Przekazanie danych osobowych pracowników za granicę – czy potrzebna jest zgoda i umowa powierzenia

Zgodnie z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Przepis ten nie pozwala na przekazanie danych osobowych pracowników za granicę. Czym innym jest podstawa prawna pracodawcy do przetwarzania danych pracowników, a czym innym to, w jakim trybie pracodawca może przekazywać dane osobowe pracowników za granicę.

Daną osobową w rozumieniu przepisów o ochronie danych osobowych może być każda informacja, która jednoznacznie pozwala zidentyfikować konkretnego człowieka. Pracodawca nie może pobierać od pracownika dowolnych danych, lecz tylko te, które zostały wyszczególnione w art. 22¹ Kodeksu pracy. Są to:

• imię i nazwisko,
• imiona rodziców,
• data urodzenia,
• miejsce zamieszkania (adres do korespondencji),
• wykształcenie,
• przebieg dotychczasowego zatrudnienia,
• inne dane konieczne dla korzystania przez zatrudnionego ze szczególnych uprawnień rodzicielskich,
• numer PESEL.

Gromadzenie innych danych jest dopuszczalne, tylko gdy pozwalają na to szczególne przepisy. Nie ma potrzeby informowania pracowników o przekazaniu ich danych osobowych do innego administratora danych (za granicę).

Powierzenie przetwarzania danych osobowych to jeden z dwóch, obok udostępnienia, sposobów uprawnienia innego podmiotu do przetwarzania danych osobowych znajdujących się w posiadaniu danego administratora danych. Czyli firma, której dane osobowe pracowników zostały jej powierzone przez tych pracowników, może przekazać ich dane osobowe innemu podmiotowi. Powierzenie przetwarzania danych osobowych pozwoli w łatwy i szybki sposób uprawnić do przetwarzania danych osobowych podmioty, które normalnie nie mogłyby tego robić (zagranicznego generalnego wykonawcę lub administratora obiektu), któremu pracownicy nie wyrazili przecież zgody na przetwarzanie ich danych osobowych. Taki podmiot, któremu dane zostały powierzone do przetwarzania (z którym pracodawca zawarł umowę o powierzenie przetwarzania danych osobowych), jest nazywany procesorem.

Pracodawca, decydując się powierzyć posiadane dane osobowe innej firmie, musi być świadomy, że powierzenie przetwarzania danych osobowych w żaden sposób nie zwalnia go z jego własnej odpowiedzialności jako administratora danych osobowych. Za błędy procesora może także odpowiedzieć administrator danych.

Należy każdorazowo podpisywać umowę powierzenia przetwarzania danych osobowych z każdym podmiotem, z którym firma współpracuje. Chodzi tu o podmioty, które mają siedzibę w Polsce i na terytorium Europejskiego Obszaru Gospodarczego.

O ile ochrona danych osobowych na obszarze UE jest zunifikowana i wymagana na stosunkowo wysokim poziomie, o tyle przekazanie danych poza ten obszar może oznaczać, że dane trafią do państw niedbających należycie o ochronę danych osobowych. Z tego powodu takie tzw. przekazanie danych do państwa trzeciego rządzi się swoimi zasadami.

Samo przekazywanie danych to jedna z postaci przetwarzania danych osobowych. Chodzi tu o wszelkie operacje na danych, w rezultacie których dane osobowe zostają fizycznie przekazane poza terytorium Rzeczypospolitej Polskiej. Nie ma znaczenia sposób przekazania tych danych (może to być np. e-mail, telefon czy list) ani forma prawna tego przekazania (udostępnienie, powierzenie danych do przetwarzania). Ważne jest tylko to, czy dane „migrują”, tj. wychodzą poza granice Polski.

Przekazanie danych osobowych do państwa trzeciego (poza EOG) może nastąpić, tylko gdy państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Taki odpowiedni poziom ochrony danych osobowych jest oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych oraz przepisy prawa obowiązujące w danym państwie trzecim oraz stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe.

Zasadniczo na przekazanie danych osobowych do państwa trzeciego konieczne jest uzyskanie zgody Generalnego Inspektora Ochrony Danych Osobowych. Ustawa o ochronie danych osobowych przewiduje też jednak sytuacje, w których zgoda Generalnego Inspektora Ochrony Danych Osobowych nie jest potrzebna. Wystarczy, aby administrator danych osobowych zapewnił odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Może to zrobić m.in. poprzez zastosowanie prawnie wiążących reguł lub polityk ochrony danych osobowych – są to tzw. wiążące reguły korporacyjne (binding corporate rules – BCR), zatwierdzone przez GIODO.