W stosunkach zatrudnienia wiele procesów podlega outsourcingowi na zewnątrz organizacji i wtedy w aspekcie ochrony danych osobowych pojawia się zasadnicze pytanie, czy powinno dojść do zawarcia umowy powierzenia przetwarzania danych osobowych, uregulowanej w art. 28 RODO. W tym zakresie niestety często mylone jest udostępnienie danych osobowych pomiędzy dwoma administratorami i powierzenie ich przetwarzania "podmiotowi przetwarzającemu" (procesorowi).
Definicję podmiotu przetwarzającego zawiera art. 4 pkt 8 RODO i jest to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Powierzenie przetwarzania danych osobowych to określony stan faktyczny, w którym kluczowym elementem jest przetwarzanie danych osobowych w imieniu administratora, czyli w stosunkach pracy w imieniu pracodawcy. Podmiot przetwarzający realizuje nie własne cele, a cele administratora i korzysta z danych osobowych nie w imieniu własnym, a w imieniu administratora.
W stosunkach zatrudnienia powierzenie przetwarzania danych osobowych jest konsekwencją zawarcia umowy z dostawcą pewnych rodzajów usług, w ramach której będą przetwarzane dane osobowe pracowników, ale w celach narzuconych przez pracodawcę.
Uwaga! Powierzenie przetwarzania danych osobowych w relacjach zatrudnienia występuje w przypadkach usług:
- kadrowo-płacowych (także w ramach centrów usług wspólnych), czy rekrutacyjnych,
- bhp,
- przechowywania dokumentacji pracowniczej, czy archiwizacji,
- przechowywania danych elektronicznych w chmurze, czy usługi hostingu,
- usuwania dokumentacji pracowniczej i nośników informacji,
- produkcji legitymacji pracowniczych,
- monitoringu, w tym monitorowania pojazdów służbowych,
- wydzierżawiania urządzeń biurowych (drukarki, urządzenia wielofunkcyjne).
W praktyce występują przypadki zawierania nieprawidłowo umowy powierzenia przetwarzania danych osobowych, gdyż podmiot, któremu są udostępniane dane osobowe zatrudnionych jest odrębnym administratorem danych osobowych mającym własne cele przetwarzania danych osobowych. Zaliczyć do nich można usługi w zakresie:
- medycyny pracy,
- obsługi prawnej przez kancelarie prawnicze,
- szkoleń otwartych,
- kurierskim.
W odniesieniu do staży z powiatowego urzędu pracy, dalej PUP czy praktyk studenckich wypowiedział się wprost UODO, stwierdzając, że w tych relacjach każdy z podmiotów jest niezależnym administratorem danych osobowych, tj.:
- pracodawca jest administratorem danych osobowych stażysty w zakresie danych przetwarzanych w ramach umowy zawartej z PUP, a ponadto dodatkowo pracodawca może przetwarzać dane osobowe stażysty wykraczające poza zakres tych, które były udostępnione na podstawie umowy z PUP, a są niezbędne do prawidłowego odbycia stażu (https://archiwum.uodo.gov.pl/pl/225/1129),
- w przypadku zawarcia przez uczelnię umowy w sprawie realizacji praktyki studenckiej, podmiot przyjmujący studenta realizuje w zakresie zawartej umowy swoje własne zadania, wynikające z postanowień tej umowy oraz z przepisów szczególnych (np. zawartych w Kodeksie pracy przepisów bhp), a także z regulacji wewnętrznych (np. ewidencja wejść i wyjść, ewidencja czasu odbywania praktyki, nadawanie upoważnień do przetwarzania danych osobowych). Tym samym podmiot, w którym student odbywa praktykę staje się administratorem jego danych w zakresie danych udostępnionych przez uczelnię oraz danych gromadzonych przez niego w celu realizacji umowy o praktykę. Każda ze stron tej umowy przetwarza dane studenta dla realizacji swoich celów i w tym zakresie jest administratorem tych danych (https://archiwum.uodo.gov.pl/pl/225/1454).