Pracodawca nie może – w sposób dowolny – udostępniać informacji o swoich podwładnych. Jeśli chce je przekazywać podmiotom zewnętrznym, z którymi współpracuje, powinien wskazać podstawę prawną takiego działania. Może być nią umowa zawierana z takimi firmami (np. świadczącymi usługi z zakresu rachunkowości lub bezpieczeństwa i higieny pracy).
Tak wynika z wystąpienia generalnego inspektora ochrony danych osobowych (DOLiS-035-2098/14) do pracodawcy prowadzącego restaurację. Ten ostatni przekazywał dane osobowe pracowników dwóm zewnętrznym podmiotom: osobie świadczącej usługi z zakresu szkoleń bhp oraz prowadzącej biuro rachunkowe (w tym drugim przypadku chodziło m.in. o przekazywanie dokumentów dotyczących wynagradzania i ewidencję czasu pracy). Dostarczanie informacji następowało bez podstawy prawnej.
GIODO przypomniał, że udostępnianie danych osobowych (jako jeden z elementów ich przetwarzania) może nastąpić tylko na zasadach wskazanych w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.). I przy uwzględnieniu ograniczeń zawartych w tych przepisach. Aby przekazywanie informacji było zgodne z prawem, należy spełnić jedną z przesłanek wskazanych w art. 23 ust. 1 ustawy (np. gdy jest to niezbędne dla spełnienia obowiązku wynikającego z prawa) lub art. 27 ust. 2 (np. gdy dane szczególnie chronione są niezbędne do dochodzenia swoich praw przed sądem).
W uzasadnionych przypadkach podstawą przekazania informacji innemu podmiotowi może być pisemna umowa powierzenia przetwarzania danych, zawarta pomiędzy tym podmiotem a administratorem danych (art. 31 ustawy). W praktyce właśnie z tego rozwiązania najczęściej korzystają firmy, które chcą przekazać informacje księgowej lub specjaliście bhp.
GIODO wskazuje, że tego typu podmiot zewnętrzny może przetwarzać informacje wyłącznie w celu i zakresie przewidzianym w takim kontrakcie (jego postanowienia muszą precyzować zakres i cel przekazywania danych). Zewnętrzna firma jest zobowiązana podjąć środki zabezpieczające udostępniony zbiór informacji.
Co istotne, powierzenie przetwarzania danych osobowych na podstawie umowy nie oznacza zmiany statusu ich administratora (w tym przypadku pracodawcy). Pozostaje on podmiotem decydującym o celach i środkach przetwarzania. Podmiot zewnętrzny prowadzący działalność w imieniu i na jego rzecz nie ma możliwości jakiegokolwiek wykorzystania tych danych do własnych celów czy potrzeb.
GIODO przypomina także, że niewywiązanie się z obowiązku właściwego zabezpieczenia danych może prowadzić do powstania odpowiedzialności karnej. Przepisy karne ustawy o ochronie danych osobowych wskazują, że za zaniedbania w tym zakresie może odpowiadać administrujący zbiorem, administrujący danymi osobowymi oraz obowiązany do ochrony danych osobowych.
Konsument może zażądać informacji, kto ma jego dane osobowe GazetaPrawna.pl