Przekazanie danych osobowych pracowników za granicę – czy potrzebna jest zgoda i umowa powierzenia

Marcin Sarna

Autor: Marcin Sarna

Dodano: 8 stycznia 2018
Dokument archiwalny
Przekazanie danych osobowych pracowników za granicę – czy potrzebna jest zgoda i umowa powierzenia
Pytanie:  Nasi pracownicy wykonują pracę na terenie budowy obiektów w Polsce, Unii Europejskiej, a także krajach nienależących do UE i EOG zarządzanych przez firmy – generalnego wykonawcę lub administratora obiektu – niebędące stroną umowy między naszą spółką a klientem. Przed przystąpieniem do realizacji usługi musimy wystąpić z wnioskiem o wydanie przepustek osobowych i samochodowych upoważniających do wstępu na teren budowy. Do takiego wniosku powinniśmy załączyć m.in. wykaz pracowników (imię i nazwisko, seria i numer dokumentu tożsamości, aktualna fotografia). Zdarza się, że firmy zarządzające obiektem żądają przesłania zaświadczeń o aktualnych szkoleniach BHP oraz zaświadczenia lekarskiego, że dany pracownik jest zdolny do wykonywania danej pracy.  Czy wystarczającą podstawą przetwarzania danych osobowych pracowników jest art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych? Czy też pracownicy powinni wyrazić zgodę lub powinniśmy ich poinformować na piśmie, że te dane przekazujemy? Czy z firmami zarządzającymi poszczególnymi obiektami, niebędącymi naszymi klientami, którym przekazujemy dane osobowe, powinniśmy każdorazowo zawierać umowę powierzenia?
Odpowiedź: 

Dane osobowe pracowników nie mogą być przekazane za granicę na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Nie trzeba informować pracowników o przekazaniu ich danych osobowych do innego administratora danych (za granicę). Należy każdorazowo podpisywać umowę powierzenia przetwarzania danych osobowych z każdym podmiotem, z którym firma współpracuje. W przypadku przekazania danych do państwa trzeciego (poza EOG), zasadniczo konieczne jest uzyskanie zgody Generalnego Inspektora Ochrony Danych Osobowych.

Zgodnie z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Przepis ten nie pozwala na przekazanie danych osobowych pracowników za granicę. Czym innym jest podstawa prawna pracodawcy do przetwarzania danych pracowników, a czym innym to, w jakim trybie pracodawca może przekazywać dane osobowe pracowników za granicę.

Jakie dane może przetwarzać pracodawca

Daną osobową w rozumieniu przepisów o ochronie danych osobowych może być każda informacja, która jednoznacznie pozwala zidentyfikować konkretnego człowieka. Pracodawca nie może pobierać od pracownika dowolnych danych, lecz tylko te, które zostały wyszczególnione w art. 221 Kodeksu pracy. Są to:

  • imię i nazwisko,
  • imiona rodziców,
  • data urodzenia,
  • miejsce zamieszkania (adres do korespondencji),
  • wykształcenie,
  • przebieg dotychczasowego zatrudnienia,
  • inne dane konieczne dla korzystania przez zatrudnionego ze szczególnych uprawnień rodzicielskich,
  • numer PESEL.

Gromadzenie innych danych jest dopuszczalne, tylko gdy pozwalają na to szczególne przepisy. Nie ma potrzeby informowania pracowników o przekazaniu ich danych osobowych do innego administratora danych (za granicę).

Czy powierzać dane do przetwarzania

Powierzenie przetwarzania danych osobowych to jeden z dwóch, obok udostępnienia, sposobów uprawnienia innego podmiotu do przetwarzania danych osobowych znajdujących się w posiadaniu danego administratora danych. Czyli firma, której dane osobowe pracowników zostały jej powierzone przez tych pracowników, może przekazać ich dane osobowe innemu podmiotowi. Powierzenie przetwarzania danych osobowych pozwoli w łatwy i szybki sposób uprawnić do przetwarzania danych osobowych podmioty, które normalnie nie mogłyby tego robić (zagranicznego generalnego wykonawcę lub administratora obiektu), któremu pracownicy nie wyrazili przecież zgody na przetwarzanie ich danych osobowych. Taki podmiot, któremu dane zostały powierzone do przetwarzania (z którym pracodawca zawarł umowę o powierzenie przetwarzania danych osobowych), jest nazywany procesorem.

Uwaga

Umowa powierzenia przetwarzania danych osobowych powinna być zawarta w formie pisemnej. W treści umowy zawsze trzeba wskazać zakres oraz cel powierzenia przetwarzania.

Pracodawca, decydując się powierzyć posiadane dane osobowe innej firmie, musi być świadomy, że powierzenie przetwarzania danych osobowych w żaden sposób nie zwalnia go z jego własnej odpowiedzialności jako administratora danych osobowych. Za błędy procesora może także odpowiedzieć administrator danych.

Należy każdorazowo podpisywać umowę powierzenia przetwarzania danych osobowych z każdym podmiotem, z którym firma współpracuje. Chodzi tu o podmioty, które mają siedzibę w Polsce i na terytorium Europejskiego Obszaru Gospodarczego.

Ważne:

Państwem trzecim, zgodnie z art. 7 pkt 7 ustawy o ochronie danych osobowych, jest państwo nienależące do Europejskiego Obszaru Gospodarczego (państwa Unii Europejskiej oraz Norwegia, Islandia i Lichtenstein). Przekazywanie danych w obrębie Europejskiego Obszaru Gospodarczego jest traktowane dokładnie tak samo, jak transfer danych na terytorium Rzeczypospolitej Polskiej.

Gdy podmiot przetwarzający ma siedzibę poza EOG

O ile ochrona danych osobowych na obszarze UE jest zunifikowana i wymagana na stosunkowo wysokim poziomie, o tyle przekazanie danych poza ten obszar może oznaczać, że dane trafią do państw niedbających należycie o ochronę danych osobowych. Z tego powodu takie tzw. przekazanie danych do państwa trzeciego rządzi się swoimi zasadami.

Samo przekazywanie danych to jedna z postaci przetwarzania danych osobowych. Chodzi tu o wszelkie operacje na danych, w rezultacie których dane osobowe zostają fizycznie przekazane poza terytorium Rzeczypospolitej Polskiej. Nie ma znaczenia sposób przekazania tych danych (może to być np. e-mail, telefon czy list) ani forma prawna tego przekazania (udostępnienie, powierzenie danych do przetwarzania). Ważne jest tylko to, czy dane „migrują”, tj. wychodzą poza granice Polski.

Przekazanie danych osobowych do państwa trzeciego (poza EOG) może nastąpić, tylko gdy państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Taki odpowiedni poziom ochrony danych osobowych jest oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych oraz przepisy prawa obowiązujące w danym państwie trzecim oraz stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe.

Zasadniczo na przekazanie danych osobowych do państwa trzeciego konieczne jest uzyskanie zgody Generalnego Inspektora Ochrony Danych Osobowych. Ustawa o ochronie danych osobowych przewiduje też jednak sytuacje, w których zgoda Generalnego Inspektora Ochrony Danych Osobowych nie jest potrzebna. Wystarczy, aby administrator danych osobowych zapewnił odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Może to zrobić m.in. poprzez zastosowanie prawnie wiążących reguł lub polityk ochrony danych osobowych – są to tzw. wiążące reguły korporacyjne (binding corporate rules – BCR), zatwierdzone przez GIODO.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922.
Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Nasi partnerzy i zdobyte nagrody » 


Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel