Jednym z częstych problemów praktycznego stosowania przepisów ogólnego rozporządzenia o ochronie danych (,,RODO”) jest prawidłowa kwalifikacja przetwarzania danych osobowych przez kontrahentów.
Zlecając szkolenie pracowników zewnętrznej firmie chcemy skupić się na biznesowych aspektach: cenie, jakości, czasie wykonania. Często jednak pomijany jest równie ważny aspekt, jakim jest prawidłowe zabezpieczenie danych osobowych pracowników uczestniczących w szkoleniu.
Forma stosowanego zabezpieczenia wynika często z formuły współpracy z dostawcą usługi. Przypadek zakładowego specjalisty ds. bezpieczeństwa i higieny pracy jest najpopularniejszy. Każdy pracownik, przed dopuszczeniem do wykonywania obowiązków służbowych, musi zostać przeszkolony z zasad BHP ogólnych i obowiązujących w zakładzie pracy. Realizowany jest on przez zakładową służbę BHP lub zatrudnionego wykwalifikowanego pracownika. Taka sytuacja wiążę się z prawidłowym udzieleniem upoważnienia do przetwarzania danych osobowych wyznaczonemu do szkolenia pracownikowi.
Jeżeli forma współpracy zawarta jest w modelu B2B sytuacja nieznaczenie się komplikuje.
W przypadku samozatrudnionego „behapowca”, który realizuje planowane i wstępne szkolenia w ramach umowy o współpracę wyłącznie na terenie zakładu, tam też pozostawia wszelką dokumentację również prawidłowe będzie upoważnienie do przetwarzania danych. Jeżeli jednak usługi BHP świadczy zewnętrzna firma, zatrudniająca kilku inspektorów, dostarcza dokumentację po jej przetworzeniu, archiwizacji lub opracowaniu – niezbędne będzie zawarcie umowy powierzenia przetwarzania danych osobowych między administratorem (przedsiębiorcą), a procesorem (zewnętrzną firmą BHP).
Podobne zasady dotyczą usługodawcy świadczących innego rodzaju szkolenia dla pracowników. Praktyka wskazuje, że część firm prowadzących taką działalność próbuje iść na skróty i zbiera od szkolonych pracowników zgody na przetwarzanie danych osobowych. Sytuacja ta jest wysoce nieprawidłowa i może nieść za sobą niespodziewane negatywne konsekwencje. W takiej formule pracownik wysłany na szkolenie może całkowicie je zignorować i słusznie podnieść brak możliwości weryfikacji jego obecności na szkoleniu – nie wyraził bowiem zgody na przetwarzanie swoich danych osobowych, tym samym jego dane nie mogą być przetwarzane nawet w formie listy obecności. Nawet jeżeli uczestniczył on w szkoleniu, nie może otrzymać certyfikatu potwierdzającego to szkolenie – brak zgody uniemożliwia wystawienie dokumentu. W przypadku naruszeń kontroli czy wypadków, brak certyfikatu może stanowić problem i komplikować dodatkowo całą sytuację.
W zakresie szkoleń zewnętrznych, na które pracodawca kieruje pracownika, sytuacja jest odmienna. Jeżeli szkolenie to wynika z pogłębiania kompetencji pracownika, jednak nie mieści się w zakresie obowiązków pracodawcy nałożonych przez kodeks pracy, układ zbiorowy lub umowę o pracę, szkoleniowiec będzie samodzielnym administratorem. Przykładowo: kierując pracownika na studia podyplomowe, nie zawiera się z uczelnią umowy powierzenie przetwarzania, to uczelnia samodzielnie informuje pracownika o zakresie przetwarzania przez nią danych osobowych.
Należy jednak pamiętać, że niektóre sytuacje, ze względu na specyfikę powiązań biznesowych i służbowych, wymagają osobnej i pogłębionej analizy. Nie jest możliwe zidentyfikowanie z góry każdej możliwej sytuacji i właściwej metody zabezpieczenia ochrony danych osobowych pracowników. W przypadku pytań
lub wątpliwości zachęcamy do kontaktu z naszą kancelarią, wykonamy zindywidualizowaną analizę danego przypadku i przekażemy stosowne rekomendacje.