Przedsiębiorcy wysyłający za granicę informacje o swoich pracownikach po wejściu w życie unijnego rozporządzenia muszą być bardzo ostrożni. Naruszenie przepisów w tym zakresie będzie bowiem groziło nałożeniem wysokiej kary. I to bez względu na to, w jakim kraju doszło do nieprawidłowości

Dziś czwarty z cyklu artykułów przygotowywanych we współpracy z kancelarią Raczkowski Paruch, w których szczegółowo omawiamy zagadnienia związane z ochroną danych pracowników i kandydatów do pracy.

Cykl jest inspirowany licznymi zmianami w tym obszarze prawa (zarówno projektowanymi, jak i już przyjętymi). Od 25 maja 2018 r. w państwach członkowskich UE, a tym samym również w Polsce, będzie bowiem stosowane tzw. ogólne rozporządzenie o ochronie danych osobowych (RODO). A to wymusza dostosowanie do niego polskich regulacji, co ma nastąpić na mocy ustawy o ochronie danych osobowych oraz ustawy zawierającej przepisy ją wprowadzające (obydwie są obecnie na etapie projektów). Ta druga, co warto podkreślić, obejmie m.in. nowelizację kodeksu pracy.

Poprzednie artykuły z cyklu ukazały sie w tygodniku Kadry i Płace:

● 12 października – „Monitorowanie pracowników. Co można dziś i co przyniesie jutro” (DGP nr 198/2017),

● 26 października – „Zgoda pracownika na przetwarzanie danych – teraz i w przyszłości” (DGP nr 208/2017).

● 2 listopada – „Konflikt w firmie pozwoli związkowi zawodowemu pozyskać dodatkowe dane pracowników” (DGP nr 212/2017).

RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, stanowi bezpośrednią próbę reakcji ustawodawcy europejskiego na wszelkie mankamenty dotychczas obowiązującego w UE systemu ochrony danych osobowych. A ten w ogromnej mierze bazuje na zapisach uchylanej przez RODO dyrektywy Parlamentu Europejskiego i Rady 95/46/WE z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. [ramka 1]

RAMKA 1

Podejście lokalne – zamiast globalnego

Jednym z zarzutów najczęściej stawianych dyrektywie 95/46/WE było całkowite rozminięcie się teoretycznych założeń tej regulacji z praktycznym jej funkcjonowaniem. Skutek? Cel dyrektywy – czyli budowy wspólnego systemu ochrony danych osobowych dla wszystkich państw członkowskich – nie został osiągnięty. Złożyło się na to kilka czynników.

Po pierwsze, już sam wybór przez ustawodawcę formy dyrektywy był równoznaczny z nałożeniem na państwa członkowskie obowiązku implementacji jej zapisów do krajowych porządków prawnych. W efekcie obecnie obowiązuje 28 różnych regulacji krajowych, które mają jedynie wspólne założenia i podstawy wynikające z treści dyrektywy. Praktyczne funkcjonowanie systemów ochrony danych osobowych zależy jednak od krajowych praktyk i zwyczajów, umiejscowienia organów nadzorczych, odpowiedzialnych za kontrolę przestrzegania przepisów z zakresu ochrony danych osobowych, w lokalnych strukturach organów państwowych oraz tak naprawdę od wagi, jaką każde z państw członkowskich przykłada do problemu ochrony danych osobowych. To powoduje, że poszczególne kraje UE na bardzo różnym poziomie zapewniają zaplecze finansowe i organizacyjne krajowym organom ochrony danych osobowych.

Po drugie, za nieefektywność dotychczasowego systemu ochrony danych osobowych obowiązującego na terenie Unii Europejskiej nie sposób nie winić także samych zapisów dyrektywy. Regulacji tej nadano bowiem wybitnie lokalny charakter. Przejawia się on zwłaszcza w obciążeniu administratorów danych obowiązkiem podjęcia wszelkich działań, które mają na celu zapewnienie zgodności prowadzenia działalności gospodarczej na terenie różnych krajów członkowskich z ich lokalnymi przepisami dotyczącymi ochrony danych osobowych (4 ust. 1 lit. a dyrektywy). Jednocześnie ustawodawca europejski nie zapewnił krajowym organom nadzorczym żadnych konkretnych uprawnień lub narzędzi, z których mogłyby one skorzystać w przypadku kontroli przetwarzania danych osobowych obejmującego terytorium więcej niż jednego państwa Unii Europejskiej. Jedynym zapisem o charakterze kooperacyjnym jest postanowienie dyrektywy, na podstawie którego „organy nadzorcze współpracują ze sobą w zakresie koniecznym do wykonywania swoich obowiązków, zwłaszcza poprzez wymianę wszelkich przydatnych informacji”. W żadnym miejscu nie sprecyzowano jednak na czym taka współpraca miałaby polegać, jakie uprawnienia przysługiwałyby poszczególnym organom nadzorczym oraz – co najważniejsze – kto miałby koordynować i finansować wspólne operacje.

Ustawodawca europejski, świadom wszelkich jej mankamentów wprowadził w RODO wiele rozwiązań, które w założeniu mają nadać ochronie danych osobowych osób fizycznych realny wymiar. Propozycja założeń RODO została przedstawiona w 2012 r., kiedy to było już jasne, jak ogromny wpływ na bezpieczeństwo danych osobowych ma ich przetwarzanie w formie cyfrowej (co w przypadku dyrektywy z 1995 r. wcale nie było jeszcze takie oczywiste). Stąd też tak szeroki nacisk położono na uregulowanie sytuacji, w których przetwarzanie danych osobowych ma charakter transgraniczny. Obecnie bowiem czynności przetwarzania danych, dokonywane w formie cyfrowej łatwiej niż kiedykolwiek, mogą objąć ogromną rzeszę osób i z uwagi na swoją dostępność w istocie stały się zjawiskiem powszechnym w działalności podmiotów międzynarodowych.
PONAD GRANICAMI
Intuicja nakazywałaby przypisanie transgranicznemu przetwarzaniu danych charakteru sformalizowanego. Już samo to pojęcie, którego brzmienie sugeruje występowanie pewnej procedury przekazywania danych „ponad granicami”, mogłoby na to wskazywać. Tymczasem w rzeczywistości z transgranicznym przetwarzaniem danych mamy do czynienia chociażby wtedy, gdy pracownik z działu HR w Polsce przesyła do centrali w Niemczech tabelkę z informacjami o lokalnych pracownikach, którzy mają tam przyjechać w celu odbycia szkolenia. Podobnie będzie w sytuacji, gdy pracodawca z Polski oddeleguje swoich pracowników do oddziału lub przedsiębiorstwa należącego do grupy przedsiębiorstw, do którego należy ten pracodawca, w związku z czym przesyła do innego kraju wiele informacji o oddelegowywanych pracownikach.
Przy czym przepisy RODO za transgraniczne przetwarzanie danych uznają nie tylko takie przetwarzanie, w którym dane osobowe muszą koniecznie „przekroczyć granicę” między dwoma krajami. Zgodnie z art. 4 ust. 23 RODO, za takie uważa się bowiem także „przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim”. Tak więc teoretycznie nawet przetwarzanie danych przez jedną osobę na jednym stanowisku komputerowym może zostać uznane za mające charakter transgraniczny. Kolejnym przykładem takiego przetwarzania danych jest korzystanie przez podmioty międzynarodowe z tego samego systemu informatycznego zawierającego dane swoich pracowników. Jeżeli dane wprowadzane w Polsce i wykorzystywane wyłącznie przez polskiego pracodawcę są „widoczne” chociażby przez pracowników „spółki matki” w Hiszpanii oraz pracowników pozostałych „spółek córek” z innych krajów UE, to w praktyce mamy do czynienia z transgranicznym przetwarzaniem danych (pomijając całkowicie prawidłowość takiego działania z punktu widzenia podstawowych zasad przetwarzania danych osobowych).
Z transgranicznym przetwarzaniem danych osobowych będziemy mieć do czynienia np. w sytuacji, gdy pracownik z działu HR w Polsce przesyła do centrali w Niemczech tabelkę z informacjami o lokalnych pracownikach, którzy mają przyjechać do Niemiec w celu odbycia szkolenia.
GOSPODARZ KONTROLI
Jak wspomniano wcześniej, objęcie jednolitym reżimem prawnym przetwarzania danych osobowych o charakterze ponadkrajowym było jednym z zasadniczych motywów wprowadzenia rozporządzenia 2016/679. Jednak samo wprowadzenie nowej regulacji, bez określenia mechanizmów jej egzekwowania, byłoby działaniem jedynie pozornym. Dlatego też RODO w przypadku zaistnienia transgranicznego przetwarzania danych wprowadziło z jednej strony obowiązek współdziałania ze sobą krajowych organów nadzorczych, na terenie właściwości których doszło do naruszenia przepisów z zakresu ochrony danych osobowych, a z drugiej – dla zapewnienia efektywności procesu kontroli przestrzegania prawa – instytucję wiodącego organu nadzorczego (art. 56 RODO), pełniącego rolę „gospodarza” procesu kontroli. Ów wiodący organ nadzorczy to nic innego jak krajowy organ nadzorczy, który zgodnie z przepisami RODO przejmuje kontrolę nad procedurą weryfikacji ewentualnego naruszenia. To wyłącznie z tym organem komunikują się administrator lub przetwarzający dane w przypadku, gdy następuje analiza podejmowanego przez nich transgranicznego przetwarzania danych (art. 56 ust. 6 RODO). [ramka 2]

RAMKA 2

Kto wiedzie prym

Dla określenia tego, który krajowy organ nadzorczy awansuje do roli organu wiodącego, decydujące jest to, czy mamy do czynienia z naruszeniem dokonanym przez administratora, czy przez przetwarzającego dane osobowe. W przypadku administratora istotne znaczenie ma to, w którym kraju znajduje się jego centralna administracja na terenie UE, o ile to w niej zapadają decyzje dotyczące celów i sposobów przetwarzania danych osobowych (art. 4 ust. 16 lit. a RODO). Jeżeli ośrodek decyzyjny dotyczący konkretnego zespołu czynności przetwarzania danych znajduje się gdzie indziej (tj. nie w centralnej administracji na terenie UE), to rozstrzygające znaczenie ma właśnie jego położenie w UE. Dla przetwarzającego dane kluczowe znaczenie ma ta lokalizacja, w której znajduje się jego centralna administracja w UE. Natomiast w przypadku jej braku decyduje miejsce w UE, w którym odbywają się główne czynności przetwarzania danych (art. 4 ust. 16 lit. b RODO).

ADMINISTRATOR CZY PODMIOT PRZETWARZAJĄCY
W przypadku podmiotów, które są częścią międzynarodowych spółek, ich praktyczna niezależność – jeżeli chodzi chociażby o stosowane systemy informatyczne służące do przetwarzania danych osobowych – często jest jedynie iluzoryczna. To bowiem „spółka matka” dostarcza lokalnym (tutaj: krajowym) oddziałom większość rozwiązań organizacyjnych, w tym informatycznych, mających służyć im do prowadzenia bieżącej działalności. Jakakolwiek zmiana stosowanych narzędzi (mimo że pełniłyby one tożsame funkcje) prowadziłaby bowiem do braku kompatybilności z systemami stosowanymi przez „spółkę matkę”. Dlatego też te ostatnie są preferowane w ramach całej grupy spółek. Sytuacja taka, niebudząca większych zastrzeżeń z biznesowego i organizacyjnego punktu widzenia, nastręcza jednak sporej liczby problemów na gruncie regulacji dotyczących ochrony danych osobowych.
RODO zdaje się dostrzegać powyższy problem. Wyrazem tego jest regulacja dotycząca grupy przedsiębiorstw, które mimo pozornej odrębności (przedsiębiorstwo sprawujące kontrolę i przedsiębiorstwa kontrolowane) w istocie mogą współdzielić między sobą szereg tych samych rozwiązań – związanych z zapewnieniem bezpieczeństwa ochrony danych osobowych – w tym wyznaczyć jednego inspektora ochrony danych (art. 37 ust. 2 RODO).
Zgodnie z definicją, za administratora danych osobowych uznaje się jednostkę, „która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”. Wydaje się zatem, że podmiot, który w rzeczywistości nie ma żadnego wpływu na to, jakie dane osobowe przetwarza i w jakim celu (gdyż to zostało już ustalone na szczeblu centralnym), nie do końca wpasowuje się w tę definicję. Bardziej uprawnione wydaje się przyznanie mu statusu przetwarzającego takie dane.
Problem ten nie jest wyłącznie teoretyczny. W praktyce bowiem, w przypadku transgranicznego przetwarzania danych między spółką córką a spółką matką – w okolicznościach opisanych powyżej – konieczne będzie zawarcie między nimi umowy powierzenia przetwarzania danych. W takiej sytuacji również zakres informacji udzielanych podmiotom, których dane osobowe są przetwarzane, ulegnie zmianie. Konieczne będzie poinformowanie ich, że tak naprawdę administratorem danych osobowych nie jest np. spółka z Polski, a jej centrala z innego kraju UE.
Ponadto, zgodnie z motywem 36 RODO, w przypadku gdy mamy do czynienia z naruszeniem, w którym udział miał zarówno administrator, jak i przetwarzający dane, a ustalenie wiodącego organu nadzorczego na podstawie zasad ogólnych doprowadziłoby do wskazania organów z dwóch różnych krajów, to na podstawie zawartej tu reguły kolizyjnej wiodący organ nadzorczy właściwy dla administratora powinien przejąć sprawę do dalszej koordynacji.
KONIEC Z HANDLEM RYZYKIEM...
Jak wskazano wcześniej, w obecnie obowiązującej dyrektywie 95/46/WE dla rozpatrywania ewentualnych naruszeń oraz prowadzenia związanych z nimi postępowań kontrolnych przyjęto podejście wybitnie lokalne. W przypadku stwierdzenia naruszenia przepisów prawa krajowego to właśnie organ krajowy będzie tym, który rozpatruje sprawę i ewentualnie stosuje odpowiednie środki (w tym i sankcje). Taki stan rzeczy spowodował, że wiele podmiotów międzynarodowych postanowiło po prostu „przekazać” operacje na danych osobowych niosących ze sobą zwiększone ryzyko naruszenia praw osób, których te dane dotyczą, do krajów, w których albo organy nadzorcze są mniej wydolne w przeprowadzaniu kontroli, albo też dotychczasowa praktyka wskazuje na mniejsze ryzyko wymierzenia dotkliwych kar finansowych.
RODO kładzie kres wszelkim takim procederom „handlu ryzykiem” związanym z przetwarzaniem danych osobowych. Wyeliminowanie nieprawidłowości ma nastąpić dzięki zaangażowaniu wszystkich organów nadzorczych – na terenie właściwości których mogły zostać wywołane skutki powiązane ze stwierdzonym naruszeniem – w proces analizy naruszenia i ostatecznie podjęcie przez nie decyzji o rodzaju i wysokości wymierzanych kar.
...I SPÓŁKAMI WIDMO
Warto też zauważyć, że obecnie jednym ze sposobów na zmniejszenie ryzyka związanego z ewentualną odpowiedzialnością finansową za naruszenie przepisów jest powierzanie przetwarzania danych specjalnie tworzonym do tego celu jednostkom – całkowicie odrębnym od faktycznego administratora lub przetwarzającego dane. W ten sposób ryzykuje się wyłącznie upadłością takiej spółki i utratą zainwestowanego w nią kapitału (w Polsce w przypadku spółki z ograniczoną odpowiedzialnością może to być nie mniej niż 5 tys. zł). Ustawodawca europejski w pełni świadom tego procederu wprowadził do RODO art. 83 ust. 4 i 5. Zgodnie z tym przepisem przedsiębiorstwo, które dopuści się naruszenia przepisów, musi się liczyć z karą finansową do 2 lub 4 proc. rocznego światowego obrotu z poprzedniego roku obrotowego (górny wymiar sankcji zależy od rodzaju naruszonych przepisów). Mowa tu o obrocie liczonym za cały rok i obejmującym światową działalność danego podmiotu. Należy tu zwrócić uwagę, że posłużenie się przez RODO pojęciem przedsiębiorstwa, a nie przedsiębiorcy, wydaje się przesądzać, że wymienione wcześniej spółki widmo faktycznie wchodzą w skład przedsiębiorstwa, które korzysta z ich usług.
W tym zakresie pomocna może być definicja „przedsiębiorstwa”, zawarta w najnowszych wytycznych Grupy Roboczej art. 29 z 3 października 2017 r. w sprawie zaleceń dotyczących stosowania sankcji administracyjnych za naruszenie przepisów RODO (WP 253). Zgodnie z nimi przez przedsiębiorstwo należy rozumieć jednostkę gospodarczą, która może być utworzona nie tylko przez spółkę matkę, ale także jej podmioty zależne. To, który podmiot będzie tworzył kolejne spółki, nie ma znaczenia dla możliwości uznania ich za wchodzące w skład przedsiębiorstwa jako całości. Podejście to wydaje się w ogromnym stopniu wyłączać możliwość obchodzenia przepisów RODO.
DODATKOWE WYMOGI
W tych samych wytycznych stwierdzono, że na przedsiębiorcach ciąży obowiązek zapewnienia odpowiedniej struktury organizacyjnej i zasobów adekwatnych do rodzaju podejmowanej działalności i zabezpieczenia przetwarzanych danych. Z uwagi na przyjęcie odpowiedzialności na zasadzie ryzyka – a nie winy – administratorzy i przetwarzający nie będą mogli uchylić się od zapewnienia bezpieczeństwa przetwarzanych danych, zasłaniając się przy tym chociażby wysoką ceną wprowadzenia takich rozwiązań.
W przypadku transgranicznego przetwarzania dokonywanego przez jednostki, które można objąć zbiorczym pojęciem przedsiębiorstwa, dużych problemów praktycznych może też przysporzyć wynikający z RODO nałożony na administratora lub przetwarzającego dane obowiązek notyfikacji stwierdzonego naruszenia. Warto przy tym zauważyć, że podmiot, który ostatecznie będzie ponosił odpowiedzialność finansową za naruszenie przepisów RODO, powinien mieć wiedzę na temat wszelkich naruszeń mających miejsce w całej strukturze organizacyjnej – co w znacznej mierze ograniczy jakąkolwiek samodzielność podmiotów zależnych.
Do obowiązku notyfikacji odnosi się jeszcze inny dokument Grupy Roboczej art. 29. Chodzi o wytyczne z 3 października 2017 r. w sprawie zaleceń dotyczących obowiązku zgłoszenia naruszenia bezpieczeństwa i ochrony danych osobowych (WP 250). Przesądzają one, że w przypadku stwierdzenia naruszenia bezpieczeństwa i ochrony danych osobowych przy transgranicznym przetwarzaniu danych na administratorze ciąży obowiązek zgłoszenia tego faktu wiodącemu organowi nadzorczemu. W przypadku jakichkolwiek wątpliwości co do tego, który krajowy organ nadzorczy będzie wiodący, minimalną formą wywiązania się z nałożonego obowiązku jest zgłoszenie faktu naruszenia organowi krajowemu. Z praktycznego punktu widzenia i z uwagi na krótki czas, jaki RODO przeznaczyło na notyfikację naruszenia (72 h), w praktyce do każdej czynności przetwarzania powinien zostać przypisany organ, któremu należy notyfikować ewentualne naruszenia.
!Posłużenie się przez RODO pojęciem przedsiębiorstwa, a nie przedsiębiorcy, wydaje się przesądzać, że „spółki widmo” – tworzone dotychczas specjalnie w celu przetwarzania danych w zastępstwie faktycznego administratora lub przetwarzającego dane, aby ograniczyć ryzyko odpowiedzialności finansowej – faktycznie wchodzą w skład przedsiębiorstwa, które korzysta z ich usług.