Umowa powierzenia – Na co zwrócić szczególną uwagę

4052848608_b86dc4b5d1_zPrzygotowanie skutecznego systemu ochrony danych osobowych jest związane z przygotowaniem wielu różnych elementów. Niestety w przekonaniu większości społeczeństwa ochrona danych osobowych jest utożsamiana z zebraniem zgody na przetwarzanie danych osobowych lub obowiązkiem rejestracji zbioru danych. Wielokrotnie słyszeliśmy, podczas różnego rodzaju spotkań, że ktoś zebrał zgodę lub zarejestrował zbiór danych i w związku z powyższym spełnia wszystkie wymogi ustawy o ochronie danych osobowych. Takie podejście jest zbytnim uproszczeniem. Ochrona danych osobowych to nie tylko zgody i rejestracja ale o wiele więcej elementów jakie należy spełnić.

Jednym z wymagań wynikających z ustawy o ochronie danych osobowych jest konieczność zawarcia umów powierzenia przetwarzania danych w rozumieniu art. 31 ustawy o ochronie danych osobowych. Przytoczony artykuł stanowi, iż administrator danych może powierzyć innemu podmiotowi przetwarzanie danych osobowych. Należy zaznaczyć, iż to do obowiązków administratora danych należy zawarcie komentowanej umowy. W przypadku braku umowy powierzenia administrator danych może się narazić na zarzut przekazania danych osobie nieuprawnionej i odpowiedzialność karną z art 51 oraz 52 ustawy o ochronie danych osobowych. Nie ma obowiązku, aby umowa powierzenia została zawarta na odrębnym dokumencie. Nic nie stoi na przeszkodzie aby stanowiła część umowy głównej (oddzielny paragraf czy rozdział umowy głównej).

Ustawa o ochronie danych osobowych wskazuje wprost z jakich elementów powinna być złożona umowa powierzenia. Do jej obligatoryjnych elementów należy zaliczyć wskazanie zakresu oraz celu powierzenia przetwarzania.
Zakres (czyli jakie dane powierzamy) najlepiej aby był wskazany enumeratywnie, tak samo jak w przypadku zgłoszenia zbioru do GIODO. W umowie wskazujemy więc, że zakres powierzonych danych obejmuje np. : imię, nazwisko, numer telefonu itp. Co jednak zrobić w sytuacji kiedy nie wiemy jaki dokładnie będzie zakres powierzonych danych? Taka sytuacja może mieć miejsce kiedy np. zlecamy firmie trzeciej zniszczenie dokumentów zawierających danych osobowe i nie jesteśmy wstanie wskazać zamkniętego katalogu danych. Można wtedy w umowie powierzenia nawiązać do przedmiotu umowy głównej – np. poprzez umieszczenie w niej następującej treści:  „ w zakresie niezbędnym do realizacji umowy o współpracy”.
Kolejnym elementem obligatoryjnym w umowie powierzenia jest wskazanie celu. W umowie powierzenia można wskazać więcej niż jeden cel powierzenia przetwarzania. Jeżeli np. firma zewnętrzna świadczy nam usługi outsourcingu kadr oraz usługi związane z archiwizacją dokumentacji, to nic nie stoi na przeszkodzie, aby obydwa te cele wskazać w jednej umowie powierzenia. Jeżeli wskazanie celu jest problematyczne z uwagi na skomplikowanie stosunku umownego, to również tutaj odwołałbym się do samej umowy o współpracy czyli – np. poprzez umieszczenie w niej następującej treści:  „w celu niezbędnym do realizacji przedmiotu umowy o współpracy”.

Ostatnim obligatoryjnym elementem związanym z zawarciem poprawnej umowy powierzenia jest forma pisemna. Art. 31 ustawy o ochronie danych osobowych przewiduje wymóg zawarcia umowy powierzenia przetwarzania danych osobowych w formie pisemnej. Należy jednak podkreślić, iż komentowany przepis nie określa jednak skutków niedochowania formy pisemnej. Zgodnie ze stanowiskiem doktryny przyjmuje się, że w odniesieniu do formy zawierania umowy powierzenia należy stosować przepisy kodeksu cywilnego  o formie czynności prawnych[1]. W mojej ocenie jest, to prawidłowe podejście, gdyż art. 31 ustawy o ochronie danych osobowych korzysta z pojęcia „umowy”, które jest definicją zaczerpniętą z prawa cywilnego. W związku z powyższym należy uznać, że do umowy, czyli dwustronnej czynności prawnej, należy stosować przepisy kodeksu cywilnego o formie czynności prawnych. Zgodnie zaś z art. 73 § 1 kodeksu cywilnego należy uznać, iż umowa powierzenia przetwarzanie danych osobowych zawarta w formie innej niż pisemna jest ważna, a zastrzeżenie formy w ustawie o ochronie danych osobowych zostało dokonane do celów dowodowych (o czym stanowi art. 74 § 1 kodeksu cywilnego). W tym miejscu należy jednak przytoczyć odmienne stanowisko GIODO w omawianej kwestii – konieczność zawarcia umowy powierzenia w formie pisemnej.[2] W mojej ocenie wskazane w sprawozdaniu stanowisko GIODO jest zbyt rygorystyczne i nie współgra z literalnym brzmieniem przepisów.[3]
Z dokonanej analizy wynika, iż do umowy powierzenia przetwarzania danych osobowych należy stosować przepisy kodeksu cywilnego, a te nie przewidują w omawianej sytuacji nieważności czynności prawnej w przypadku braku formy pisemnej. Należy również podkreślić, iż brak formy pisemnej pozostaje bez wpływu na kwestie dowodowe związane z samą umową. Postawiona teza wynika wprost z art. 74 § 1 kodeksu cywilnego stanowiącego, iż ograniczenia dowodowe nie dotyczą relacji pomiędzy przedsiębiorcami, a taka sytuacja ma miejsce w związku z zawieraniem umów powierzenia.

W umowie powierzenia warto również uwzględnić inne elementy niż wyłącznie cel i zakres. Do dobrych praktyk przy zawieraniu umów powierzenia można zaliczyć dodawanie postanowień związanych z prawem do przeprowadzenia kontroli u procesora (podmiot, któremu powierzono przetwarzanie danych). Warto również podkreślić, iż niektóre dokumenty branżowe wręcz obligują do tego administratora danych (np. Rekomendacja D). Do pozostałych postanowień dodatkowych jakie można uwzględnić w umowie powierzenia zaliczyłbym: sposób wydawania upoważnień, informowanie o kontroli GIODO, kary umowne za niezgodne z umową i ustawą o ochronie danych osobowych przetwarzanie powierzonych danych oraz uregulowanie kwestii związanych z dalszym podpowierzeniem przetwarzania danych.

[1] J. Barta, R. Markiewicz, Ochrona danych osobowych Komentarz, s. 464

[2] Sprawozdanie GIODO za rok 2003, s. 130

[3] Patrz orzeczenie WSA z 6 lutego 2007 r. II SA/Wa 1786/06

Współpraca z headhunterami

W obecnych czasach praktycznie każdy z podmiotów działających na rynku korzysta z wyspecjalizowanych firm trudniących się rekrutacją. Headhunterzy posiadają niezbędne „know-how” i sprawdzoną metodologię do znalezienia odpowiedniego kandydata do pracy. Powstaje jednak pytanie, jak ten proces wygląda z punktu widzenia ustawy o ochronie danych osobowych.

Pierwszą kwestią jest ustalenie, który z podmiotów (zlecający czy headhunter) jest administratorem danych w procesie rekrutacji. Zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych, administrator danych jest podmiot, który decyduje o celach i środkach przetwarzania. W omawianym stanie faktycznym to zlecający decyduje o środkach (czyli ile pieniędzy przeznaczy na projekt rekrutacyjny) oraz o celach (czyli, że poszukuje np. księgowych, a nie spawaczy). Wiemy więc kto jest administratorem danych, a kto podmiotem, któremu zlecono przetwarzanie (headhunter). Teraz pozostaje odpowiedzieć na pytanie, jakie konsekwencje ma ww. rozkład ról w procesie przetwarzania danych osobowych.

Po pierwsze, administrator danych powinien podpisać umowę powierzenia przetwarzania danych z headhunterem. Umowa powierzenia powinna określać przynajmniej zakres i cel przetwarzanych danych oraz powinna być zawarta w formie pisemnej. Do umowy powierzenia warto oczywiście dodać dodatkowo inne postanowienia, które będą w większym zakresie chronić interes danej strony umowy. Przykładowo, w interesie zlecającego (administratora danych) jest zastrzeżenie prawa do kontroli sposobu przetwarzania danych osobowych przez headhuntera, czy np. zastrzeżenie kar umownych na wypadek wycieku danych osobowych z winy headhuntera.

Dodatkowo, headhunter powinien zostać zobowiązany umownie do spełnienia obowiązku informacyjnego z art. 24 ust. 1 ustawy o ochronie danych osobowych z uwagi na okoliczność, iż zlecający nie będzie miał technicznej możliwości spełnienia takiego obowiązku. Zlecający nie może zastrzec sobie anonimowości w procesie rekrutacji. Należy podkreślić, iż w razie wystąpienia jakiegoś incydentu związanego z naruszeniem zasad ochrony danych osobowych np. udostępnienia danych osobie nieupoważnionej, odpowiada zarówno administrator danych jak i procesor. W internecie można znaleźć liczne przypadki gdy dokumenty zawierające dane osobowe zostały wyrzucone na śmietnik lub gdy były dostępne online dla każdej osoby. Niektóre z tych spraw skończyły się w prokuraturze np. wyciek danych z Pekao.

Sytuacja komplikuje się jednak w sytuacji, gdy headhunter pozyskuje dane osobowe potencjalnych pracowników również dla siebie („Przykład nr 6: łowcy głów” – Opinia Grupy Roboczej art. 29 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”) – czyli chce je wciągnąć do administrowanej przez siebie bazy danych. Tego typu sytuacja ma miejsce np. w sytuacji jeżeli headhunter ma własny portal przeznaczony dla osób szukających pracy. Osoba rejestrując się na takim portalu podaje swoje dane, których administratorem danych staje się headhunter. Headhunter przekazuje następnie dane osób, które spełniają określone kryteria do potencjalnego pracodawcy. Wspomniane przekazanie danych należy uznać za ich udostępnienie. Na skutek udostępniania, administratorem danych staje się podmiot, któremu udostępniono dane osobowe, a więc firma poszukująca pracownika (zlecający).

W takiej sytuacji, co do zasady, nie należy podpisywać umowy powierzenia przetwarzania z headhunterem. Należy jednak pamiętać o konieczności spełniania obowiązku informacyjnego z art. 25 ust. 1 ustawy o ochronie danych osobowych względem osób, których dane osobowe zostały udostępnione. Konieczność spełnienia obowiązku informacyjnego z art. 25 ust 1 ustawy o ochronie danych osobowych wynika z okoliczności, że dane zostały udostępnione na rzecz zlecającego przez headhuntera a więc nie zostały zebrane bezpośrednio od osób, których dane dotyczą. Należy podkreślić, iż jeżeli headhunter wysyła wyłącznie tzw. „blind CV” to nie udostępnia danych osobowych i wobec takich kandydatów do pracy nie należy spełniać obowiązku informacyjnego o którym mowa powyżej.

Przesłanką legalizującą przetwarzanie danych jest w opisywanej sytuacji art. 23 ust 1 pkt 1, 3 i 5 ustawy o ochronie danych osobowych zarówno w przypadku huadhuntera jak i potencjalnego pracodawcy.

Jeżeli dane pomiędzy headhunterem a zlecającym są przesyłane siecią publiczną to taki przepływ powinien być zabezpieczony za pomocą kryptograficznych środków ochrony (jeżeli CV i listy motywacyjne są przesyłane jako załącznik e-maila to taki załącznik powinien być zahasłowany).