PYTANIE

Firma zewnętrzna ma przeprowadzić szkolenie z pracownikami/doktorantami/studentami Uczelni (dla osób chętnych).

• Czy w związku z powyższym pracownicy powinni wyrazić zgodę na przetwarzanie danych w określonym celu oraz mieć możliwość zapoznania się z klauzulą informacyjną czy może powinna zostać zawarta umowa powierzenia danych osobowych pomiędzy administratorem (Uczelnią) a firmą przeprowadzającą szkolenie?
• Jeżeli należy zawrzeć umowę, to na jaki okres czasu?

ODPOWIEDŹ

W przypadku prowadzenia szkoleń przez podmiot zewnętrzny jest on, zależnie od sposobu organizacji procesu szkoleniowego (w tym sposobu zapisu na szkolenie), administratorem danych osobowych lub podmiotem przetwarzającym. O tym, czy konieczne jest zawarcie umowy powierzenia, decydują konkretne okoliczności przetwarzania.

Uzasadnienie

Ustalenie właściwego statusu pracodawcy i podmiotu przeprowadzającego szkolenie sprowadza się do określenia, czy między tymi podmiotami wystąpi relacja powierzenia, czy też oba podmioty będą odrębnymi administratorami danych osobowych. Podmiot przetwarzający przetwarza dane osobowe w imieniu administratora, co wynika wprost z art. 4 pkt 8 RODO. Trzeba zatem ocenić, czy podmiot szkoleniowy będzie przetwarzał dane osobowe wyłącznie we własnych celach i w swoim imieniu, czy też w imieniu Uczelni; inaczej mówiąc, konieczne jest ustalenie kto decyduje o celach i sposobach przetwarzania – kto podejmuje decyzje w ramach procesu szkoleniowego (np. co do sposobu zapisu na szkolenie i jego dalszego przebiegu i organizacji). Na konieczność takiej analizy zwracał także uwagę Urząd Ochrony Danych Osobowych (UODO. Czy z firmą szkoleniową trzeba zawrzeć umowę powierzenia? https://uodo.gov.pl/pl/225/1736, dostęp z 27.12.2021 r.).

W przypadku organizacji szkolenia rozważyć należy zatem dwa warianty:

1)   Wariant 1: Wszystkie decyzje co do procesu szkoleniowego podejmuje firma szkoleniowa, a rola Uczelni sprowadza się np. wyłącznie do przekazania pracownikom formularzy zgłoszeniowych – w tym przypadku pracodawca i firma szkoleniowa są odrębnymi administratorami danych osobowych i nie zachodzi tu relacja powierzenia przetwarzania danych osobowych;

2)    Wariant 2: Wszystkie decyzje co do procesu szkoleniowego podejmuje Uczelnia, która np. przekazuje pracownikom formularze zgłoszeniowe, następnie je odbiera od pracowników i przekazuje firmie szkoleniowej, decyduje o przebiegu szkolenia, jego programie, sposobie utrwalania i przechowywania danych osobowych – w tym przypadku podmiot szkoleniowy występuje w roli podmiotu przetwarzającego, ponieważ przetwarza dane pracowników nie w swoim imieniu tylko w imieniu (i dla) pracodawcy; w tym przypadku konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych, gdyż w myśl art. 28 ust. 3 RODO, w przypadku zaistnienia relacji powierzenia, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy (ewentualnie innego instrumentu prawnego).

Przy ocenie statusu obu podmiotów powinno się brać pod uwagę różne okoliczności przetwarzania. Zgodnie z wytycznymi Europejskiej Rady Ochrony Danych (Wytyczne 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO. 07.2021, https://uodo.gov.pl/pl/414/1714, s. 46-47, dostęp z 27.12.2021 r.), należy poddać ocenie m.in. kto decyduje o:

-      celach przetwarzania danych osobowych,

-      zakresie danych (np. kto decyduje o zakresie danych osobowych zbieranych w ramach formularzy zgłoszeniowych – we wskazanym wariancie nr 1 podmiot szkoleniowy, w wariancie nr 2 – pracodawca),

-      kategoriach osób, których dotyczą zbierane dane osobowe,

-      czy i komu będą ujawniane przetwarzane dane osobowe.

O wystąpieniu podmiotu szkoleniowego w roli podmiotu przetwarzającego świadczy, zgodnie z przywołanymi wskazówkami EROD, m.in. przetwarzanie danych osobowych na rzecz innego podmiotu (np. pracodawcy), czyli brak własnego celu przetwarzania danych osobowych, a także monitorowanie działań przez inny podmiot (administratora). Taki model występuje w wariancie nr 2. Jeżeli zatem to Uczelnia zaangażuje podmiot szkoleniowy do organizacji szkolenia, decydując o wskazanych wyżej aspektach jego przebiegu, od zapisów do wydania zaświadczeń/certyfikatów, konieczne będzie zawarcie umowy powierzenia przetwarzania danych osobowych (i wcześniejsza weryfikacja podmiotu przetwarzającego). Czas trwania umowy powinien umożliwić pełną organizację szkolenia. W tym przypadku nie jest konieczne zbieranie od pracowników zgód na przetwarzanie ich danych osobowych, ponieważ to pracodawca powierzy firmie szkoleniowej przetwarzanie danych osobowych, których jest administratorem, realizując swoje ustawowe obowiązki podnoszenia kwalifikacji pracowników.

Jeżeli natomiast relacji między pracodawcą a podmiotem szkoleniowym odpowiada wariant nr 1, nie jest konieczne zawieranie umowy powierzenia przetwarzania danych osobowych, natomiast firma szkoleniowa – jako odrębny administrator danych – jest zobowiązany do realizacji obowiązku informacyjnego wobec pracowników-uczestników szkolenia.

Opracowano na podstawie: https://sip.lex.pl/#/question-and-answer/622610680?pit=2022-01-05 z dnia 05.01.2022.