Powierzenie, a udostępnienie – kilka praktycznych wskazówek

Tematem artykułu jest próba odpowiedzi na najczęściej pojawiające się pytanie u klientów w obszarze współpracy z podmiotami zewnętrznymi. Czy dana współpraca związana z przekazywaniem danych osobowych wiąże się z powierzeniem  czy udostępnieniem danych osobowych? Czy są jakieś standardowe przykłady powierzenia? Kiedy będziemy mieć do czynienia z modelem udostępnienia danych osobowych, a może w grę wchodzi model współadministrowania? Rozbudowane stany faktyczne w połączeniu z zobowiązaniami umownymi bardzo często powodują, że prawidłowe ustalenie modelu jest niezwykle trudne nawet dla doświadczonych IOD.

Określenie tego kim jest administrator oraz podmiot przetwarzający to  punkt wyjścia naszych dalszych rozważań. Administrator to podmiot, który określa cele i sposoby przetwarzania, czyli dlaczego i jak przetwarzać dane. Administrator decyduje zarówno o celach jak i o sposobach przetwarzania. Definicja administrowania może wynikać z przepisów prawa lub analizy elementów stanu faktycznego lub okoliczności sprawy. Aby administrator został uznany za administratora, nie musi on mieć faktycznego dostępu do przetwarzanych danych.[1]

Podmiot przetwarzający oznacza natomiast osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Istnieją dwa podstawowe warunki uznania za podmiot przetwarzający: jest on odrębnym podmiotem w stosunku do administratora oraz przetwarza dane osobowe w imieniu administratora.[2]

Powierzenie przetwarzania danych osobowych w praktyce to m.in. współpraca z firmami prowadzącymi badania rynku, zewnętrzne Call Center, firmy IT, firmy księgowe/kadrowe, firmy niszczące dokumenty, firmy ochroniarskie oraz firmy realizujące wysyłki newsletterów.

Co wiąże się z przyjęciem modelu powierzenia przetwarzania danych osobowych?

  1. Konieczność zawarcia umowy powierzenia przetwarzania danych osobowych zgodnie z wymogami stawianymi przez art. 28 RODO. Przetwarzanie danych osobowych przez podmiot przetwarzający musi być uregulowane umową lub innym aktem prawnym, który musi być sporządzony na piśmie, w tym w formie elektronicznej;
  2. Konieczność zweryfikowania podmiotu przetwarzającego (form weryfikacji jest dużo począwszy od fizycznego audytu a kończąc na interaktywnych ankietach weryfikacyjnych). Administrator korzysta wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymaganiami RODO;
  3. Administrator powinien wziąć pod uwagę następujące elementy, aby ocenić, czy gwarancje są wystarczające: wiedza fachowa (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych); wiarygodność podmiotu przetwarzającego; zasoby podmiotu przetwarzającego. Reputacja podmiotu przetwarzającego na rynku może być również istotnym czynnikiem, który administratorzy powinni wziąć pod uwagę;[3]
  4. Prowadzenie rejestru podmiotów przetwarzających – uznaję  to jako dobrą praktykę z zakresu ochrony danych osobowych;
  5. Postępowanie zgodnie z przygotowaną i wdrożoną procedurą weryfikacji podmiotu przetwarzającego.

Model udostępnienia danych osobowych to przekazanie danych do odrębnego podmiotu, który samodzielnie decyduje o celach i sposobach przetwarzania danych osobowych. Sztandarowe przykłady to przekazywanie danych na linii pracodawca – ZUS, pracodawca – bank, przekazywanie danych do policji, straży, biur podróży, kancelarii prawnych, Poczcie Polskiej). Należy pamiętać, że udostępnienie danych jest przetwarzaniem danych osobowych i powinno opierać się na ważnej i legalnej podstawie prawnej.

Co wiąże się z przyjęciem modelu udostępnienia danych osobowych? Zarówno podmiot udostępniający dane jak i podmiot otrzymujący dane muszą samodzielnie i niezależnie posiadać ważne podstawy prawne legalizujące udostępnienie danych. Po drugie podmioty zaangażowane w proces muszą spełniać we własnym imieniu obowiązek informacyjny zgodnie z wymogami stawianymi odpowiednio przez art. 13 i 14 RODO. Przekazanie danych musi nastąpić również w sposób bezpieczny. Należy także pamiętać o prowadzeniu rejestru udostępnionych danych osobowych. Często przydatna jest także wdrożona i stosowana sformalizowana procedura udostępniania danych osobowych.

Bazując na doświadczeniu każdorazowo w celu ustalenia czy mam do czynienia z modelem udostępnienia danych staram się odpowiedź na pytania:

  1. Czy każdy z podmiotów samodzielnie ustala cele i sposoby przetwarzania danych osobowych?
  2. Czy podmiot otrzymujący dane może przechowywać dane pomimo zakończenia umowy? Czy posiada podstawę uprawniającą go do dalszego przetwarzania?
  3. Czy podmiot otrzymujący dane posiada przepisy prawa legalizujące przetwarzanie?

Każdorazowo należy skrupulatnie zbadać stan faktyczny. Na rynku obecnie dostępnych jest tak wiele usług, że często samo ich nazwanie jest niezwykle ciężkie nie wspominając już o prawidłowym zakwalifikowaniu czy to do modelu powierzenia czy udostępnienia danych.  

 

[1] Wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO.

[2] Tamże.

[3] Tamże.

Czy syndyk w postępowaniu upadłościowym może sprzedać bazę danych dłużnika?

Sprzedaż baz danych, zawierających dane osobowe, jest obecnie powszechną praktyką rynkową. Takie bazy danych służą rozmaitym celom gospodarczym, w szczególności podmiotom oferującym usługi e-marketingu.

 

Obrót bazami danych nie jest czynnością nielegalną, o ile przestrzegane są zasady, uregulowane w ogólnym rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/ 679 (dalej RODO), w szczególności zachowane są prawa i wolności podmiotów danych. Podmiot, gromadzący dane osobowe w bazie danych staje się ich administratorem i ciążą na nim obowiązki wskazane w RODO.

 

Aby można było przetwarzać dane osobowe, przetwarzanie takie powinno być zgodne z prawem (art. 5 ust. 1 lit. a RODO). Zgodność zaś prawem zapewnia art. 6 ust. 1 RODO, gdy spełniona jest przynajmniej jedna, ze wskazanych w tym ustępie, przesłanek.

 

Pytanie, które zostało postawione w tytule niniejszego artykułu budzi szereg wątpliwości prawnych na gruncie RODO. Udzielenie odpowiedzi na to, czy w postępowaniu upadłościowym, prowadzonym na podstawie ustawy z dnia 28 lutego 2003 r. – Prawo upadłościowe (dalej pu), można sprzedać bazę danych po to, by z uzyskanej kwoty zaspokoić wierzycieli nie jest oczywiste, szczególnie, gdy weźmie się pod uwagę fakt, iż sprzedaż taka ma się odbyć bez uzyskiwania zgody podmiotów danych, wpisanych do tejże bazy.

 

Z podobnym zagadnieniem zmagał się niedawno Sąd Rejonowy dla m.st. Warszawy w Warszawie. W sprawie tej chodzi o to, że wierzyciel, pomimo prawomocnego nakazu zapłaty, nie mógł odzyskać od spółki swoich należności – komornik bowiem umorzył postępowanie, orzekając, iż spółka nie posiada majątku. Wierzyciel więc wytoczył proces wobec członka zarządu na podstawie art. 299 § 1 ustawy z dnia 15 września 2000 r. – Kodeks spółek handlowych (dalej ksh), który statuuje odpowiedzialność odszkodowawczą członków zarządu spółki-dłużnika za brak możliwości zaspokojenia się z jej majątku.

 

Pozwany członek zarządu spółki wniósł o oddalenie powództwa, podnosząc, iż spółka posiada majątek w postaci dwóch baz danych, w których zgromadzono dane kilkuset tysięcy użytkowników – klientów sklepu internetowego.

 

W orzecznictwie przyjmuje się, iż „bezskuteczność egzekucji wobec spółki oznacza stan, w którym z okoliczności sprawy wynika niezbicie, że spółka nie posiada majątku, z którego wierzyciel mógłby uzyskać zaspokojenie swojej należności”. Ponieważ baza danych stanowi niewątpliwie majątek spółki – Sąd Rejonowy powziął wątpliwość, a mianowicie, czy przepisy RODO nie sprzeciwiają się sprzedaży bazy danych bez zgody osób, których dane się w nich znajdują. TSUE ma więc rozstrzygnąć, „czy art. 5 ust. 1 lit. a w zw. z art. 6 lit. a, c i d w zw. z art. 6 ust. 3 RODO należy wykładać w ten sposób, że stoi na przeszkodzie takiemu unormowaniu prawa krajowego, które pozwala na sprzedaż w postępowaniu egzekucyjnym bazy danych, składającej się z danych osobowych, osoby, których dane dotyczą nie wyraziły zgody na taką sprzedaż?”

 

Rozstrzygnięcie TSUE będzie miało doniosłe znaczenie także dla postępowań insolwencyjnych (upadłościowych i restrukturyzacyjnych). Podczas, gdy postępowania egzekucyjne charakteryzują się tym, iż są prowadzone w interesie pojedynczego wierzyciela, charakter postępowań insolwencyjnych jest uniwersalny.

 

Nie budzi wątpliwości, iż z dniem ogłoszenia upadłości, baza danych, stanowiąca majątek upadłego (wcześniej dłużnika) staje się składnikiem masy upadłości (art. 61 pu), nad którą zarząd obejmuje syndyk (art. 173 pu). Zgodnie z art. 160 ust. 1 pu w sprawach dotyczących upadłości syndyk dokonuje czynności w imieniu własnym na rachunek upadłego. Syndyk staje się więc administratorem danych osobowych podmiotów znajdujących się w bazach danych należących wcześniej upadłego. Na nim bowiem ciąży obowiązek zabezpieczenia majątku przed zniszczeniem, uszkodzeniem lub utratą (art. 173 pu). Jest on więc odpowiedzialny za przestrzeganie, aby dane osobowe znajdujące się w bazach danych były przetwarzane zgodnie z prawem (art. 5 ust. 1 lit. a RODO i art. 5 ust 2 RODO).

 

Z istoty postępowania upadłościowego wynika, iż, co do zasady, jest ono prowadzone z całego majątku należącego upadłego, który w dniu ogłoszenia upadłości staje się masą upadłości. Syndyk, jako funkcjonariusz publiczny, ma obowiązek prawny wykonywać przepisy prawa. Zgodnie zaś z postanowieniem sądu o ogłoszeniu upadłości został on wyznaczony do sprawowania swojej funkcji. Funkcja syndyka czyni go jednocześnie administratorem danych osobowych baz danych wchodzących w skład masy upadłości. Syndyk, jako funkcjonariusz publiczny, nie może odmówić wykonania postanowienia sądu w przedmiocie ogłoszenia upadłości. Przepisy zaś ustawy nakazują likwidację całej masy upadłości, w tym także należących do upadłego baz danych.

 

Jeśli na całe zagadnienie popatrzymy przez pryzmat celu samego postępowania upadłościowego, to dojdziemy do przekonania, że jest nim przede wszystkim „zaspokojenie wierzycieli w jak najwyższym stopniu, a jeśli racjonalne względy na to pozwolą, zachowanie dotychczasowego przedsiębiorstwa dłużnika” (art. 2 ust. 1 pu). Nietrudno więc interpretować powyższe postanowienie, jako mieszczące się w interesie publicznym, tj. szerszym, niż wyłącznie w interesie pojedynczego wierzyciela.

 

Ponadto, zapewnienie wierzycielom możliwości realnego wykonania postanowienia sądowego o ogłoszeniu upadłości, które wydawane jest w imieniu Rzeczypospolitej Polskiej, służy wzmacnianiu zaufania obywateli do państwa i leży w ogólnopojętym interesie wymiaru sprawiedliwości, który może być także postrzegany jako interes publiczny.

 

Z samego zaś RODO wynika, że „prawo państwa członkowskiego musi służyć realizacji celu leżącego w interesie publicznym oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu” (art. 6 ust. 3 in fine RODO).

 

Kluczową więc kwestią jest rozstrzygnięcie, czy zaspokojenie wierzycieli w postępowaniu upadłościowym (zgodnie z art. 2 ust. 1 pu) jest „interesem publicznym lub zadaniem realizowanym w ramach sprawowania władzy publicznej powierzonej administratorowi”, rozumianym zgodnie z art. 6 ust. 1 lit. e RODO. Tylko bowiem wtedy syndyk uzyska podstawę prawną do przetwarzania (udostępnienia poprzez dokonanie czynności sprzedaży) bazy danych.

 

Interes publiczny to kategoria normatywna określania przesłanek wielu przepisów z różnych dziedzin życia społeczno-gospodarczego. Jest również klauzulą generalną wykorzystywaną w aktach prawnych. NSA w wyroku z dnia 2 grudnia 2014 r. (sygn. akt II FSK 71/ 13) dokonał wykładni pojęcia „interesu publicznego”, wskazując, iż jest to „klauzula generalna, która w kontekście indywidualnej sprawy winna być poddana stosownej wykładni. Wymagania interesu publicznego muszą być ustalone w konkretnej sprawie i muszą uzyskać zindywidualizowaną treść wynikającą ze stanu faktycznego i prawnego sprawy. (…) Przy wykładni interesu publicznego należy uwzględniać respektowanie wartości wspólnych dla całego społeczeństwa, np. bezpieczeństwa i sprawiedliwości. Jak słusznie wskazano w uzasadnieniu zaskarżonego wyroku, w sytuacji kiedy organ podatkowy posiadając przekonywające dowody stwierdza, iż decyzja administracyjna została wydana w wyniku <<oczywistego>> popełnienia przestępstwa, w szczególności przestępstwa łapownictwa, to zawsze w interesie publicznym jest wznowienie postępowania i ponowna ocena prawidłowości wydanego rozstrzygnięcia. Uzasadnienie takiego działania znajduje się w konstytucyjnej zasadzie demokratycznego państwa prawnego oraz w zasadzie zaufania obywateli do państwa”.

 

Jeśli przyjąć, iż zaspokojenie wierzycieli w jak najwyższym stopniu w trakcie postępowania upadłościowego leży w interesie publicznym – w przeciwnym wypadku upadłoby ratio legis dla całej ustawy Prawo upadłościowe – to ograniczenia praw podmiotów danych osób znajdujących się w bazie danych upadłego, poprzez dokonanie przeniesienia własności tejże bazy danych na podmiot trzeci wskutek sprzedaży wymuszonej, odbywającej się w ramach czynności podejmowanych przez syndyka, nie sposób uznać za działanie nieproporcjonalne wobec realizacji zasady zawartej w art. 2 ust. 1 pu. Podstawę prawną zaś dla takiego udostępnienia danych stanowi art. 6 ust. 1 lit. e RODO.

 

Na zakończenie należy wspomnieć o obowiązkach informacyjnych kupującego (nabywcy) po dokonaniu sprzedaży bazy danych. Nabywca bowiem staje się nowym administratorem znajdujących się w takiej bazie danych osobowych. Na niego więc zostają nałożone na mocy RODO obowiązki związane z zapewnieniem rozliczalności, a także w zakresie wykonywania praw i wolności osób, których dane dotyczą, w szczególności obowiązki wynikające z art. 14 ust. 3 RODO.

Zgodnie z tym przepisem administrator realizuje obowiązek informacyjny wobec osób, których dane uzyskał z innego źródła (tutaj – od syndyka):

  • W rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych.
  • Jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
  • Jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

 

Nabywca ponadto, jako nowy administrator, powinien zapewnić osobom, których dane zakupił, możliwość skorzystania również z praw przysługujących im na mocy artykułów 15 – 22 RODO.

 

 

 

 

Praktyczne kwestie związane z właściwym powierzeniem danych osobowych

Z każdym dniem rośnie liczba zawieranych umów handlowych pomiędzy przedsiębiorcami. Nie każdy jednak ma świadomość, że wraz z nimi najczęściej dochodzi do transferu danych osobowych. Taka relacja wymaga wdrożenia odpowiednich zabezpieczeń, przede wszystkim zawarcia umowy powierzenia.

Nasze webinarium pomoże Państwu nabyć praktyczne informacje nie tylko na temat tego, kiedy musi być zawarta umowa powierzenia, jakie postanowienia w niej zawrzeć, na co zwrócić szczególną uwagę, aby uniknąć odpowiedzialności na wypadek kontroli organu nadzorczego, ale również na temat podstawowych obowiązków administratora i podmiotu przetwarzającego w ramach wzajemnej relacji przetwarzania danych.

Agenda:

  • Rola i obowiązki administratora oraz podmiotu przetwarzającego (procesora).
  • Forma i treść umowy powierzenia – essentialia negoti: elementy obowiązkowe wynikające z art. 28 RODO oraz fakultatywne wynikające ze swobody zawierania umów.
  • Kontrola procesu przetwarzania danych przez administratora u podmiotu przetwarzającego.
  • Odpowiedzialność prawna administratora i procesora.

 

Data: Wtorek, 25 kwietnia 2023 r., godz. 11:00 – 12:00.

Zapisz się już teraz!

Spotkanie poprowadzi:

  • dr Adam Rogala-Lewicki

Prawnik z doświadczeniem w zakresie obsługi podmiotów korporacyjnych w ramach obrotu cywilnego, handlowego i gospodarczego, specjalizujący się w prawie ochrony danych osobowych, bezpieczeństwa informacji, nowych technologii oraz własności intelektualnej.

Ochrona danych osobowych w HR dotycząca kontroli trzeźwości i pracy zdalnej

Zapraszamy na kolejną część webinaru z serii „Ochrona danych osobowych w HR”. Tym razem zaprezentujemy Państwu kwestie dotyczące kontroli trzeźwości i pracy zdalnej.

Na spotkaniu powiemy co w związku z nowymi przepisami należy przygotować w organizacji tak by zapewnić bezpieczne i zgodne z prawem przetwarzanie danych osobowych.

 

Agenda:

  • Praca zdalna, kontrole trzeźwości – ramy prawne.
  • Regulamin pracy zdalnej.
  • Procedura ochrony danych przy pracy zdalnej.
  • Kontrole trzeźwości – biuro, zakład produkcyjny.
  • Kontrole trzeźwości – dom.
  • Kontrole trzeźwości – podwykonawcy.
  • Protokół kontroli trzeźwości.
  • Klauzule informacyjne.

 

Data: 9 marca 2023 r., godz. 11:00-12:00

ZAREJESTRUJ SIĘ JUŻ TERAZ!

 

Spotkanie poprowadzą:

  • Agnieszka Szalińska – Prawnik, konsultant ds. ochrony danych w Audytel S.A.

Absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, prawnik z ponad 20–letnim doświadczeniem i praktyczną znajomością zasad ochrony danych osobowych. Posiada kilkunastoletnie doświadczenie trenera – szkoleniowca, przeprowadza audyty z zakresu ochrony danych osobowych, przygotowuje opinie prawne w tym zakresie. Stały współpracownik wielu jednostek szkoleniowych. Współautorka książki „Monitorowanie i testowanie zgodności z RODO z perspektywy prawnika i informatyka”.

Posiada 15-letnie doświadczenie w Biurze Generalnego Inspektora Ochrony Danych Osobowych (obecnie PUODO) z siedzibą w Warszawie (m.in. starszy specjalista w Departamencie Orzecznictwa, Legislacji i Skarg, radca w Departamencie Inspekcji).

Wyróżnia się biegłością w tworzeniu dokumentacji prawnej dotyczącej ochrony danych osobowych.

  • Wojciech Brzostowski – Adwokat, konsultant ds. ochrony danych  w Audytel S.A. 

Adwokat, specjalista z zakresu ochrony danych osobowych i prawa pracy. Absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego. W roku 2021 wyróżniony przez Dziekana Okręgowej Rady Adwokackiej w Warszawie za uzyskanie jednego z najwyższych wyników z egzaminu adwokackiego.

Doświadczenie zdobywał w renomowanych kancelariach prawnych oraz jako inspektor ochrony danych podmiotów medycznych. Posiada szeroką praktykę w prowadzeniu i organizacji szkoleń, wdrożeń i audytów. Doradca w projektach o charakterze międzynarodowym, jak i realizowanych w Polsce przez Klientów zagranicznych. Obsługę prowadzi również w języku angielskim.

Autor publikacji naukowych i branżowych z zakresu ochrony danych osobowych i prawa pracy.

 

 

Zapraszamy! 

Co należy robić aby uniknąć naruszenia ochrony danych osobowych?

Nie wszystkie przedsiębiorstwa wiedzą, co należy zrobić, by zminimalizować ryzyko pojawienia się incydentu naruszenia ochrony danych osobowych. Nasze webinarium pomoże Państwu zmierzyć się z tym problemem.

Na spotkaniu przedstawimy, co należy robić, aby właściwie zabezpieczać dane osobowe. Zaprezentujemy, w jaki sposób unikać lub zminimalizować ryzyko wystąpienia incydentu. Pokażemy, jakie czynności należy wykonać, aby w razie wystąpienia incydentu udowodnić przed organem nadzorczym, że zostały podjęte wszystkie niezbędne działania.

Agenda:

  • Przyczyny powstania naruszenia danych osobowych.  
  • Na jakie zabezpieczenia wskazuje treść RODO? 
  • Zabezpieczenia organizacyjne danych osobowych. 
  • Zabezpieczenia techniczne danych osobowych. 
  • Dowody wdrożenia i stosowania zabezpieczeń. 

 

Data: Wtorek, 14 marca 2023 r., godz. 11:00-12:00

ZAREJESTRUJ SIĘ JUŻ TERAZ!

 

Spotkanie poprowadzą:

  • Wiesław Krawczyński – Ekspert ds. bezpieczeństwa IT

Absolwent Politechniki Białostockiej, Eindhoven University of Technology oraz Szkoły Głównej Handlowej.

Konsultant z ponad 25-letnim doświadczeniem zawodowym i akademickim. Brał udział w tworzeniu infrastruktury PKI dla instytucji publicznych oraz firm. Doświadczony ekspert w zakresie usług zaufania oraz identyfikacji elektronicznej. Specjalizuje się w zagadnieniach infrastruktury klucza publicznego oraz bezpieczeństwa związanego z podpisem elektronicznym.

Posiada między innymi certyfikaty: Prince2 Foundation oraz Practitioner, ISO 27001 Auditor, TOGAF 9 Certification, ISTQB Certified Tester, ITIL Certification in Service Management oraz REQB Certified Professional for Requirements Engineering Professional.

  • Marcin Kempisty – Prawnik, Konsultant ds. ochrony danych osobowych

Prawnik, specjalista z zakresu prawa ochrony danych osobowych. Absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego.

Doświadczenie w zakresie prawa ochrony danych osobowych nabył w Urzędzie Ochrony Danych Osobowych, gdzie w Departamencie Skarg odpowiadał za merytoryczne rozpatrywanie skarg indywidualnych składanych w związku z naruszeniami prawa do ochrony danych osobowych dokonywanymi przez podmioty publiczne oraz prywatne. Sporządzał pisma procesowe w sprawach prowadzonych przez sądy administracyjne.

Specjalizował się w tematyce ochrony danych osobowych dotyczącej branży telekomunikacyjnej, spółdzielczej, a także związanej z funkcjonowaniem jednostek samorządu terytorialnego. Interesuje się zagadnieniami przetwarzania danych osobowych przy wykorzystaniu nowoczesnych technologii.

Zapraszamy! 

Dodatkowe obowiązki administratorów przy zgłaszaniu naruszeń – nowe wytyczne EROD

W dniu 3 października 2017 r. Grupa Robocza art. 29 (poprzednik Europejskiej Rady Ochrony Danych – „EROD”) przyjęła pierwsze wytyczne w sprawie powiadamiania o naruszeniu danych na gruncie RODO. W trzecim kwartale 2022 r. EROD opublikowała projekt zaktualizowanych wytycznych, w których doprecyzowała wymogi dotyczące powiadamiania o naruszeniach danych osobowych, przy czym istotna zmiana jest skierowana do podmiotów, które nie posiadają jednostki organizacyjnej na terenie Unii Europejskiej.

Rola przedstawiciela administratora

Zgodnie z przepisami RODO, gdy administrator (lub podmiot przetwarzający) niemający jednostki organizacyjnej w Unii Europejskiej przetwarza dane osobowe osób, których dane dotyczą, znajdujących się w Unii, a jego czynności przetwarzania wiążą się z oferowaniem towarów lub usług tym osobom w Unii lub z monitorowaniem ich zachowania, to taki administrator powinien wyznaczyć przedstawiciela, chyba że przetwarzanie ma charakter sporadyczny, nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, ani przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa, i jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych, lub jeżeli administrator jest organem lub podmiotem publicznym. Taki przedstawiciel powinien działać w imieniu administratora i może być adresatem ewentualnych działań organu nadzorczego. Przedstawiciel powinien wykonywać swoje zadania zgodnie z upoważnieniem otrzymanym od administratora, a jednym z jego głównych zadań jest współpraca z właściwymi organami nadzorczymi w odniesieniu do wszelkich działań służących zapewnieniu przestrzegania przepisów RODO.

Przedstawiciel już nie wystarczy

Pierwsze wytyczne w sprawie zgłaszania naruszeń ochrony danych osobowych zakładały, że w przypadku wystąpienia takiego naruszenia należy zgłosić je do organu nadzorczego w państwie, w którym siedzibę ma przedstawiciel wyznaczony przez administratora. Procedura ta była oparta na mechanizmie kompleksowej współpracy pomiędzy organami z różnych państw UE (tzw. one-stop-shop) i zakładała, że administrator powinien podlegać kontroli tylko jednego organu nadzorczego – niezależnie od ilości państw, w których prowadzi on działalność. Jeśli więc, podmiot mający siedzibę poza Unią, działał na terenie kilku jej krajów, a wyznaczył swojego przedstawiciela np. w Polsce, to wystarczające było zgłoszenie naruszenia jedynie do polskiego organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych.

Jednak zgodnie z nowym brzmieniem wytycznych, sama obecność przedstawiciela w państwie członkowskim nie spowoduje już uruchomienia procedury one-stop-shop. Z tego powodu naruszenie będzie musiało zostać zgłoszone każdemu organowi państwa członkowskiego, w którym zamieszkują dotknięte naruszeniem osoby. Zgłoszenia tego należy dokonać zgodnie z pełnomocnictwem udzielonym przez administratora jego przedstawicielowi i na jego odpowiedzialność.

 

Krytyka odejścia od procedury one-stop-shop

Jak można przypuszczać, odejście przez EROD od procedury one-stop-shop wzbudziło krytykę podmiotów spoza Unii, dla których oznacza to szereg nowych obowiązków. Ta krytyka posługuje się zresztą solidną argumentacją. Spośród głosów krytycznych warto zwrócić uwagę m.in. na:

  • Trudność w dotrzymaniu terminów zgłoszenia naruszenia ochrony danych osobowych

Zaktualizowane wytyczne EROD nie wspominają, żeby zmianie miał ulec termin na zgłoszenie naruszenia, który – przypomnijmy – wynosi jedynie 72 godziny od stwierdzenia naruszenia. Istnieje ryzyko braku zareagowania w ww. terminie, ponieważ każdy organ ochrony danych określa na swój sposób procedurę powiadamiania o naruszeniach. Jeżeli – w uproszczeniu – wszystkie 27 państw członkowskich dotknięte jest tym samym naruszeniem danych, a każde państwo członkowskie ma inny formularz powiadomienia o naruszeniu danych, we własnym języku, to wręcz niemożliwe staje się dla organizacji dotrzymanie terminu 72 godzin. Jeżeli termin 72 godzin zostanie przekroczony, a naruszenie nie zostanie zgłoszone, może to spowodować dalsze ryzyko dla ochrony danych osobowych osób, których dane dotyczą. Można by oczekiwać, że to właśnie sprawna współpraca na poziomie organów nadzorczych ma zapewniać ochronę danych osobowych Europejczyków, a nie zgłaszanie naruszenia przez – w praktyce – kilka/kilkanaście dni przez organizacje, których macierzystym obszarem działalności nie jest Unia Europejska.

  • Zbytnie obciążenie organów nadzorczych państw członkowskich

Jeżeli naruszenie danych dotyczy wielu państw członkowskich  Unii, właściwych może być bardzo wiele organów nadzorczych. Niektóre organy ochrony danych mogą mieć trudności w obsłudze zgłoszenia, biorąc pod uwagę np. ograniczenie w zasobach technicznych i organizacyjnych. Większość organów nadzorczych twierdzi, że nie ma wystarczających zasobów, by zajmować się naruszeniami danych, i zgłaszają, że ich personel jest niewystarczający. Chciałyby one przeprowadzać więcej audytów i skupić się na łagodzeniu skutków naruszeń danych. W przypadkach zgłaszania naruszeń danych, najbardziej czasochłonnym aspektem jest wypełnianie formularzy, co powoduje brak czasu na faktyczne zajęcie się naruszeniem danych, skutkujące rozbieżnością między obciążeniem pracą a możliwościami jej wykonania. Otwarte pozostaje także pytanie czy taka dublowana praca rzeczywiście przybliża organy do realizacji głównego celu RODO, którego założeniem jest przecież jak najlepsza ochrona danych osobowych obywateli UE.

 

Podsumowując, zmiany zaproponowane przez EROD w  nowym brzmieniu wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych nie wydają się ani niezbędne, ani co więcej – zasadne. Jeśli celem wprowadzonych zmian miała być lepsza ochrona praw Europejczyków, wydaje się że przyjęte rozwiązanie nie przybliży, a wręcz może nas od niego oddalić. Konsultacje projektu jeszcze się nie zakończyły – pozostaje jedynie oczekiwać na ostateczną decyzję EROD w tym zakresie.

 

Źródła:

https://ec.europa.eu/newsroom/article29/items/612052

https://edpb.europa.eu/system/files/2022-10/edpb_guidelines_202209_personal_data_breach_notification_targetedupdate_en.pdf

https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679&from=PL

 

Plan Pracy: Wyzwania dla Inspektora Ochrony Danych

Wróciliśmy do rzeczywistości. Okres świąteczny i urlopowy dobiegł końca. Początek nowego roku to moment, w którym organizacje skrupulatnie planują zadania na najbliższych dwanaście miesięcy. Planowanie zadań w obszarze ochrony danych osobowych nierozerwalnie związane jest z rozpoczęciem nowego roku w praktycznie każdej organizacji.

Jako dobrą praktykę z zakresu ochrony danych osobowych uznaje się przygotowanie i wdrożenia przez inspektorów ochrony danych (dalej: IOD) planu działań z uwzględnieniem działań o charakterze stałym oraz incydentalnym. Plan ten powinien być zatwierdzony przez administratora często w porozumieniu z działem prawnym i działem IT. Forma planu działań leży w gestii IOD. Osobiście plan pracy przygotowuję w formie elektronicznej uwzględniając każdy miesiąc roku. Plan ten udostępniany jest administratorowi oraz w razie potrzeby menedżerom działów w przypadku, kiedy działania IOD obejmują audyty, sprawdzenia, dedykowane szkolenia. Wcześniejsze poinformowanie osób zainteresowanych pozwala zaplanować prace biorąc pod uwagę zasoby ludzkie oraz czas jaki może zostać poświęcony IOD.

Zadania o charakterze stałym można podzielić na kilka grup:

  1. Na czele zgodnie z art. 39 RODO do zadań IOD należy monitorowanie przestrzegania prawa ochrony danych w organizacji. Często klienci zadają pytania co tak naprawdę kryje się pod pojęciem monitorowania? Czy monitorowanie oznacza, że IOD odpowiada za pełną zgodność organizacji z RODO? Odpowiadamy stanowcze nie. Musimy wyprowadzić klientów z błędnego myślenia. Monitorowanie nie oznacza odpowiedzialności za zgodność organizacji, w tym osobistej odpowiedzialności IOD w przypadkach naruszenia przepisów z zakresu ochrony danych osobowych. Monitorowanie oznacza w dużej mierze analizowanie i pomoc by procesy biznesowe klienta związane z przetwarzaniem danych osobowych były zgodne z zasadami wynikającymi z RODO oraz aktami towarzyszącymi. Immamentnie związanym z tym zadaniem jest działanie polegające na bieżącym monitoringu prawnym. IOD powinien śledzić wytyczne organów, stronę internetową UODO, strony branżowe w celu zaznajomienia się z nowymi czy też zaktualizowanymi trendami w obszarze ochrony danych osobowych – to bardzo ważne w celu maksymalnego zabezpieczenia interesów klienta.
  2. IOD zobowiązany jest do informowania administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO. W przeważającej liczbie przypadków informowanie ww. kategorii podmiotów polega na przekazywaniu informacji o tematach związanych z ochroną danych osobowych czy to w formie alertów prawnych, biuletynów, newsletterów.
  3. Jako ważny aspekt działań IOD o charakterze stałym należy zakwalifikować przeprowadzanie cyklicznych audytów i sprawdzeń. Audyty mogą dotyczyć całej organizacji lub określonego działu względnie procesu związanego z przetwarzaniem danych osobowych. Sposób przeprowadzenia audytu leży w gestii IOD. IOD może bazować na ankietach, spotkaniach on – line, spotkaniach fizycznych.
  4. Do zadań stałych IOD może należeć również prowadzenie rejestru czynności przetwarzania/prowadzenie rejestru kategorii czynności przetwarzania lub wsparcie administratora w prowadzeniu tych rejestrów.
  5. Nieodzownym elementem pracy IOD jest pomoc w obsłudze żądań podmiotów danych. O ile niektóre organizacje nie zmagają się z lawiną żądań o tyle niektórzy klienci z procesem obsługi żądań zmagają się praktycznie codziennie.
  6. Kolejna grupa zadań o charakterze stałym to pomoc w obsłudze naruszeń ochrony danych osobowych. Temat ten wzbudza najwięcej emocji w przypadku realnego wystąpienia naruszenia ochrony danych. Oczywiście każda organizacja chciałaby by procedura obsługi naruszeń nigdy nie zafunkcjonowała w praktyce, ale jeśli już coś się wydarzy wtedy pomoc IOD jest nieoceniona. Pomoc ta dotyczy głównie analizy naruszenia, przygotowywania zawiadomienia do organu nadzorczego, przygotowanie zawiadomienia do podmiotów danych informującego o naruszeniu w przypadku ziszczenia się przesłanek określonych odpowiednio w art. 33 i 34 RODO, wpisie do rejestru naruszeń oraz przygotowanie zaleceń w celu zapobiegania przyszłym naruszeniom.
  7. IOD w planie zadań powinien uwzględnić pomoc w zawieraniu umów powierzenia przetwarzania danych osobowych zgodnie z wymogami stawianymi przez art. 28 RODO oraz nadzór nad weryfikacją podmiotów przetwarzających. Pomoc IOD w procesie zawierania umów jest tak naprawdę uzależniona od skali zawieranych umów. Oczywiście najmniej czasochłonna jest weryfikacja podmiotów przetwarzających na podstawie ankiet, ale zdarzają się przypadki, w których weryfikacja procesora polegająca na fizycznym/zdalnym audycie, który trwa od kilku do kilkunastu dni. Wtedy obciążenie IOD jest dość duże i warto uwzględnić takie audyty w planie pracy.
  8. Warto wspomnieć, że IOD w planie pracy powinien uwzględnić udział w procesie analizy ryzyka. IOD pełni w tym przypadku rolę osoby koordynującej i opiniującej całość, a nie przygotowującej analizę ryzyka. Zadanie to jest zarezerwowane dla administratora/właściciela biznesowego procesu związanego z przetwarzaniem danych osobowych. Nie ulega wątpliwości, że temat analizy ryzyka jest tematem ważnym, czasochłonny często bagatelizowany przez klientów z uwagi chociażby na brak narzędzi do ich przeprowadzenia.
  9. Plan pracy powinien uwzględniać pozycję IOD w przypadku zatrudniania osób oraz przeprowadzania szkoleń czy to w formie fizycznych spotkań czy też za pośrednictwem platformy e-learningowej. Warto zadbać o to by proces podnoszenia świadomości pracowników/współpracowników był procesem ciągłym i powtarzalnym. Klienci często żyją w przekonaniu, że raz odbyte szkolenie przez pracownika załatwia ten temat. Szkolenia powinny być periodycznie powtarzane.

Do zadań o charakterze incydentalnym możemy zaliczyć przede wszystkim pomoc i udział w kontroli ze strony organu nadzorczego. O ile zadania o charakterze stałym, wprost wynikających z przepisów RODO możemy zaplanować uwzględniając czasochłonność (bazując np. na wcześniejszych doświadczeniach) o tyle zadania wpadkowe i ich czasochłonność uzależniona jest od wielu czynników, często ciężkich do przewidzenia.

Ochrona danych osobowych w HR dotycząca pracowników

Zapraszamy na drugą część webinaru z serii „Ochrona danych osobowych w HR”.

W ramach spotkania omówimy procesy związane z zatrudnieniem pracownika, w których zastosowanie mają nie tylko przepisy RODO, ale również szereg polskich ustaw i rozporządzeń. Przedstawimy Państwu kompleksowe omówienie procesów zachodzących w ramach ww. czynności i wskażemy działania, które są konieczne do podjęcia by zapewnić bezpieczne i zgodne z prawem przetwarzanie danych osobowych

 

Agenda:

  • Zakres danych pracownika – ramy prawne.
  • Medycyna pracy.
  • BHP.
  • Kontrole trzeźwości.
  • ZFŚS.
  • PPK.
  • Zgoda pracownika jako podstawa przetwarzania danych pracownika.
  • Wykorzystywanie wizerunku pracownika.
  • Inne formy zatrudnienia (praktyki, staże, umowy B2B).
  • Agencja pracy tymczasowej.
  • Współpraca ze związkami zawodowymi.
  • Zarządzanie flotą samochodową.
  • Benefity pracownicze.
  • Dane członków rodziny.
  • Obowiązek informacyjny dla pracowników.
  • Upoważnienia do przetwarzania danych osobowych dla pracowników.
  • Przykłady powierzeń i udostępnień (firmy szkoleniowe, urzędy, komornicy).
  • Zasady retencji dokumentów HR (dane osobowe byłych pracowników).

 

Data: czwartek, 2 lutego 2023 r., godz. 11:00 – 12:30.

Zapisz się już teraz!

Spotkanie poprowadzą:

  • Agnieszka Szalińska – Prawnik, konsultant ds. ochrony danych w Audytel S.A.

Absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, prawnik z ponad 20–letnim doświadczeniem i praktyczną znajomością zasad ochrony danych osobowych. Posiada kilkunastoletnie doświadczenie trenera – szkoleniowca, przeprowadza audyty z zakresu ochrony danych osobowych, przygotowuje opinie prawne w tym zakresie. Stały współpracownik wielu jednostek szkoleniowych. Współautorka książki „Monitorowanie i testowanie zgodności z RODO z perspektywy prawnika i informatyka”.

Posiada 15-letnie doświadczenie w Biurze Generalnego Inspektora Ochrony Danych Osobowych (obecnie PUODO) z siedzibą w Warszawie (m.in. starszy specjalista w Departamencie Orzecznictwa, Legislacji i Skarg, radca w Departamencie Inspekcji).

Wyróżnia się biegłością w tworzeniu dokumentacji prawnej dotyczącej ochrony danych osobowych.

  • Wojciech Brzostowski – Adwokat, konsultant ds. ochrony danych  w Audytel S.A. 

Adwokat, specjalista z zakresu ochrony danych osobowych i prawa pracy. Absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego. W roku 2021 wyróżniony przez Dziekana Okręgowej Rady Adwokackiej w Warszawie za uzyskanie jednego z najwyższych wyników z egzaminu adwokackiego.

Doświadczenie zdobywał w renomowanych kancelariach prawnych oraz jako inspektor ochrony danych podmiotów medycznych. Posiada szeroką praktykę w prowadzeniu i organizacji szkoleń, wdrożeń i audytów. Doradca w projektach o charakterze międzynarodowym, jak i realizowanych w Polsce przez Klientów zagranicznych. Obsługę prowadzi również w języku angielskim.

Autor publikacji naukowych i branżowych z zakresu ochrony danych osobowych i prawa pracy.

Zapraszamy!

Co należy zrobić w przypadku naruszenia ochrony danych osobowych?

Zapraszamy na webinar dotyczący obsługi procesu naruszeń ochrony danych osobowych. 

Na spotkaniu przedstawimy jak należy postępować by właściwie zidentyfikować naruszenie oraz przedstawimy rozwiązanie typowych problemów, które związane są z obsługą tego procesu.

Poinformujemy jak właściwie informować Prezesa Urzędu Ochrony Danych Osobowych oraz osoby, których prawa i wolności zostały naruszone w wyniku incydentu.

Agenda:

  • Identyfikacja naruszenia ochrony danych osobowych.
  • Analiza ryzyka związana z naruszeniem.
  • Ocena obowiązku zgłoszenia do Prezesa UODO.
  • Ocena obowiązku kierowania informacji do osób, których incydent dotyczy.
  • Dokumentowanie procesu naruszenia.

 

Data: czwartek, 2 marca 2023 r., godz. 11:00 – 12:00.

Zapisz się już teraz!

Spotkanie poprowadzą:

  • Karolina Jarosz – Adwokat, konsultant ds. ochrony danych w Audytel S.A. 

Adwokat, absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. Studiowała również na Uniwersytecie w Oviedo w ramach programu Erasmus. Ukończyła studia podyplomowe  na Uniwersytecie Warszawskim: Prawo Medyczne, Bioetyki i Socjologii Medycyny.

Ma kilkuletnie doświadczenie  z zakresu ochrony danych osobowych  zdobyte we współpracy z wiodącymi kancelariami prawnymi. Udzielała wsparcia prawnego podmiotom m.in.  z branży medycznej i ubezpieczeniowej. Przeprowadzała audyty i sporządzała dokumentację w podmiotach leczniczych, a od 2018 r. uczestniczyła w procesach wdrożenia RODO w organizacjach klientów.

W zakresie swojej praktyki zawodowej reprezentowała przedsiębiorców w wielu postępowaniach sądowych i pozasądowych.  Posługuje się językiem angielskim.

  • Krzysztof Gołaszewski – Lider Obszaru Ochrony Danych w Audytel S.A.

Doświadczony menedżer z praktyką zdobytą w centralnej administracji państwowej oraz w dużych spółkach akcyjnych w sektorze telekomunikacyjnym, energetycznym i bankowym. Jest ekspertem w dziedzinie ochrony danych osobowych, ładu korporacyjnego, zarządzania procesowego, audytu, compliance i etyki biznesu.

Jest certyfikowanym oficerem compliance, posiada certyfikat PRINCE-2. Uczestniczył w procesach dostosowania organizacji do RODO, audytach zgodności z prawem ochrony danych osobowych, przygotowywaniach dokumentacji wdrożeniowych, opiniowania umów oraz opiniowania projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych. Wyróżnia się biegłością w tworzeniu dokumentacji prawnej dotyczącej ochrony danych osobowych.

Zapraszamy!

Agencja Rekrutacyjna – umowa powierzenia, czy udostępnienie?

Pracodawcy planując proces rekrutacyjny często korzystają z pomocy agencji rekrutacyjnych. I tutaj, aby być w zgodzie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej: RODO) mogą pojawić się pytania:

 

  • Czy będzie to współpraca oparta na powierzeniu i będzie trzeba ustalić kto będzie administratorem danych, a kto podmiotem przetwarzającym?
  • Czy może będzie to współpraca oparta na udostępnieniu?
  • Czy będzie to współpraca oparta zarówno na udostępnieniu, jak i powierzeniu?

 

W związku z powyższymi pytaniami  wyłaniają nam się trzy modele współpracy z agencjami rekrutacyjnymi, które omówię poniżej  wraz ze wskazówkami, co robić, aby być w zgodzie z RODO. Oczywiście zanim wybierzemy właściwy model  to należy uzyskać odpowiedź na pytanie w jaki sposób będzie prowadzona rekrutacja. Niezbędne  jest zatem dokonanie analizy następujących kwestii:

  • Czy dane osobowe kandydatów do pracy będą czerpane z zasobów agencji rekrutacyjnej?
  • Czy agencja będzie zamieszczała ogłoszenia o pracę w swoim własnym imieniu i włączała dane kandydatów do swoich zbiorów danych?
  • Czy ogłoszenia o pracę będą zamieszczane w imieniu klienta?

 

I model współpracy

Agencja rekrutacyjna, jako administrator danych osobowych kandydatów

 

Model ten zakłada, że agencja rekrutacyjna czerpie dane kandydatów z własnych baz z danymi osobowymi lub we własnym imieniu wyszukuje kandydatów (np. zamieszcza ogłoszenia o pracę, nawiązuje kontakty poprzez dedykowane portale) i włącza dane osobowe kandydatów do swoich zbiorów danych.

W opisanej powyżej sytuacji agencja rekrutacyjna będzie działała jako administrator danych osobowych kandydatów do pracy, albowiem to ona będzie decydowała o celach i sposobach przetwarzania danych osobowych. Agencja rekrutacyjna będzie zobowiązana do dopełnienia obowiązku informacyjnego wskazanego  w RODO, gdyż dane kandydatów przetwarza jako Administrator danych, w swoim własnym celu – przeprowadzenie pierwszego etapu rekrutacji – pozyskanie CV, selekcjonowanie kandydatów. Dane osób zainteresowanych poszukiwaniem pracy będzie przetwarzała agencja rekrutacyjna, nie tylko w celu tej jednej zleconej rekrutacji, ale także na potrzeby innych rekrutacji dla różnych klientów, z którymi nawiąże współpracę.

W związku z powyższym to agencja wyszukuje w swoich zbiorach z danymi osobowymi odpowiednich kandydatów do pracy, spełniających wymagania wskazane w umowie o współpracę. Przekazanie danych osobowych odpowiedniego kandydata następuje poprzez udostępnienie danych osobowych (dokumentów aplikacyjnych CV, list motywacyjny), a klient (jako potencjalny pracodawca zlecający agencji rekrutacyjnej wyszukanie kandydata) w momencie otrzymania dokumentów aplikacyjnych staje się administratorem danych osobowych i spoczywa na nim obowiązek informacyjny wtórny z wynikający  art. 14 RODO.

 

II model współpracy

Agencja rekrutacyjna, jako procesor

 

W tym modelu, agencja rekrutacyjna w imieniu klienta (potencjalnego pracodawcy) wyszukuje kandydatów, czyli np. zamieszcza ogłoszenia o pracę, prowadzi rozmowy rekrutacyjne, proponuje przyszłe wynagrodzenie. Nie korzysta z kandydatów znajdujących się we własnych zbiorach z danymi osobowymi, ale w sposób aktywny poszukuje ich w imieniu klienta.

I tutaj klient (potencjalny pracodawca) jest administratorem danych osobowych kandydatów, ponieważ to on decyduje o celach i sposobach przetwarzania danych osobowych, to on ma tzw. władztwo decyzyjne. Dlatego w takiej sytuacji należy podpisać z agencją rekrutacyjną umowę powierzenia przetwarzania danych osobowych, w której klient (jako potencjalny pracodawca) powierza agencji rekrutacyjnej do przetwarzania dane osób ubiegających się u niego  o zatrudnienie/dane rekrutacyjne.

Przy tym modelu to na kliencie jako administratorze danych będzie spoczywać obowiązek informacyjny wynikający z art. 13 RODO. W związku z tym, klient powinien zadbać o to, aby dodać w umowie o współpracy  stosowne zastrzeżenie, traktujące o tym, że agencja w jego imieniu zobowiązuje się dopełnić obowiązku informacyjnego w stosunku do kandydatów, a jako załącznik do umowy zamieścić odpowiednią klauzulę informacyjną. Natomiast agencja rekrutacyjna występuje jako podmiot przetwarzający, który w imieniu i na rzecz potencjalnego pracodawcy wyszukuje kandydatów do pracy. Agencja nie wykorzystuje zebranych danych osobowych w swoich własnych celach, nie włącza ich do swoich zbiorów danych osobowych, a po zakończeniu współpracy,  zgodnie z zapisami w umowie powierzenia, powinna usunąć dane osobowe kandydatów.

 

III model – mieszany

 

Agencja rekrutacyjna w imieniu klienta (potencjalnego pracodawcy) prowadzić będzie rekrutacje dwutorowo. Po pierwsze wyszukuje kandydatów poprzez ogłoszenia o prace w imieniu klienta, ale może także korzystać z własnych zbiorów z danymi osobowymi kandydatów. Przy tym modelu będziemy mieć do czynienia z połączeniem dwóch wyżej opisanych sytuacji. Klient (potencjalny pracodawca) musi zawrzeć z agencją rekrutacyjną umowę powierzenia, a w sytuacji, gdy agencja dodatkowo korzystać będzie z kandydatów z własnych zasobów, dochodzić będzie do udostępnienia klientowi danych osobowych przez agencję. Dlatego te dwa wymienione sposoby pozyskiwania kandydatów w odmienny sposób będą kształtowały obowiązek informacyjny.

I tak, gdy agencja pozyskuje kandydatów we własnym imieniu i włącza ich do swoich baz, przekazanie dokumentów aplikacyjnych będzie następowało poprzez udostępnienie danych potencjalnemu pracodawcy, który powinien dopełnić obowiązku informacyjnego wtórnego wynikającego z art. 14 RODO. Natomiast, gdy agencja w imieniu i na rzecz klienta poszukuje kandydatów, powinna ona dopełnić w jego imieniu obowiązek  informacyjny wynikający  z art. 13 RODO.