Przetwarzanie „służbowych” danych osobowych

  • 13.08.2018

  • Autor: Michał Rogoziński

  • analizy

Wiele firm podczas wdrażania przepisów RODO zastanawia się jak podejść do przetwarzania danych osobowych pracowników swoich kontrahentów, których dane pozyskiwane są w ramach realizacji umowy lub zamówienia. Dane tych osób pojawiają się na umowach (jako reprezentanci firmy), w stopkach maili (jako osoby oddelegowane do kontaktu w celu jej realizacji), czy na wizytówkach (jako przedstawicieli handlowych). W takich okolicznościach pozyskiwane są takie informacje jak: imię, nazwisko, służbowy adres e-mail, służbowy numer telefonu.

Czytając przepisy RODO, a w szczególności definicję danych osobowych, można dojść do wniosku, że do tego rodzaju danych osobowych należy przyłożyć RODO w całej rozciągłości. Przy takiej interpretacji jednak szybko dojdziemy do wniosku, iż wiązałoby się to nieustanną wymianą obowiązków informacyjnych pomiędzy pracownikami kontrahentów. W praktyce każdy przedstawiciel handlowy powinien dysponować plikiem kartek z klauzulami informacyjnymi i wręczać je każdemu pracownikowi partnera biznesowego, którego dane pozyskuje. Idąc dalej należałoby przyjąć, iż prezes firmy mógłby poprosić każdego kontrahenta, który zawarł umowę z jego firmą, o dostarczenie kopii swoich danych zawartych na umowie lub ich usunięcia.

Wydaje się, że taka interpretacja przepisów RODO może prowadzić do wypaczenia sensu tej reformy oraz wprowadza nadmierne obowiązki na przedsiębiorców, które nie służą ochronie praw osób fizycznych.

Aby przy okazji wdrażania RODO nie „wylewać dziecka z kąpielą” warto przyjrzeć się motywowi 14 RODO, który stanowi, iż „(…) Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.”

Trudno sobie wyobrazić, aby firmy mogły funkcjonować, zawierać i realizować umowy zachowując anonimowość swoich przedstawicieli – osób fizycznych. Kontrahenci i partnerzy biznesowi muszą wymieniać się danymi kontaktowymi swoich przedstawicieli, aby móc uczestniczyć w obrocie gospodarczym. Celem RODO nie jest ograniczanie tego obrotu i utrudnianie prowadzenia działalności gospodarczej, a przyjmowanie zarysowanej na początku niniejszego tekstu wysoce ostrożnościowej interpretacji może do tego prowadzić.

Już w 2010 roku Generalny Inspektor Ochrony Danych Osobowych stwierdził, iż „Informacje o pracowniku takie jak np. jego imię i nazwisko, czy właśnie służbowy adres e-mail są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Dane te mogą być wykorzystywane (udostępniane) przez pracodawcę nawet bez zgody pracownika, którego one dotyczą.

Co prawda powyższe stanowisko GIODO, jak również orzecznictwo sądów powszechnych powstawało w poprzednim stanie prawnym, ale odnoszą się do podobnych stanów faktycznych, związanych z przetwarzaniem danych osobowych pracowników na potrzeby reprezentacji firmy. Słuszne wydaje się zatem przyjęcie, iż informacje o przedstawicielach osób prawnych, w zakresie służbowym, są danymi kontaktowymi firmy, dla której te osoby pracują, a nie danymi osobowymi sensu stricto tych osób.

Z uwagi na fakt, że dane służbowe nie są jednak danymi dostępnymi publicznie, warto zapewnić zachowanie poufności tych danych, czyli zabezpieczyć sposób ich przechowywania i udostępniania, tak by były one przetwarzane zgodnie z ich przeznaczeniem, a więc w obrębie działalności biznesowej administratora.

Ekspert w dziedzinie ochrony danych

Autor

Michał Rogoziński

Od kilku lat doradza polskim przedsiębiorcom przy budowaniu i rozwijaniu bezpiecznego biznesu. Zrealizował dziesiątki audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Aktywny trener prowadzący szkolenia z zakresu bezpieczeństwa przetwarzania danych osobowych. Posiada certyfikat audytora wiodącego ISO 27001:2013 (Bezpieczeństwo Informacji).

Z tej samej kategorii

Kategorie