Zatrudnienie pracowników a RODO cz. III


Przekazywanie danych w związku z oferowanymi przez pracodawcę dodatkowymi świadczeniami pracowniczymi

Coraz częściej pracodawcy, aby zachęcić pracowników do podjęcia pracy w ich firmach oferują różnego rodzaju udogodnienia np. karnety na siłownię, prywatną opiekę zdrowotną czy też dodatkowe ubezpieczenia pracownicze. W związku z faktem, iż korzystanie z tych udogodnień jest w pełni dobrowolne, pracodawca nie może udostępnić danych osobowych pracowników bez ich wiedzy i zgody na rzecz podmiotów świadczących te usługi. Udostępnienie danych osobowych przez pracodawcę odbywa się na podstawie zgody wyrażonej przez pracownika. Przetwarzanie przez podmioty świadczące tego typu usługi danych osobowych pracowników lub innych osób zgłoszonych do programu odbywa się zatem na podstawie uprzednio wyrażonej przez nich zgody, tj. na podstawie art. 6 ust. 1 lit. a RODO. Podmioty te stają się administratorami danych osobowych osób korzystających z ich usług, niemniej jednak wszelkie roszczenia z tytułu zawartych umów przysługują im względem pracodawców, a nie pracowników będących beneficjentami usług. Konsekwencją uznania takiego podmiotu za administratora danych osobowych jest konieczność stwierdzenia, że takie podmioty są zobowiązane do informowania osób, których dane dotyczą o okolicznościach wskazanych w art. 13 RODO np. w deklaracji przystąpienia. Jednocześnie nie ma tu zastosowania instytucja powierzenia przetwarzania danych osobowych. Podkreślić należy, że istota powierzenia przetwarzania danych osobowych polega m.in. na tym, że nie jest wymagane uzyskanie zgody osoby, której dane dotyczą, na powierzenie jej danych.

Czy należy zawrzeć umowę powierzenia z podmiotem oferującym benefity?

Zasadniczą kwestią decydującą o uznaniu, czy podmiot przetwarzający dane osobowe jest ich administratorem jest stwierdzenie czy decyduje on o celach i środkach przetwarzania. Zaznaczyć należy, że pracodawca przetwarza dane osobowe pracowników w zakresie i celu niezbędnym dla wykonania ciążących na nim obowiązków wynikających ze stosunku pracy. Natomiast usługodawcy przetwarzają dane osobowe pracowników w celu i zakresie świadczonych przez nich usług. Mamy więc tutaj do czynienia z dwoma odrębnymi zbiorami danych osobowych prowadzonymi przez odrębnych administratorów danych. Pracodawca nie może więc za-żądać od podmiotów medycznych czy ubezpieczycieli, z którymi ma podpisaną umowę na świadczenie usług wobec swoich pracowników, przekazania danych osobowych np. na temat ich zdrowia.

Jakie dane pracowników pracodawca może udostępnić?

Zakres danych osobowych udostępnianych przez pracodawcę jest ograniczony i ściśle związany z przedmiotem działalności podmiotu świadczącego usługę. Musi on być zatem niezbędny do realizacji danej usługi. Podkreślić należy, że jeśli przekazane dane obejmują szczególne kategorie danych, o których mowa w art. 9 ust. 1 RODO niezbędne jest uzyskanie odrębnej zgody pracownika (art. 9 ust. 2 pkt a RODO).

Przekazywanie informacji o pracownikach pomiędzy spółkami grupy przedsiębiorstw (np. do jakiegoś projektu, zadań albo pracy).

Zgodnie z art. 4 pkt 19 RODO, grupę przedsiębiorstw tworzą przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez niekontrolowane. Zgodnie natomiast z motywem 37 RODO, przedsiębiorstwo sprawujące kontrolę to przedsiębiorstwo, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu na przykład na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych. Za grupę przedsiębiorstw należy uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim, wraz z tymi przedsiębiorstwami.

Pojęcie kontroli zawarte w przepisach RODO nie jest tym samym, co kontrola właścicielska, lecz należy ją rozumieć, jako kontrolę definiowaną przez przetwarzanie danych osobowych. Warto zauważyć, że nie tylko spółka dominująca (w rozumieniu przepisów Kodeksu spółek handlowych) może sprawować kontrolę, ale także odpowiadać za to może inna dowolna spółka należąca do grupy przedsiębiorstw.

Czy można przekazywać dane pracowników w ramach grupy przedsiębiorstw, do której należy praco-dawca?

Administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Oznacza to, że przekazywanie w ramach grupy przedsiębiorstw danych osobowych pracowników poszczególnych podmiotów z grupy (np. w związku z centralizacją określonych procesów w za-kresie kadr i płac) może znajdować oparcie w prawnie uzasadnionym interesie pracodawcy.

Na czym polegają cele administracyjne, w których można przetwarzać dane pracowników w ramach grupy przedsiębiorstw?

Poprzez cele administracyjne należy rozumieć wszelkie czynności bezpośrednio związane ze stosunkiem pracy, np. przekazanie pracownika do innego miejsca, w tym delegowanie go na jakiś czas do pracy w innej spółce w ramach grupy, działania związane z rozwojem pracownika – organizacja szkoleń, zatwierdzania wysokości wynagrodzenia, czy też prowadzenia statystyk dotyczących zatrudnienia w grupie, jak również rekrutację pracowników (spółka córka utworzona na potrzeby rekrutacji). Jedynym ograniczeniem są sytuacje, w których nadrzędny charakter wobec prawnie uzasadnionego interesu pracodawcy mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.

Jakie będą obowiązki administratora danych pracowników przetwarzanych w ramach grupy przedsiębiorstw?

Administratorzy będący częścią grupy przedsiębiorstw powinni rozważyć współpracę w zakresie administrowania danymi osobowymi. Specyfika relacji współadministrowania polega przede wszystkim na tym, że administratorzy wspólnie ustalają cele i sposoby przetwarzania, a także wspólnie realizują obowiązki wynikające z przepisów i podejmują procesy przetwarzania. Tym samym nie dochodzi między tymi podmiotami do po-wierzenia ani udostępnienia danych, ponieważ przetwarzają dane wspólnie, w ramach ustalonych celów. Należy przy tym pamiętać, że:

– Współadministratorzy w drodze wspólnych uzgodnień w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków informacyjnych, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają.

– Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą – wymóg transparentnego i przejrzystego komunikowania osobie, której dane dotyczą, kluczowych informacji dotyczących przetwarzania jej danych.

– W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą. Może to odbywać się poprzez powierzenie tej funkcji inspektorowi ochrony danych. Osoby te mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz wykonywaniem ich praw. Tym samym nie ma przeszkód, by inspektor udzielał także informacji w zakresie uzgodnień między współadministratorami.

– Osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z RODO wobec każdego z administratorów, niezależnie od uzgodnień pomiędzy współadministratorami.

Wykorzystanie wewnętrznych zasobów telekomunikacyjnych

W ciągu ostatnich lat postęp techniki sprawił, że zamieniliśmy maszyny do pisania na klawiatury komputerów, a druczki papierowe coraz częściej zastępujemy dokumentami elektronicznymi. Świat w zakresie nowych technologii nie biegnie tylko pędzi, a my musimy temu wyzwaniu sprostać czy tego chcemy czy nie. Nowe technologie pozwalają również pracodawcy na wykorzystywanie wewnętrznych zasobów telekomunikacyjnych do monitorowania pracowników. Mimo to, musi on pamiętać, że nie ma prawa do naruszania prywatności pracownika w miejscu pracy (na przykład poprzez monitorowanie rozmów telefonicznych, śledzenie korespondencji e-mail czy sprawdzanie przesyłek adresowanych do pracownika) bez poważnego powodu związanego z charakterem jego pracy.