Przetwarzanie danych osobowych nie zawsze ma związek ze stosunkiem pracy

W drugiej połowie 2020 r. pojawiły się wytyczne Europejskiej Rady Ochrony Danych Osobowych dotyczące podstawowych pojęć takich jak: administrator, procesor, osoba trzecia czy odbiorca danych (dane są dostępne pod adresem: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_en  ). Wytyczne EROD z pewnością nie zawierają przełomowych treści w kontekście rozumienia tych podstawowych dla RODO pojęć. Niemniej stanowią wartościowe podsumowanie w tym zakresie, a jednocześnie pozwalają raz jeszcze spojrzeć na rolę pracodawcy w procesie przetwarzania danych osobowych pracowników.

KLUCZOWE POJĘCIA

Na początku warto przypomnieć znaczenie pojęć podstawowych. Administrator to podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. Zatem administrator samodzielnie lub wspólnie z innymi podmiotami decyduje, dlaczego i w jaki sposób przetwarzane są dane osobowe. Status administratora uzyskuje się tylko wtedy, gdy łącznie decyduje się o celach i sposobach przetwarzania. Przy czym cele przetwarzania są tu kategorią kluczową – bez nich trudno bowiem mówić o sposobach.

Administrator może podejmować decyzje o przetwarzaniu danych samodzielnie. Może być też tak, że w ramach całego lub części procesu przetwarzania danych osobowych te decyzje są podejmowane łącznie z innym podmiotem, np. partnerem biznesowym. W takim przypadku mamy do czynienia ze współadministrowaniem.
Status procesora ma natomiast podmiot, który przetwarza dane osobowe w celach i w sposób, który determinuje inny podmiot – administrator danych. Cele i sposoby przetwarzania danych są procesorowi narzucane umową. Procesor może posiadać określoną swobodę co do środków przetwarzania, ale nie może wychodzić poza powierzone mu cele i sposoby przetwarzania danych osobowych.

Rola danego podmiotu w procesie przetwarzania wynika nie z ustaleń umownych, lecz z takiego, a nie innego, ułożenia tego procesu. Umownie nie można przestać być lub stać się administratorem czy procesorem, jeżeli określony status wynika z okoliczności przetwarzania. Zanim zatem przystąpi się do redakcji umowy, należy przeanalizować status podmiotów uczestniczących w przetwarzaniu danych w ramach określonego przedsięwzięcia. Bez właściwego rozpoznania sytuacji nie będzie można właściwie stosować RODO. Inne obowiązki ma bowiem administrator, a inne procesor.

STATUS PRACODAWCY

Co do zasady pracodawca przetwarza dane osobowe pracowników jako administrator. To on bowiem decyduje o celach i sposobach przetwarzania tych danych. Często ta decyzja jest mu niejako narzucana przez przepisy. Będzie tak np. w kontekście przetwarzania danych w dokumentacji pracowniczej. W innych przypadkach swoboda w zakresie decydowania o celach i sposobach przetwarzania danych osobowych może być większa. Jest tak np. w przypadku podjęcia decyzji o prowadzeniu gazety wewnątrzzakładowej.
Problemy pojawiają się, gdy pracodawca zawiera umowy z podmiotami, które świadczą dla niego różnego rodzaju usługi lub którym to on świadczy usługi. Współpraca biznesowa nie może bowiem odbywać się bez transferu danych osobowych pracowników. Często w takich przypadkach pojawia się dążenie do zawarcia umowy powierzenia danych osobowych i równie często jest to podejście błędne. Takie dążenie spotyka się np. w przypadku podmiotów świadczących usługi medyczne.

Współpraca biznesowa dwóch podmiotów zazwyczaj nie jest związana z powierzeniem danych osobowych. Najczęściej następuje wówczas wzajemne udostępnianie danych osobowych pracowników pomiędzy dwoma odrębnymi administratorami danych. Współpracujące podmioty przetwarzają dane osobowe pracowników drugiej strony we własnych celach.
Może być tak, że partner biznesowy pracodawcy stanie się procesorem danych osobowych powierzanych mu przez pracodawcę. Możliwe jest jednak również, że w ramach określonej relacji to pracodawca stanie się procesorem. Występują też bardziej złożone sytuacje, gdzie w ramach jednego procesu biznesowego mamy do czynienia z administrowaniem lub współadministrowaniem połączonym z udostępnieniem danych, jak i z powierzeniem danych do przetwarzania.

USŁUGI KADROWE

Gdy pracodawca przekazuje dane osobowe pracowników firmie, która nalicza wynagrodzenia, zazwyczaj mamy do czynienia z powierzeniem danych do przetwarzania. Tego typu firma nie przetwarza danych osobowych pracowników we własnym celu. Realizuje cele i sposoby przetwarzania pracodawcy. Gdy dane pracowników wraz z naliczonymi wynagrodzeniami są przekazywane bankowi, który realizuje przelewy, bank nie występuje w roli procesora. Bank – niezależnie od jakichkolwiek poleceń pracodawcy – decyduje o przetwarzaniu danych pracowników, aby zrealizować przelewy. Na taką rolę banku wprost wskazuje się w wytycznych EROD.

UBEZPIECZENIA PRACOWNIKÓW

Pracodawcy często wykupują dla pracowników różnego rodzaju ubezpieczenia. Ubezpieczyciele muszą pozyskiwać dane osobowe pracowników, aby móc świadczyć usługi.
Z perspektywy przetwarzania danych osobowych mogą tu występować różne modele współpracy. Może być tak, że pracodawca przekazuje wyłącznie dane osobowe pracowników, którzy są zainteresowani ubezpieczeniem. W takim przypadku mamy do czynienia wyłącznie z udostępnieniem danych osobowych przez pracodawcę odrębnemu administratorowi – ubezpieczycielowi.
Często jest jednak tak, że ubezpieczyciele przerzucają na pracodawców różne obowiązki związane z obsługą polisy. Chodzi np. o przyjmowanie deklaracji członkowskich, aktualizowanie danych pracowników czy przechowywanie dokumentacji. Te czynności pracodawca często realizuje w systemie IT ubezpieczyciela.

W takim przypadku pracodawca wykonuje szereg czynności za ubezpieczyciela. Można wtedy przyjąć, że dochodzi do powierzenia danych do przetwarzania pracodawcy przez ubezpieczyciela. Niestety z perspektywy pracodawcy rodzi to dodatkową odpowiedzialność i dodatkowe obowiązki wynikające z RODO, np. konieczność prowadzenia tzw. rejestru kategorii czynności przetwarzania. Trzeba też pamiętać, że pracodawca we własnych celach korzysta z informacji zamieszczonych w systemie ubezpieczyciela chociażby w celu rozliczenia składek ubezpieczeniowych.
Niezależnie od roli procesora, pracodawca jest w tym przypadku również administratorem przynajmniej części danych osobowych pracowników, gdyż przetwarza je również na własne cele.
Z kolei kancelarie prawne oraz brokerzy ubezpieczeniowi mają na tyle dużą swobodę w kształtowaniu procesów przetwarzania danych, że przyjmuje się, iż co do zasady są oni odrębnymi administratorami danych osobowych otrzymanych od klientów. Pracodawca, który udostępnia dane osobowe kancelarii lub brokerowi nie powinien, co do zasady, zawierać umowy powierzenia.

SZYMON SZURGACZ RADCA PRAWNY W SENDERO TAX & LEGAL

W przypadku współpracy pracodawcy z podmiotami dostarczającymi różnego rodzaju benefity dla pracowników sytuacja może kształtować się podobnie, jak w przypadku ubezpieczeń. Często oprócz statusu administratora danych osobowych pracowników, chociażby na cele rozliczenia opłat związanych z danym świadczeniem, pracodawca staje się również podmiotem przetwarzającym dane osobowe na rzecz dostawcy określonych usług. Pracodawca jest wtedy również obciążany zadaniami, które – gdyby nie taka, a inna umowa z dostawcą usług – byłyby realizowane przez tego dostawcę. Dotyczy to np. bieżącego ewidencjonowania osób korzystających z usług.

Artykuł opublikowano w internetowym oraz papierowym wydaniu dziennika ,,Rzeczpospolita”.