Transfer danych pracowniczych w ramach grupy kapitałowej

Spółki należące do jednej grupy kapitałowej, mające siedziby w różnych krajach, przesyłają pomiędzy sobą dane osobowe swoich pracowników. Dane mogą być transferowane za granicę w celu podejmowania przez spółkę matkę działań dotyczących ewaluacji i rozwoju pracowników, zatwierdzania wysokości ich wynagrodzenia, czy też prowadzenia statystyk dotyczących zatrudnienia w grupie.  Ustawa o ochronie danych osobowych  nakazuje każdorazowo zweryfikować następujące kwestie: w jakim celu dane są udostępniane, jaka jest podstawa ich udostępnienia oraz w jakim kraju ma siedzibę podmiot, do którego je wysyłamy.

Cel i podstawa udostępnienia danych

Należy pamiętać, że pracodawca nie jest uprawniony do przetwarzania wszystkich danych dotyczących swoich pracowników. Mogą to być bowiem wyłącznie takie dane, które pracownik jest zobowiązany przekazać mu na podstawie obowiązujących przepisów prawa. Ich zakres  wynika przede wszystkim z art. 22¹ Kodeksu pracy (dalej: KP) oraz z Rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (dalej: Rozporządzenie). Wśród nich należy wymienić: imię (imiona) i nazwisko pracownika, imiona jego rodziców, datę urodzenia, obywatelstwo, miejsce zamieszkania, wykształcenie, PESEL, imiona i nazwiska oraz daty urodzenia jego dzieci, numer i serię dowodu osobistego, informację o stosunku do powszechnego obowiązku obrony.

Wskazane powyżej dane co do zasady mogą być przetwarzane przez pracodawcę (w tym udostępniane innym podmiotom) wyłącznie w celu bezpośrednio związanym z realizacją praw i obowiązków wynikających z umowy o pracę (a więc związanym z zatrudnieniem). Ich wykorzystanie w inny sposób każdorazowo będzie wymagało uzyskania zgody pracownika. Przykładowo, pracodawca może udostępnić podmiotowi trzeciemu dane pracownika bez konieczności uzyskiwania jego zgody, gdy podmiot ten świadczy na jego rzecz usługi księgowe. Jest to bowiem konieczne dla realizacji obowiązków pracodawcy względem pracownika związanych z wyliczaniem jego wynagrodzenia, czy oprowadzaniem za niego składek na ubezpieczenie społeczne. Zgoda pracownika będzie natomiast wymagana w przypadku transferu jego danych do innego podmiotu, gdy nie będzie on świadczył na rzecz pracodawcy usług bezpośrednio związanych z zatrudnieniem pracowników – nawet, jeżeli będzie to spółka należąca do tej samej grupy kapitałowej co pracodawca. Przykładowo, w moim przekonaniu, nie będzie pozostawać w bezpośrednim związku z realizacją obowiązków pracodawcy wynikających z umowy o pracę, transfer danych w celu zatwierdzenia przez spółkę matkę podwyżek wynagrodzeń, czy premii pracowniczych. Takie i podobne działania należy traktować jako realizację założeń polityki korporacyjnej. Dlatego chcąc wysłać dane w powyższym lub innym celu niezwiązanym bezpośrednio z zatrudnieniem, pracodawca każdorazowo powinien dysponować umocowaniem w tym zakresie. Jeżeli nie wynika ono wprost z przepisów prawa, musi uzyskać zgodę pracownika.

Kraj siedziby odbiorcy danych

Przekazywanie danych osobowych do krajów leżących na terytorium Europejskiego Obszaru Gospodarczego (dalej: EOG)  następuje na takich samych warunkach jak na terytorium Polski. Jeżeli zatem pracodawca planuje wysłać dane swojego pracownika do spółki matki z siedzibą w Niemczech, powinien uzyskać zgodę pracownika, jeżeli jego dane są udostępniane w celu niezwiązanym bezpośrednio z zatrudnieniem, wskazać odbiorcę danych, a także podjąć środki, które  pozwolą zabezpieczyć udostępniane dane, np. przed ich wykorzystaniem przez odbiorcę w sposób niezgodny z przeznaczeniem lub dalszym udostępnieniem. Należy pamiętać, że wskutek udostępnienia danych pracowniczych innemu podmiotowi, pracodawca wciąż pozostaje ich administratorem. W konwekcji zobowiązany jest dbać o ich bezpieczeństwo.

Tożsame działania będą musiały zostać podjęte przez pracodawcę w przypadku transferu danych pracowniczych poza terytorium EOG. Jednakże wcześniej pracodawca zobowiązany jest zweryfikować, czy państwo, do którego zamierza wysłać dane  zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.  Poziom ten oceniany jest z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, a także stosowanych w tym państwie środków bezpieczeństwa. Co istotne, ocena tych kwestii nie została pozostawiona decyzji pracodawcy. O tym, czy dane państwo zapewnia odpowiedni poziom bezpieczeństwa danych obywateli UE decyduje bowiem Komisja Europejska wydając stosowne decyzje w tym przedmiocie. Co jednak w sytuacji, gdy w odniesieniu do kraju, w którym siedzibę ma spółka matka, a której polski pracodawca chce udostępnić dane, nie została wydana taka decyzja? Wówczas pracodawcy przysługuje kilka alternatywnych rozwiązań, wśród których przede wszystkim należy wymienić uzyskanie pisemnej zgody pracownika, względnie uzyskanie zgody GIODO. Zamiast tego, możliwe jest również podjęcie przez pracodawcę działań zapewniających odpowiednie zabezpieczenie w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, poprzez:

• wprowadzenie do umowy, na podstawie której następuje przekazanie danych, standardowych klauzul umownych zatwierdzonych przez Komisję Europejską zgodnie z art. 26 ust. 4 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, lub
• opracowanie prawnie wiążących reguł lub polityki ochrony danych osobowych, które jednak muszą zostać zatwierdzone przez GIODO.

Podsumowanie

Udostępnianie pracowniczych danych osobowych podmiotom trzecim nie może następować automatycznie. Każdorazowo powinno zostać poprzedzone wnikliwą analizą celów, w jakim dane mają zostać przekazane, a także oceną, czy docelowy odbiorca danych będzie w stanie zapewnić ich należyte bezpieczeństwo. Należy również pamiętać, że każda forma przetwarzania danych, w tym ich udostępnienie innym podmiotom, musi mieć umocowanie. Jeżeli nie wynika ono wprost z przepisów prawa, zawsze trzeba uzyskać zgodę podmiotu, którego dane dotyczą.

Być może transfer danych pomiędzy podmiotami należącymi do jednej grupy kapitałowej ułatwi nowe Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. Ogólne rozporządzenie o ochronie danych). Wprowadza ono bowiem pojęcie współadmistratora danych. Jak w praktyce będzie funkcjonowało to rozwiązanie trzeba będzie jeszcze trochę poczekać - rozporządzenie będzie bowiem stosowane dopiero od 25 maja 2018 r.

Photo by Ann Petersen