Upoważnienie czy powierzenie?

Ustawa o ochronie danych osobowych, chociaż nie należy do najdłuższych ustaw, jest dosyć problematyczna w stosowaniu. Jedną ze wspomnianych trudności jest kwestia prawidłowego umocowania osób mających dostęp do danych osobowych.

Ustawa o ochronie danych osobowych wprowadza w tym zakresie dwie instytucje – upoważnienie do przetwarzania danych osobowych i powierzenie przetwarzania danych osobowych.

Obowiązek posiadania upoważnienia wynika z art. 37 ustawy o ochronie danych osobowych. Ww. artykuł przewiduje, że do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby mające upoważnienie nadane przez administratora danych. Ustawa o ochronie danych osobowych nie określa formy upoważnienia, która może być pisemna (zalecana przez GIODO) oraz elektroniczna. Upoważniamy więc pracowników, praktykantów, stażystów oraz osoby, które współpracują z administratorem danych na podstawie umów cywilnoprawnych.

Kwestia powierzenia została uregulowana w art. 31 ustawy o ochronie danych osobowych. Administrator danych może powierzyć (zlecić) przetwarzanie danych innemu podmiotowi, który sam nie staje się ich administratorem. Umowa powierzenia powinna mieć formę pisemną i określać przynajmniej zakres i cel powierzenia.

Wszystko wydaje się więc proste – osoby zatrudnione u administratora danych upoważniamy, a z pozostałymi podmiotami, które wykonują dla nas usługi outsourcingowe zawieramy umowy powierzenia.

Co jednak zrobić z osobą fizyczną prowadzącą działalność gospodarczą, która właściwie pracuje dla nas jak zwykły pełnoetatowy pracownik? Zgodnie z przyjętym powyżej podziałem należałoby podpisać z nią umowę powierzenia przetwarzania. Podpisanie takiej umowy wiąże się z pewnymi konsekwencjami. Podmiot, któremu powierzyliśmy dane powinien wdrożyć zabezpieczenia z rozdziału 5 ustawy o ochronie danych osobowych, czyli np. posiadać politykę bezpieczeństwa danych oraz instrukcję zarządzania systemami informatycznymi. Opracowanie ww. dokumentów nie jest zaś proste i osoba fizyczna prowadząca działalność gospodarczą może nie być w stanie tego zrobić. Co wtedy? Rozwiązaniem jest wystawienie upoważnienia do przetwarzania danych. Jest to dopuszczalne ze względu na okoliczność, iż art. 37 ustawy o ochronie danych osobowych mówi o upoważnieniu osoby, a którą to osoba fizyczna prowadząca działalność przecież jest (a contrario z tego powodu nie jest możliwe wystawienie upoważnień dla innych form działalności jak np. spółki prawa handlowego).

Kolejny przykład nie jest już taki oczywisty. Co zrobić z osobami fizycznymi prowadzącymi działalność gospodarczą, których charakter wykonywanej pracy nie jest podobny do obowiązków „zwykłych” pracowników (np. dostęp do naszej bazy ma 10 tyś. sklepikarzy). Czy z każdą z takich osób powinniśmy podpisać umowę powierzenia? W mojej ocenie w komentowanej sytuacji również możemy ich upoważnić z tych samych powodów co we wcześniejszym przykładzie.

Jednym z elementów rozstrzygających o tym czy wystawić upoważnienia czy podpisać umowę powierzenia jest kwestia tego, czy dana osoba zatrudnia pracowników. Jeżeli osoba fizyczna prowadząca działalność zatrudnia pracowników to powinniśmy z nią podpisać umowę powierzenia nawet, jeżeli charakter jej pracy nosi znamiona pracy na etat.
Kolejnym elementem jest charakter współpracy. W przypadku gdy współpraca ma charakter wyłącznie tymczasowym, bezpieczniejsze z punktu widzenia administratora danych będzie podpisanie umowy powierzenia.

W opisywanych w tym artykule kwestiach pozostaje zawsze luz decyzyjny po stronie administratora danych. To czy wybrać upoważnienia czy powierzenie powinno być wypadkową bezpieczeństwa danych, charakteru współpracy oraz skutków organizacyjno-technicznych wybranego rozwiązania. Warto zwrócić uwagę, iż brak upoważnień lub umów powierzenia może prowadzić do odpowiedzialności karnej z art. 51 ustawy o ochronie danych osobowych.

Współpraca z headhunterami

W obecnych czasach praktycznie każdy z podmiotów działających na rynku korzysta z wyspecjalizowanych firm trudniących się rekrutacją. Headhunterzy posiadają niezbędne „know-how” i sprawdzoną metodologię do znalezienia odpowiedniego kandydata do pracy. Powstaje jednak pytanie, jak ten proces wygląda z punktu widzenia ustawy o ochronie danych osobowych.

Pierwszą kwestią jest ustalenie, który z podmiotów (zlecający czy headhunter) jest administratorem danych w procesie rekrutacji. Zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych, administrator danych jest podmiot, który decyduje o celach i środkach przetwarzania. W omawianym stanie faktycznym to zlecający decyduje o środkach (czyli ile pieniędzy przeznaczy na projekt rekrutacyjny) oraz o celach (czyli, że poszukuje np. księgowych, a nie spawaczy). Wiemy więc kto jest administratorem danych, a kto podmiotem, któremu zlecono przetwarzanie (headhunter). Teraz pozostaje odpowiedzieć na pytanie, jakie konsekwencje ma ww. rozkład ról w procesie przetwarzania danych osobowych.

Po pierwsze, administrator danych powinien podpisać umowę powierzenia przetwarzania danych z headhunterem. Umowa powierzenia powinna określać przynajmniej zakres i cel przetwarzanych danych oraz powinna być zawarta w formie pisemnej. Do umowy powierzenia warto oczywiście dodać dodatkowo inne postanowienia, które będą w większym zakresie chronić interes danej strony umowy. Przykładowo, w interesie zlecającego (administratora danych) jest zastrzeżenie prawa do kontroli sposobu przetwarzania danych osobowych przez headhuntera, czy np. zastrzeżenie kar umownych na wypadek wycieku danych osobowych z winy headhuntera.

Dodatkowo, headhunter powinien zostać zobowiązany umownie do spełnienia obowiązku informacyjnego z art. 24 ust. 1 ustawy o ochronie danych osobowych z uwagi na okoliczność, iż zlecający nie będzie miał technicznej możliwości spełnienia takiego obowiązku. Zlecający nie może zastrzec sobie anonimowości w procesie rekrutacji. Należy podkreślić, iż w razie wystąpienia jakiegoś incydentu związanego z naruszeniem zasad ochrony danych osobowych np. udostępnienia danych osobie nieupoważnionej, odpowiada zarówno administrator danych jak i procesor. W internecie można znaleźć liczne przypadki gdy dokumenty zawierające dane osobowe zostały wyrzucone na śmietnik lub gdy były dostępne online dla każdej osoby. Niektóre z tych spraw skończyły się w prokuraturze np. wyciek danych z Pekao.

Sytuacja komplikuje się jednak w sytuacji, gdy headhunter pozyskuje dane osobowe potencjalnych pracowników również dla siebie („Przykład nr 6: łowcy głów” – Opinia Grupy Roboczej art. 29 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”) – czyli chce je wciągnąć do administrowanej przez siebie bazy danych. Tego typu sytuacja ma miejsce np. w sytuacji jeżeli headhunter ma własny portal przeznaczony dla osób szukających pracy. Osoba rejestrując się na takim portalu podaje swoje dane, których administratorem danych staje się headhunter. Headhunter przekazuje następnie dane osób, które spełniają określone kryteria do potencjalnego pracodawcy. Wspomniane przekazanie danych należy uznać za ich udostępnienie. Na skutek udostępniania, administratorem danych staje się podmiot, któremu udostępniono dane osobowe, a więc firma poszukująca pracownika (zlecający).

W takiej sytuacji, co do zasady, nie należy podpisywać umowy powierzenia przetwarzania z headhunterem. Należy jednak pamiętać o konieczności spełniania obowiązku informacyjnego z art. 25 ust. 1 ustawy o ochronie danych osobowych względem osób, których dane osobowe zostały udostępnione. Konieczność spełnienia obowiązku informacyjnego z art. 25 ust 1 ustawy o ochronie danych osobowych wynika z okoliczności, że dane zostały udostępnione na rzecz zlecającego przez headhuntera a więc nie zostały zebrane bezpośrednio od osób, których dane dotyczą. Należy podkreślić, iż jeżeli headhunter wysyła wyłącznie tzw. „blind CV” to nie udostępnia danych osobowych i wobec takich kandydatów do pracy nie należy spełniać obowiązku informacyjnego o którym mowa powyżej.

Przesłanką legalizującą przetwarzanie danych jest w opisywanej sytuacji art. 23 ust 1 pkt 1, 3 i 5 ustawy o ochronie danych osobowych zarówno w przypadku huadhuntera jak i potencjalnego pracodawcy.

Jeżeli dane pomiędzy headhunterem a zlecającym są przesyłane siecią publiczną to taki przepływ powinien być zabezpieczony za pomocą kryptograficznych środków ochrony (jeżeli CV i listy motywacyjne są przesyłane jako załącznik e-maila to taki załącznik powinien być zahasłowany).