Czy wobec pracowników klientów/kontrahentów należy spełni obowiązek informacyjny oraz zawrzeć umowę powierzenia?

SZCZEGÓŁOWE PYTANIE

Jako firma współpracujemy z innymi firmami, np. z firmą informatyczną lub audytową, i przetwarzamy dane kontaktowe pracowników tych firm, aby się z nimi kontaktować służbowo, czyli przetwarzamy tzw. służbowe dane osobowe. Czy wobec pracowników kontrahentów powinniśmy spełnić obowiązek informacyjny i czy należy zawierać w tym zakresie umowę powierzenia?

ODPOWIEDŹ

Dane osobowe pracownika w postaci jego imienia i nazwiska, służbowego adresu e-mail oraz służbowego numeru telefonu są tzw. danymi służbowymi, związanymi ściśle z zawodowym charakterem. Podlegają one ograniczonej ochronie wynikającej z przepisów RODO. Ta ograniczona ochrona polega m.in. na tym, że administrator danych osobowych, czyli pracodawca, może np. bez zgody pracownika umieszczać te dane na stronie internetowej czy w umowach z klientami jako dane do kontaktu z firmą administratora. Nie są to prywatne dane osobowe osoby fizycznej, jak adres miejsca zamieszkania czy data urodzenia, lecz służbowe dane osobowe, związane ściśle z zawodowym charakterem. Zatem należy wskazać, że w kontaktach biznesowych pomiędzy dwoma administratorami danych, gdy dane pracowników są przekazywane drugiemu podmiotowi w związku z prowadzoną przez niego działalnością, nie dochodzi do powierzenia przetwarzania danych osobowych w rozumieniu art. 28 RODO, a do udostępnienia danych osobowych. Nie zawiera się więc w tym zakresie umowy powierzenia.

Niemniej jednak w przepisach RODO brak jest wyłączenia dającego możliwość odstąpienia od konieczności spełnienia obowiązku informacyjnego. W związku z tym uznaje się, że jeśli jeden z administratorów udostępnił dane osobowe swojego pracownika w celach kontaktowych, to obowiązkiem administratora danych, który otrzymał takie dane osobowe, jest spełnienie obowiązku informacyjnego z art. 14 RODO. W tej sytuacji administrator danych osobowych może w celu odstąpienia od spełnienia tego obowiązku powołać się na dyspozycję art. 14 ust. 5 lit. a RODO, tj. gdy osoba, której dane dotyczą, dysponuje już tymi informacjami, lub ewentualnie na dyspozycję art. 14 ust. 5 lit. b RODO, wskazując, że udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Realizacja obowiązku informacyjnego z art. 14 RODO w kontaktach biznesowych wydaje się bowiem sztuczna – utrudniałaby takie kontakty czy relacje. Przykładowo rozsyłanie wiadomości e-mailowych z treścią obowiązku informacyjnego w części głównej czy rozbudowanej stopce należy uznać za zbyt uciążliwe nie tylko dla ich nadawców, lecz także dla odbiorców.

-
4.49/5 (41) 1
-
Udostępnij na: -

Najnowsze

Najnowsze na blogu