Czy wobec pracowników klientów/kontrahentów należy spełni obowiązek informacyjny oraz zawrzeć umowę powierzenia?
ODPOWIEDŹ PRAKTYCZNA
Dane osobowe pracownika w postaci jego imienia i nazwiska, służbowego adresu e-mail oraz służbowego numeru telefonu są tzw. danymi służbowymi, związanymi ściśle z zawodowym charakterem. Podlegają one ograniczonej ochronie wynikającej z przepisów RODO. Ta ograniczona ochrona polega m.in. na tym, że administrator danych osobowych, czyli pracodawca, może np. bez zgody pracownika umieszczać te dane na stronie internetowej czy w umowach z klientami jako dane do kontaktu z firmą administratora. Nie są to prywatne dane osobowe osoby fizycznej, jak adres miejsca zamieszkania czy data urodzenia, lecz służbowe dane osobowe, związane ściśle z zawodowym charakterem. Zatem należy wskazać, że w kontaktach biznesowych pomiędzy dwoma administratorami danych, gdy dane pracowników są przekazywane drugiemu podmiotowi w związku z prowadzoną przez niego działalnością, nie dochodzi do powierzenia przetwarzania danych osobowych w rozumieniu art. 28 RODO, a do udostępnienia danych osobowych. Nie zawiera się więc w tym zakresie umowy powierzenia.
Niemniej jednak w przepisach RODO brak jest wyłączenia dającego możliwość odstąpienia od konieczności spełnienia obowiązku informacyjnego. W związku z tym uznaje się, że jeśli jeden z administratorów udostępnił dane osobowe swojego pracownika w celach kontaktowych, to obowiązkiem administratora danych, który otrzymał takie dane osobowe, jest spełnienie obowiązku informacyjnego z art. 14 RODO.
Art. 14 ust. 5 lit. a i b RODO wskazujące na sytuacje, w których administrator danych osobowych może odstąpić od przekazania treści obowiązku informacyjnego, nie dają w ocenie autora gwarancji, że nie zostaną one podważone przez UODO w przypadku ewentualnej kontroli.