Praktycznie każdy dostawca usług związanych z prywatną opieką medyczną pracowników czy pakietami sportowymi będzie administratorem danych osobowych pracowników, zaś pracodawca (pomimo że jest również administratorem tych danych, ale w innym celu – zatrudnienia, itp.) pełnić będzie drugą funkcję, czyli podmiotu przetwarzającego.
Analogiczny model współpracy jest praktykowany w przypadku korzystania z usług agencji pracy tymczasowej. W relacji tej agencja będzie administratorem, zaś firma składająca zapotrzebowanie na personel tymczasowy podmiotem przetwarzającym. Takie stanowisko przyjął były Organ – GIODO i niewiele wskazuje, by model ten miałby się zmienić, pomimo trwających prac nad kodeksem dotyczącym RODO w rekrutacji.
Umowa powierzania przetwarzania danych
Pracodawca, który pełni funkcję procesora, musi zawrzeć umowę powierzenia przetwarzania danych osobowych zgodnie z art. 28 RODO. Artykuł ten wskazuje pewne minimum, które musi znaleźć się w takiej umowie. Będą to, m.in.:
- zobowiązanie podmiotu przetwarzającego do upoważnienia jego pracowników do przetwarzania powierzonych danych,
- zapewnienie o stosowaniu środków techniczno-organizacyjnych odpowiadających oszacowanemu ryzyku danych osobowych,
- uregulowanie kwestii dalszych podpowierzeń (np. w sytuacji, gdy pracodawca chciałby zlecić dalsze czynności na danych kolejnemu podmiotowi),
- zapisy dotyczące wzajemnej pomocy w kwestii realizacji praw osób fizycznych,
- informacje, na jakich zasadach strony będą realizowały obowiązki, np. zgłoszenia naruszenia bezpieczeństwa danych do Prezesa Urzędu Ochrony Danych Osobowych, zawiadomienia osób o zaistniałym incydencie czy oceny skutków dla przetwarzania danych osobowych itp.
Oczywiście w umowie powinny znaleźć się jeszcze informacje na temat usunięcia lub zwrócenia danych po zakończeniu trwania takiej umowy. Podmiot przetwarzający, czyli np. pracodawca, który korzysta z usług agencji pracy, musi prowadzić rejestr kategorii czynności przetwarzania danych osobowych.
Administrator danych (czyli, np. agencja pracy) ma prawo przeprowadzenia audytu u takiego procesora, czy wywiązuje się on z warunków umowy. To szczególnie ważne, ponieważ należy mieć na uwadze, że w przypadku incydentu bezpieczeństwa to w pierwszej kolejności administrator ponosić będzie konsekwencje nieprawidłowego przetwarzania danych osobowych (nawet tych powierzonych).
Administratorzy często w umowach odwołują się do zapisów traktujących o wysokości kar za niewłaściwe przetwarzanie danych osobowych przez procesora. Nadal spory odsetek firm nie wywiązał się z obowiązków prowadzenia rejestrów czy nadania stosownych upoważnień dla pracowników, którzy przetwarzają powierzone dane osobowe, o szkoleniach specjalistycznych nie wspominając.
Weryfikacja podpisanych wcześniej umów
Biorąc pod uwagę, że zdecydowana większość umów była zawierana ok. 20 maja 2018 r., część z nich w ogóle nie powinna być podpisana, gdyż nie zawsze dochodziło do powierzenia, np. z medycyną pracy, gdzie relacja ta jest relacją administrator danych – administrator danych. Takie umowy należy rozwiązać. Dodatkowo należy zebrać wszystkie umowy powierzenia, by przygotować rejestr, o którym mowa w art. 30 ust. 2 RODO oraz nadać stosowne upoważnienia pracownikom, których należy szkolić.
Warto również dopasować w firmie system IT do wymagań RODO w taki sposób, by móc rzeczywiście usunąć powierzone dane osobowe po zakończeniu umowy. Pracodawca, który będzie podmiotem przetwarzającym w związku ze współpracą z agencją pracy, ma obowiązek przetwarzania danych osobowych pracowników tymczasowych przez 36 miesięcy i danych tych usunąć nie może ze względu na przepisy dotyczące obowiązków pracodawcy użytkownika.
Nadchodzące zmiany
Coraz więcej podmiotów gospodarczych decyduje się na ponowny audyt RODO. Dodatkowo w najbliższych latach spółki zaczną wdrażać zatwierdzone kodeksy branżowe RODO czy przystępować do certyfikacji, zaś najwięksi gracze na rynku będą decydować się na współpracę z podmiotami zapewniającymi pełną rozliczalność z unijnym rozporządzeniem.
