Jednym z częściej pojawiających się pytań po stronie przedsiębiorców, którzy przy wykonaniu działalności zatrudniają pracowników, jest pytanie dotyczące dopuszczalnych sposobów przekazywania danych osobowych firmom szkoleniowym, z którymi przedsiębiorca ten nawiązał współpracę.
W praktyce odpowiedź na tak postawione pytanie nie jest jednoznaczna i zależy każdorazowo od okoliczności danego przypadku.
Na gruncie RODO wyodrębniamy trzy zasadnicze relacje przekazywania danych osobowych między co najmniej dwoma podmiotami.
Pierwszą jest to relacja udostępnienia, gdzie dwóch niezależnych od siebie administratorów udostępnia sobie nawzajem określone dane i ponosi za ich przetwarzanie indywidualną odpowiedzialność.
Następnie drugą jest relacja współadministrowania danymi, gdzie co najmniej dwóch współadministratorów wspólnie wyznacza cele i sposoby przetwarzania danych oraz zakresy własnej odpowiedzialności w drodze odpowiedniej umowy.
Trzecią możliwą opcją jest powierzenie przetwarzania danych osobowych przez administratora procesorowi, gdzie procesor przetwarza dane osobowe w imieniu i na odpowiedzialność administratora. Powierzenie przetwarzania danych osobowych w tym wypadku również następuje w drodze umowy.
Wybór konkretnej opcji sposobu ukształtowania relacji z drugim podmiotem, z którym planowana jest wymiana danych osobowych, rodzi z sobą określone skutki prawne, istotnie wpływające na odpowiedzialność za wykonywane przetwarzanie – zarówno przed organem nadzoru, jak i przed osobą, której przetwarzane dane osobowe dotyczą.
Cele i zamiary stron
Jak wspomniałam we wstępie powyżej; aby wybrać prawidłowy mechanizm dla wymiany danych osobowych z firmą szkoleniową, należy w pierwszej kolejności uważnie przyjrzeć się umowie, która reguluje współpracę stron i sposób wykonania szkolenia.
Oczywiście, w tym miejscu należy zaznaczyć, że każdorazowo przekazywanie sobie nawzajem z firmą szkoleniową danych pracowników, współpracowników lub też przedstawicieli, którzy tę współpracę obsługują (np. zawarli umowę o współpracę biznesową, są w kontakcie z przedstawicielami kontrahenta, etc.) będzie zawsze udostępnieniem danych między dwoma administratorami (ado – ado). Na podstawie prawnie uzasadnionego interesu, który to interes polega na tym, że przy współpracy firm przetwarzanie danych ich pracowników jest niezbędne dla wykonania tej współpracy. Absurdem byłoby zawarcie umowy biznesowej z kontrahentem i np. zbieranie zgód od jego pracowników lub pełnomocników, aby móc przetwarzać ich dane w celu wykonania tej umowy.
Dlatego (i dotyczy to wszystkich podmiotów, nie tylko firm szkoleniowych) udostępnianie sobie danych pracowników, współpracowników lub przedstawicieli przez dwa współpracujące ze sobą podmioty zawsze będzie udostępnieniem danych w oparciu o prawnie uzasadniony interes.
Dane osobowe, a szkolenie.
Pojawia się jednak od razu inne, istotniejsze pytanie: a co z danymi osób, które mają brać udział w szkoleniu? Kto ma je zbierać? Kto informować o sposobach przetwarzania? I tutaj wracamy do znaczenia stanu faktycznego dla wyboru właściwej opcji przekazywania danych.
Niektóre podmioty obowiązek przeprowadzenia określonego szkolenia mają zapisany wprost w przepisach prawa. Tak jest w przypadku obowiązkowych szkoleń bhp dla pracowników, które obowiązek ma przeprowadzić pracodawca. Obowiązek ten decyduje również o tym, że pracodawca musi przetwarzać dane osobowe pracownika w zakresie dotyczącym jego udziału w szkoleniach bhp i jest tych danych administratorem.
Jeżeli jest tak, że w strukturach administratora (upraszczając: w firmie) jest zatrudniony specjalista bhp, który takie szkolenie prowadzi, to wówczas nie mówimy o przekazaniu danych, bo nie ma drugiego podmiotu. Zatrudniony w strukturach firmy specjalista od bhp jest częścią administratora.
Powierzenie przetwarzania danych osobowych
W sytuacji, gdy jednak po drugiej stronie mamy odrębny od administratora (pracodawcy) podmiot, firmę lub osobę fizyczną, to przy obowiązkowych szkoleniach, których konieczność przeprowadzenia (i przetwarzania danych) w imieniu administratora przeprowadza „ktoś z zewnętrz”, będziemy mieć do czynienia z relacją powierzenia przetwarzania danych osobowych.
Choć szkolenie przeprowadza osoba spoza struktur administratora – pracodawcy, to jednak realizuje je w imieniu pracodawcy i na jego odpowiedzialność. Dlatego w umowie o współpracę z podmiotem szkolącym lub w związku z nią, powinna zostać zawarta umowa powierzenia przetwarzania danych osobowych, w formie co najmniej pisemnej lub dokumentowej, która ponadto będzie uwzględniać obligatoryjne elementy wskazane w art. 28 ust. 3 RODO. Wśród elementów tych znajduję się przede wszystkim zakres, cel i czas trwania przetwarzania danych osobowych, rodzaj i kategorie danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki stron i uprawnienia stron w związku z przetwarzaniem, warunki pod powierzenia przetwarzania, zasady bezpieczeństwa danych i realizacji praw osób, których dane są przez strony przetwarzane.
Przy powierzeniu przetwarzania danych osobowych podmiot szkolący przeprowadza szkolenie i określone czynności z danymi jakby „za administratora”. Zbiera je, porządkuje, później przekazuje dane z wynikami szkolenia administratorowi – pracodawcy, ewentualne kopie danych osobowych usuwa po zakończeniu współpracy, jeśli nie ma innych podstaw prawnych do ich przetwarzania.
Ponadto, przy powierzeniu zazwyczaj jest tak, że firma szkoleniowa (lub szkoleniowiec) otrzymują dostęp do danych osób biorących udział w szkoleniu od pracodawcy w celu przeprowadzenia tego szkolenia. Procesor (firma szkoleniowa) nie może przetwarzać powierzonych danych osobowych w sposób inny, niż zgodny z umową i instrukcjami administratora (pracodawcy). W szczególności nie może ich przetwarzać dla własnych celów, byłoby to poważnym naruszeniem.
Udostępnienie danych osobowych
Z udostępnieniem danych będziemy mieć do czynienia, kiedy zewnętrzny podmiot szkoleniowy prześle ofertę na szkolenie, dalej szkolenie to zrealizuje samodzielnie, pod własną marką i we własnym imieniu, a firma zlecająca szkolenie np. jedynie je opłaci. W szczególności dotyczy to szkoleń w postaci tzw. benefitów, dodatkowych korzyści dla pracowników lub współpracowników. Wówczas udostępnienie polega np. wyłącznie na przekazaniu danych osób chcących skorzystać z usługi.
Firma szkoleniowa, jako niezależny administrator, przetwarza dane przy świadczeniu usług szkoleniowych, których wykonanie zlecił jej drugi administrator – pracodawca. Każda ze stron jest zobowiązana do spełnienia obowiązków administratora względem osoby, której dane są przetwarzane, a o których mowa w RODO i ponosi za to indywidualnie odpowiedzialność.
Udostępnienie:
- w przeciwieństwie do powierzenia lub współadministrowania, nie wymaga uprzedniej umowy, która będzie konkretyzować wskazane w przepisach RODO elementy.
- powinno jednak, choćby ze względów praktycznych i ostrożnościowych, nastąpić na podstawie skonkretyzowanego porozumienia stron, gdzie strony ustalą sposób przekazania danych (narzędzia, środki bezpieczeństwa, etc.) oraz czynność tam powinna zostać potwierdzona właściwym protokołem.
- ponadto jak każda inna czynność przetwarzania danych osobowych, musi mieć odpowiednią podstawę prawną.
- przy udostępnieniu danych administrator traci kontrolę nad dalszym przetwarzaniem danych przez drugiego administratora i nad tym, komu on dane te może dalej przekazać i co z nimi zrobić. Z tego względu, przy opcji udostępnienia danych ado każdorazowo musi dobrze upewnić się, że ma ku temu aktualną podstawę prawną, co nie zawsze jest takie oczywiste. O udostępnieniu danych drugiemu pomiotowi należy również poinformować osoby, których dane te dotyczą.
Współadministrowanie danymi
Ze współadministrowaniem danymi mielibyśmy do czynienia na przykład w sytuacji, gdzie dwa podmioty współpracują ze sobą w celu przeprowadzenia wspólnego szkolenia dla pracowników. Wówczas w drodze umownych ustaleń podmioty te, występujący jako odrębni administratorzy, ale ze wspólnym celem, określają, jakie przysługują im cele (np. szkolenie dla pracowników dwóch łączących się spółek) w związku z tym przetwarzaniem, w jaki sposób przetwarzanie to będzie się odbywać oraz jak będą realizować prawa osób, których dane będą przetwarzane. Ustalenia te dotyczą również ewentualnych podwykonawców stron. O tym, jak ma zostać skonstruowana umowa o współadministrowanie danymi mówi przepis art. 26 RODO.
Podsumowanie
W przeważającej części relacje w obrocie z firmami szkoleniowymi w zakresie przekazywania danych osobowych przyjmują formę powierzenia przetwarzania bądź udostępnienia danych, rzadziej współadministrowania. Nierzadko spotykane są również sytuacje, w której firma szkoleniowa sama zbiera i przetwarza dane osobowe pracowników.
O tym, z jaką relacją przekazywania danych osobowych będziemy mieć do czynienia, każdorazowo decydować będzie to, jak strony zorganizowały w umowie przeprowadzenie szkolenia i tym samym ułożyły swoją współpracę. Jak w każdym przypadku, najważniejszy będzie stan faktyczny i zamiar stron.
Dlatego tak istotnym jest, aby przy prowadzeniu współpracy biznesowej i w sytuacji zaistnienia potrzeby przekazania danych drugiemu podmiotowi, najpierw uważnie przeprowadzić analizę stanu faktycznego w celu prawidłowego określenia roli stron w procesie przekazania danych. Niestety widoczna jest na rynku tendencja do rutynowego i bezrefleksyjnego stosowania powierzenia przetwarzania danych osobnych. Tymczasem zastosowanie określonych mechanizmów przekazywania danych niesie z sobą określoną odpowiedzialności, o czym przedsiębiorcy niekiedy zdają się zapominać.