po takiej czynności sporządzić notatkę wewnętrzną zawierającą informacje o tym w jaki sposób dokonano weryfikacji i jakie wnioski z niej wypływają. W ten sposób będzie można postawić sobie „plusik” po stronie spełniania zasady ciągłości działania w obszarze ochrony danych osobowych, a to może okazać się ważnym argumentem na wypadek kontroli.

Sektor prywatny, szczególnie ten mniejszy, w mojej ocenie nie powinien jednak podchodzić do tego dokumentu bardzo formalistycznie. Trzeba pamiętać, że RODO dotyczy wszystkich, jednak mali oraz średni przedsiębiorcy nie muszą mieć  – i zazwyczaj nie mają – rozbudowanych i sformalizowanych procedur we wszystkich obszarach związanych z ochroną danych osobowych, jak to mają w zwyczaju jednostki publiczne. Biznes ze swojej specyfiki łączy się z nieco odmiennymi warunkami działania niż administracja, stąd przygotowany Formularz może być dla sektora prywatnego wyłącznie wskazówkami, niż sztywnymi wytycznymi.

Formularz można pobrać ze strony internetowej Ministerstwa Finansów:

https://www.mf.gov.pl/ministerstwo-finansow/dzialalnosc/finanse-publiczne/kontrola-zarzadcza-i-audyt-wewnetrzny/aktualnosci1/-/asset_publisher/SVp7/content/formularz-oceny-spelniania-obowiazkow-wynikajacych-z-rodo-oraz-ustawy-o-ochronie-danych-osobowych/pop_up?_101_INSTANCE_SVp7_viewMode=print

 

 

Kto jest kto, czyli o upoważnieniach i umowach związanych z przetwarzaniem danych osobowych

Jednym z podstawowych etapów związanych z prawidłową regulacją procesu przetwarzania danych u każdego podmiotu jest ustalenie komu należy udzielić upoważnienia do przetwarzania danych oraz czy i z kim zawrzeć umowę związaną z ochroną danych osobowych, ewentualnie o jakiej treści. W wielu przypadkach sprawia to sporo problemów bo materia ta nie jest łatwa i jednoznaczna. W niniejszym wpisie postaram się rozwiać ewentualne wątpliwości starając się podejść do tematu praktycznie. Zapraszam wobec tego do lektury praktyczno-teoretycznego wstępu i na końcu – analizy przykładu.

Upoważnienie udzielane jest osobie, która ma być przedstawicielem podmiotu w zakresie konkretnych procesów przetwarzania danych osobowych w tym podmiocie i w związku z tym ma mieć dostęp do danych osobowych. Upoważnienia powinien wystawić swoim przedstawicielom zarówno administrator jak i podmiot przetwarzający. Dotyczą one zatem każdego.

Upoważnienie do przetwarzania danych osobowych w praktyce oznacza, że osoba upoważniona występuje w imieniu tego podmiotu i w pewien sposób korzysta z prawa tego podmiotu do przetwarzania danych osobowych. Zobrazować to można w ten sposób, że osoba upoważniona jest własnymi „rękoma”, którymi podmiot ten dokonuje przetwarzania danych osobowych.

Udzielając upoważnień należy mieć na uwadze zasadę minimalizmu, co oznacza w praktyce, że powinno się udzielić upoważnienia do przetwarzania danych osobowych wyłącznie tym osobom, które w związku z pełnionymi obowiązkami muszą mieć dostęp do danych osobowych oraz tylko w takim zakresie, jaki jest niezbędny do wykonania tych obowiązków. Należy się wobec tego zastanowić komu i jaki dostęp do danych osobowych jest potrzebny i absolutnie należy kierować się tutaj racjonalnością, tak by nie blokować lub utrudniać podstawowej działalności firmy.

Upoważnienie powinno wskazywać w swojej treści przede wszystkim komu zostało udzielone, na jaki czas oraz jaki ma ono zakres. Warto przy okazji wzbogacić je o oświadczenie o zapoznaniu się z obowiązującymi regulacjami dotyczącymi ochrony danych osobowych, zobowiązanie do ich przestrzegania, zobowiązanie do zachowania poufności oraz wskazanie dostępu do wykorzystywanych w podmiocie systemów informatycznych. Upoważnienie może także określać rodzaj operacji, które osoba upoważniona może wykonać na danych np. wąsko – wyłącznie dostęp lub szeroko – dostęp, modyfikacja i usunięcie.

Umowa powierzenia zawierana jest pomiędzy administratorem i podmiotem przetwarzającym. Administrator określa cele i sposoby przetwarzania danych osobowych, a podmiot przetwarzający (procesor) przetwarza dane osobowe w imieniu administratora. Minimalna treść umowy powierzenia wskazana jest w art. 28 RODO i nie ma potrzeby jej przywoływania w tym miejscu. Należy jednak pamiętać, że jeszcze przed zawarciem umowy powierzenia administrator powinien zadbać o to, by procesor dawał wystarczającą gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych. Przy wyborze kontrahenta powinien wobec tego mieć na uwadze stosowanie przez niego odpowiedniego poziomu ochrony danych osobowych, a zatem powinien co najmniej zadać kilka kontrolnych pytań w tym zakresie, by nikt nie zarzucił mu braku rzetelności przy wyborze usługodawcy. Zasada jest, że za działania podmiotu przetwarzającego i tak odpowiedzialność ponosi administrator!

Stosunek pomiędzy administratorem i podmiotem przetwarzającym można zobrazować w dużym uproszczeniu jako relację pomiędzy człowiekiem (administrator) i robotem (podmiotem przetwarzającym). Administrator decyduje w tej relacji o tym jakie operacje na danych osobowych administratora i w jaki sposób mają być wykonane przez podmiot przetwarzający, a podmiot przetwarzający wyłącznie robi to, co administrator zdecydował. Administrator „programuje” to co i w jaki sposób ma robić procesor, którego jedynym zadaniem  jest to wykonać. Procesor jest pozbawiony w tym zakresie swobody działania.

Ważne jest zrozumienie, że dla relacji administrator-procesor nie wystarczy sama możliwość określenia celów przetwarzania danych osobowych ale także – co równie istotne –  sposobów przetwarzania (np. zabronienia korzystania z nowych podwykonawców lub użycia nowych narzędzi). Każdorazowo należy się zatem zastanowić co w danej relacji administrator może „kazać” zrobić podmiotowi przetwarzającemu i przez ten pryzmat oceniać tę relację.

To nie koniec, bo w praktyce występuje także często relacja administrator – administrator. Relację tę można zobrazować jako powierzenie przetwarzania danych osobowych przez jedną osobę komuś innemu, a oba te podmioty są w stosunku do siebie niezależne. Niezależność ta może się przejawiać zarówno w odmiennych celach przetwarzania danych osobowych lub posiadaniu po prostu własnych celów ale także w możliwości decydowania o sposobach przetwarzania danych.

Aby pod kątem prawnym uregulować tę relację warto zawrzeć porozumienie, które jednoznacznie potwierdzi, że mamy do czynienia z taką właśnie relacją, w czym jej upatrujemy i jakie ogólne warunki współpracy sobie stawiamy. Dokument ten, choć nie jest obligatoryjny, w mojej ocenie jest bardzo istotny z tego powodu, że pozwoli wykazać, że dany stosunek został przeanalizowany od kątem przepływu danych osobowych, zdefiniowany i uregulowany.

Na końcu wskazać trzeba na możliwość wystąpienia relacji współadministrowania, która charakteryzuje się tym, że dwa lub więcej podmiotów wspólnie określają cele i sposoby przetwarzania. Musi zatem występować w tej relacji silne powiązanie i możliwość współdecydowania o procesach przetwarzania danych osobowych. Relacja ta będzie występowała stosunkowo najrzadziej, a jej najbardziej powszechnym przykładem jest funkcjonowanie spółek ściśle powiązanych w ramach jednej grupy kapitałowej. Obrazując tę relację można wyobrazić sobie dwie „ręce” tego samego człowieka, które wspólnie przetwarzają dane osobowe.

Przykład:

Jako prosty przykład dla opisanych relacji weźmy niedużą firmę szyjącą damskie torebki. Firma ta będzie dla potrzeb niniejszej analizy składała się z szefowej, kilkunastoosobowej załogi pracowników produkcji, pracownika sekretariatu będącego swoistym asystentem szefowej oraz osoby zajmującej się wyłącznie sprzedażą i dystrybucją. Wszystkie te osoby zatrudnione są na podstawie umowy o pracę, jednak przedstawiciel handlowy pozostaje w relacji B2B pomimo że pracuje w siedzibie firmy i korzysta w całości z jej zasobów. Firma ta korzysta z zewnętrznych usług kadrowych i obsługi prawnej w postaci kancelarii adwokackiej. Ponadto zewnętrzna firma w weekendy sprząta pomieszczenia w których znajduje się jej siedziba.

Zarówno pracownikom zatrudnionym na umowę o pracę jak i przedstawicielowi handlowemu pozostającemu w relacji B2B powinny zostać udzielone upoważnienia do przetwarzania danych osobowych. W stosunku co do pracowników, z którymi firma zawarła umowy o pracę, sprawa jest jasna. Przedstawiciel handlowy pozostający w relacji B2B działa jednak także jako przedstawiciel firmy, jest tak samo traktowany jak pozostali pracownicy i ma dostęp do zasobów firmy. Także jemu dajemy upoważnienie.

Pracownikom produkcyjnym wystarczy bardzo wąskie upoważnienie obejmujące swoim zakresem wyłącznie podstawowe dane innych pracowników i ewentualnie podstawowe dane osób kupujących torebki – o ile proces produkcyjny jest zorganizowany w ten sposób, że jest to wymagane. Obsługa sekretariatu będzie miała szerokie upoważnienie, bo jest prawą ręką szefowej. Będzie ono obejmowało dostęp do danych finansowych, kadrowych, pracowniczych. To przez tę osobę przechodzą bowiem wszystkie dokumenty w firmie. Przedstawiciel handlowy nie powinien mieć natomiast dostępu do danych kadrowych czy danych rekrutacyjnych. Nie są one mu do niczego potrzebne. Powinien mieć jednak dostęp do danych kontrahentów firmy.

Obsługa kadrowa występuje w stosunku do firmy w relacji podmiotu przetwarzającego, więc należałoby zawrzeć z nią umowę powierzenia. Całość danych obsługa kadrowa otrzymuje od naszej firmy, która określa dokładnie co i w jaki sposób obsługa kadrowa ma zrobić. Gdy firma tak zdecyduje obsługa kadrowa będzie musiała zaprzestać przetwarzania tych danych. Firma może się także nie zgodzić na pewne procesy przetwarzania danych osobowych, które chce wprowadzić obsługa kadrowa, np. przechowywanie danych na serwerach w Bangladeszu.

Inaczej jest w stosunku do kancelarii adwokackiej. Adwokat ma dużą niezależność wobec swojego klienta pomimo, że świadczy na jego rzecz usługi. Dla przykładu można wskazać, że kancelaria może przechowywać udostępnione mu dane osobowe w swoich wewnętrznych aktach nawet wtedy, gdy współpraca się zakończy. Wynika to z przepisów prawa. W tym przypadku warto zawrzeć porozumienie regulujące relację administrator-administrator.

Firma sprzątająca ma teoretyczną możliwość dostępu do danych osobowych. Oczywistym jest bowiem, że w pomieszczeniu biurowym będą dokumenty takie dane zawierające, a posprzątać to pomieszczenie przecież trzeba! Nie dochodzi jednak tutaj do powierzenia danych osobowych – firma nie zleca obsłudze sprzątającej żadnych operacji na danych osobowych. Dla bezpieczeństwa warto jednak byłoby tutaj zawrzeć w tym przypadku umowę o zachowaniu w poufności danych do których dostęp firma sprzątająca może uzyskać przy okazji wykonywania umowy.

Na koniec przestroga i przypomnienie o tym, że systemu ochrony danych osobowych nie można przekleić ze wzorów lub od kogoś innego. Każdy podmiot jest inny i wymaga indywidualnego podejścia. Powyższe wskazówki mają wyłącznie pomóc rozróżniać występujące na polu ochrony danych osobowych stosunki i dawać propozycje ich uregulowania. Nie należy ich jednak traktować jako sprawdzony przepis na skuteczny i zgodny z RODO system ochrony danych osobowych. Aby taki stworzyć trzeba wszystko dobrze poznać i przeanalizować, a to wymaga pracy.

1 2 3