Porozumienie między podwykonawcą a generalnym wykonawcą w zakresie powierzenia danych osobowych pracowników na gruncie przepisów RODO

Sebastian Kryczka
Sebastian Kryczka
29.08.2018AKTUALNE

Porozumienie między podwykonawcą a generalnym wykonawcą w zakresie powierzenia danych osobowych pracowników na gruncie przepisów RODO

Podwykonawcy przekazując generalnemu wykonawcy informacje na temat szkoleń bhp, badań lekarskich i uprawnień pracowników muszą mieć na uwadze przepisy RODO. Aby przekazać powyższe dane należy uzyskać zgodę pracownika i zawrzeć porozumienie między podwykonawcą, a generalnym wykonawcą. Rodzi się jednak pytanie, jakie to ma być porozumienie? Czy ma to być umowa typu powierzenia czy udostępnienia danych? Co na to obowiązujące przepisy o ochronie danych osobowych i przepisy RODO?

Korzyści 

Informacje zawarte w tym tekście pozwolą Ci:

  • We właściwej formie zawrzeć porozumienie między podwykonawcą a generalnym wykonawcą w zakresie przekazania danych dotyczących pracowników
  • Prawidłowo przekazać dane swoich pracowników generalnemu wykonawcy
  • Zabezpieczyć pracowników przed nieograniczonym i przypadkowym przepływem ich danych osobowych

Powróćmy jeszcze do tematu przekazywania danych osobowych generalnemu wykonawcy przez podwykonawców, w postaci danych o szkoleniach bhp; orzeczeniach lekarskich pracowników; posiadanych przez nich uprawnianiach, czy kwalifikacjach. Ponieważ przepisy prawa pracy nie zawierają dostatecznej i bezpośredniej podstawy zobowiązującej podwykonawcę mającego status pracodawcy dla swoich pracowników do przekazywania orzeczeń lekarskich i dokumentów ze szkoleń podmiotowi jakim jest generalny wykonawca. W związku z tym należy przyjąć, że ewentualne przekazanie skanów wiążące się z przetwarzaniem danych osobowych będzie możliwe na podstawie:

  • porozumienia (w drodze umowy) między podwykonawcą, a generalnym wykonawcą oraz
  • zgód na przetwarzanie danych wyrażonych przez pracowników, których dane osobowe będą przekazywane.

Zatrzymajmy się zatem na przy kwestii porozumienia między podwykonawcą a generalnym wykonawcą.

Nowe rozwiązania prawne obowiązujące na gruncie RODO rozróżniają:

-        współadministrowanie na podstawie „wspólnych uzgodnień” oraz

-        powierzenie danych osobowych na podstawie umowy, o której mowa w art. 28 RODO (bez rozróżnienia jej na umowę powierzenia danych czy umowę udostępnienia danych).

Mając jednak na uwadze rozwiązania z poprzedniego stanu prawnego (poprzedniej ustawy o ochronie danych osobowych) w zakresie przekazania danych – powierzenie danych oraz udostępnienie danych – wydaje się, że porozumienie miedzy podwykonawcą a generalnym wykonawcą, wpisuje się bardziej w umowę powierzenia danych na gruncie nowych zasad wynikających z art. 28 rozporządzenia RODO, ze wszystkimi tego konsekwencjami wynikającymi z tego przepisu. Oczywiście przy założeniu, że podmiot któremu dane zostaną przekazane będzie je przetwarzał w imieniu administratora, w zakresie przez niego określonym.

Dane przypadkowe i na zapas

Powszechną praktyką jest zatrudnianie przez danego pracodawcę osób ubiegających się o zatrudnienie, które to następnie osoby stają się pracownikami w rozumieniu przepisów prawa pracy. Sytuacja taka wiąże się z koniecznością udostępnienia przez kandydata na pracownika określonych danych osobowych. Osoba, która zostaje zatrudniona stając się formalnie pracownikiem również jest obligowana Kodeksem pracy do przekazania pracodawcy określonego spektrum danych osobowych, który to pracodawca wpisuje się w pojęcie administratora danych.

W praktyce pracodawcy współpracują w różnym zakresie z innymi podmiotami. Dotyczy to nie tylko powierzenia im wykonywania usług pobocznych związanych z obsługą – przykładowo kadrowo płacową, prawną czy w zakresie utrzymania czystości. Współpraca dotyczy również wspólnych przedsięwzięć czy projektów – w tym wpisujących się w szeroko rozumiany proces budowlany. W takich sytuacjach nie można wykluczyć mniej lub bardziej niekontrolowanego przekazania danych osobowych między poszczególnymi współpracującymi ze sobą podmiotami. W praktyce część tych danych jest przekazywanych na wyrost i „na wszelki wypadek”. Tym samym zakres takiego przekazywania w sposób ewidentny wykracza poza potrzeby i cel udostępniania danych.

Uwaga!

Obecnie na gruncie przepisów RODO obowiązuje zasada – wynikająca z art. 5 pkt b – zgodnie z którą dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być przetwarzane dalej w sposób niezgodny z tymi celami. Ponadto zgodnie z zasadą minimalizacji danych, dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Tym samym wszelki nieograniczony i przypadkowy przepływa danych osobowych narusza obowiązujące, podstawowe zasady dotyczące przetwarzania danych osobowych.

Umowa powierzenia czy udostępnienia danych

W przypadku, w którym pracodawca zatrudniający pracowników uzyskał od nich określony (wymagany Kodeksem pracy) zakres danych osobowych, może pojawić się konieczności przekazania tych danych osobowych dalej – przykładowo podmiotowi który w jakichś sposób z pracodawcą współpracuje. W takiej sytuacji może wystąpić wątpliwość, w jakiej formie, a raczej co powinno stanowić podstawę legalnego przekazania danych.

Zgodnie z art. 4 pkt 1 rozporządzenia RODO, w proces przetwarzania danych osobowych wpisują się operacje lub zestaw operacji wykonywanych na danych osobowych, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Tym samym proces przekazywania danych od pracodawcy innemu podmiotowi (np. generalnemu wykonawcy) będzie wpisywał się w szeroko rozumiane pojęcie udostępniania danych osobowych.

Przepisy nie zawierają jednak odrębnej, specjalnej definicji jednego z przejawów przetwarzania danych, jakim jest wspomniane wcześniej udostępnienie danych osobowych.

Na gruncie rozporządzenia RODO można wyróżnić dwa rodzaje przekazania danych osobowych:

  • w drodze udostępnienia danych w ramach przetwarzania danych w imieniu administratora oraz
  • współadministrowanie.

Wydaje się, że umowa między pracodawcą a podmiotami z nim kooperującymi w ramach procesu budowlanego, w ramach czego dojdzie do przekazania danych osobowych pracowników, będzie odpowiadała regulacji o której mowa w art. 28 RODO. Przepis ten normuje zasady przetwarzania danych osobowych przez podmiot przetwarzający (przy założeniu oczywiście, że podmiot któremu dane osobowe zostaną przekazane będzie je przetwarzał w imieniu administratora).

Zgodnie z przywołanym przepisem, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie:

  • umowy lub
  • innego instrumentu prawnego,

które podlegają prawu Unii lub prawu państwa członkowskiego oraz:

-        wiążą podmiot przetwarzający i administratora,

-        określają przedmiot i czas trwania przetwarzania,

-        określają charakter i cel przetwarzania,

-        określają rodzaj danych osobowych oraz

-        kategorie osób, których dane dotyczą,

-        obowiązki i prawa administratora.

Mimo, iż rozporządzenie RODO nie posługuje się pojęciem „umowa powierzenia danych oraz umowa udostępnienia danych”, wydaje się, jednak, że ta sytuacja wpisuje się w pojęcie czegoś co można określić mianem umowy powierzenia przetwarzania danych osobowych.

W praktyce nie można kategorycznie uznać, że w przypadku przekazania przez podwykonawcę danych jego pracowników generalnemu wykonawcy nie będzie zachodziło zjawisko, które na gruncie RODO określane jest mianem współadministrowania. Jeżeli bowiem zarówno pracodawca, jak i podmioty współpracujące wpisują się w pojęcie administratora i dochodzi do wspólnego ustalania celów i sposobów przetwarzania danych, wówczas w drodze „wspólnych uzgodnień” administratorzy danych określają zakresy swojej odpowiedzialności w zakresie wypełniania obowiązków wynikających z RODO.

Ważne

Uwzględniając brak precyzyjnej regulacji dotyczącej zasad przetwarzania danych osobowych w kontekście ich przekazywania na gruncie szeroko rozumianych relacji pracowniczych, nie można wykluczyć modyfikacji stanu prawnego w omawianym zakresie. Być może doprecyzowana zostanie forma przekazywania danych osobowych pracowników w ramach procesu współpracy między poszczególnymi podmiotami.

Jednocześnie należy podkreślić, że zasady związane z obraniem jedynej właściwej formy w zakresie przekazania danych osobowych pracowników w przypadku współpracy pracodawców nie mieszczą się w granicach normowanych przepisami prawa pracy, w tym przepisów technicznego bezpieczeństwa pracy. Sposób przekazania danych osobowych pracowników między współpracującymi podmiotami nie mieści się ponadto w ramach kompetencji kontrolno-nadzorczych organów powołanych do kontroli przestrzegania przepisów prawa pracy, w tym bezpieczeństwa pracy – dopóki konkretne zapisy w zakresie sposobu przekazania danych nie zostaną umieszczone w źródłach prawa pracy.

Podstawa prawna 
  • art. 4, art. 5, art. 6, art. 7, art. 26, art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Autor: 

Sebastian Kryczka

prawnik, ekspert prawa pracy

Autor
Sebastian Kryczka
Absolwent Wydziału Prawa Administracji i Ekonomii (Zakład Prawa Pracy) Uniwersytetu Wrocławskiego. Od 2002 r. zawodowo zajmuje się problematyką prawa pracy, jak również w zagadnieniami związanymi z działalnością kontrolno-nadzorczą sprawowaną przez Państwową Inspekcję Pracy. Były pracownik merytoryczny Państwowej Inspekcji Pracy, jak również współpracownik Ministerstwa Pracy i Polityki Społecznej. Ekspert współpracujący z największymi i najbardziej opiniotwórczymi podmiotami w kraju, zajmującymi się problematyką prawa pracy. Autor komentarza do kodeksu pracy, ustawy o Państwowej Inspekcji Pracy, kilkunastu rozporządzeń wykonawczych do kodeksu pracy, jak również kilkuset publikacji poświęconych problematyce prawa pracy oraz bhp. Jako były pracownik PIP posiada bogate doświadczenie w zakresie między innymi poradnictwa, w ramach którego ocenia wątpliwości prawne przez pryzmat zarówno szeroko rozumianego prawa pracy ale i kompetencji kontrolno-nadzorczych inspektorów pracy.