Outsourcing przetwarzania danych tylko na zlecenie

09-08-2017, 22:00

Bazy z informacjami o pracownikach tymczasowych mogą naruszać prawo. Sprawą zajmie się generalny inspektor.

W reakcji na zmiany w zasadach zatrudniania pracowników tymczasowych pojawiły się na rynku usługi, które mogą ułatwić przedsiębiorcom wywiązywanie się z nowych obowiązków. To bazy danych z informacjami o takich pracownikach i pracodawcach, u których pracowali. Jak długo będą one działać, nie wiadomo, bo budzą wątpliwości co do ich zgodności z prawem.

— Popularna tego typu usługa jest prowadzona w formie portalu internetowego z bazą danych. Powstaje jednak pytanie o dopuszczalność jej funkcjonowania, w kontekście ochrony danych. Zgodnie z zapowiedziami, sprawą planuje zająć się generalny inspektor ochrony danych osobowych — wyjaśnia adwokat Piotr Biernatowski z kancelarii Largo Law. Takie oferty powstały w związku z wymogiem

ewidencjonowania osób wykonujących pracę tymczasową i limitowaniem okresu zatrudnienia u tego samego pracodawcy. Agencja może skierować pracownika tymczasowego maksymalniena 18 miesięcy w ciągu 36 kolejnych miesięcy. Zainteresowane podmioty muszą więc stale sprawdzać, czy terminy nie są przekraczane. Niezastosowanie się do nowych regulacji grozi grzywną do 30 tys. zł. — Trzeba jednak pamiętać, że podstawą przetwarzania danych osobowych powinna być zgoda osoby, której dane dotyczą, przy czym w tym przypadku oddzielna od wyrażonej w CV na ich wykorzystanie w celach rekrutacyjnych. Ale może być też stwierdzenie, że ich przetwarzanie jest niezbędne dla zrealizowania obowiązków nałożonych ustawą o zatrudnianiu pracowników tymczasowych. Podmiot

gromadzący takie informacje musi powiadomić pracownika, najpóźniej w chwili utrwalenia ich w bazie, o adresie jego siedziby i pełnej nazwie, celu i zakresie zbierania danych, ich odbiorcach, prawie dostępu do swoich danych oraz żądania ich zmiany lub usunięcia — przypomina adwokat. Piotr Biernatowski ma jednak wątpliwości, czy bez zgody pracowników tymczasowych portal ma prawo gromadzić ich dane. Prowadzący go podmiot jest usługodawcą zewnętrznym, którego nie dotyczą obowiązki wynikające ze wspomnianej ustawy. Outsourcing przetwarzania danych nie jest zabroniony.

Administrator określonego zbioru może powierzyć takie zadanie innemu podmiotowi (tzw. procesorowi), zawierając z nim odpowiednią umowę. Jednak musi się to wiązać z celem, dla którego przedsiębiorca je chce znać. Poza tym procesor sam nie staje się ich nowym administratorem. Za rok, kiedy polskie firmy będą musiały stosować regulacje unijnego rozporządzenia, procesor będzie mógł działać wyłącznie na udokumentowane polecenie administratora. Jeżeli procesor zmieni np. cel przetwarzania, automatycznie stanie się ich administratorem, ponosząc za to pełną odpowiedzialność.

Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych w ODO 24, zwraca uwagę, że procesorzy będą musieli pomagać administratorom wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą, a po zakończeniu ich przetwarzania usunąć je lub zwrócić administratorowi. — Procesorzy będą zobowiązani do udostępniania administratorom informacji niezbędnych do wykazania, że spełniają obowiązki wynikające z przepisów, oraz umożliwienia im lub wskazanym podmiotom przeprowadzania audytów, w tym inspekcji — wyjaśnia ekspert ODO 24.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Najważniejsze dzisiaj

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Firmy / Outsourcing przetwarzania danych tylko na zlecenie