Joachim Żurowski

Joachim Żurowski Starszy specjalista,
PKP

Temat: powierzenie danych

sytuacja - AD zawiera umowę z pewnym podmiotem na dokonanie audytu który ma na celu znalezienie konfliktu interesów i nieprawidłowości w procesie udzielania zamówień. Wykonawca aby wykonać umowę potrzebuje dane osobowe pracowników i kontrahentów AD aby skorelować okresy zatrudnienia określonych pracowników z zawartymi umowami ewentualne powiązania rodzinne.
pytanie - czy AD ma prawo powierzyć takie dane Wykonawcy, bez uprzedniej zgody pracownika, czy nie może nawet po uzyskaniu zgody.
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: powierzenie danych

A z jakiego przepisu miałaby wynikać konieczność pozyskania zgody osoby której dane dotyczą, na powierzenie danych przez ADO?
Joachim Żurowski

Joachim Żurowski Starszy specjalista,
PKP

Temat: powierzenie danych

Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
....
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

...nie mam pewności czy powierzanie danych pracownika innej firmie aby dokonała wspomnianego audytu nie narusza praw i wolności pracownika, a cel ich przetwarzania przez firmę podejmującą zlecenie jest "prawnie usprawiedliwiony".
Przy zawieraniu umowy o pracę pracownik jest informowany o zakresie danych jakie sa zbierane, celu ich przetwarzania i ewentualnych odbiorcach jego danych - wśród nich nie było podmiotu który ma dokonać audytu.
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: powierzenie danych

A audyt nie ma związku z działalnością firmy?

Dane pracownika przetwarzane są w związku z jego zatrudnieniem - administratorem tych danych jest pracodawca.
Podstawą przetwarzania danych osobowych pracownika nie jest art. 23 ust. 1 pkt 5 tylko pkt 2.
W mojej ocenie, powierzenie danych pracowników, firmie zewnętrznej w związku z wykonywaniem audytu odbywa się w związku z działalnością firmy i w związku z zatrudnieniem w niej pracownika - nie wykraczamy tu poza ustawowe przesłanki. Nie dochodzi tu do udostępnienia (na to musiałaby być zgoda pracownika), przez co informować pracowników o powierzeniu też nie mamy obowiązku, bo procesor nie jest odbiorcą danych.

Edyta: GIODO: http://www.giodo.gov.pl/327/id_art/980/j/pl/Ten post został edytowany przez Autora dnia 08.04.16 o godzinie 12:42
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: powierzenie danych

Zacznijmy od tego jakie dane chcesz powierzyć? Jeżeli potrzebne jest imię, nazwisko i stanowisko pracownika, który brał udział w zamówieniu to są to dane jawne w instytucji publicznej i tu nie ma problemu. Natomiast nie powierzaj więcej danych (adres, PESEL itp.) ze względu na to, że nie są potrzebne do realizacji umowy (a i tak nie mógłbyś ich udostępnić). Dane członków rodziny masz udostępnione przez pracowników do ubezpieczenia, powiadomienia w razie wypadku, funduszu itp. Do innych celów nie możesz ich wykorzystać.

Pracownik podejmując się zadań zdaje sobie sprawę, że działania te mogą być kontrolowane przez pracodawcę. Pamiętaj też o warunkach jakie musi spełniać podmiot, któremu powierzane są dane...

Inną kwestią jest, czy wykonania audytu nie zleciła wam jakaś instytucja kontrolna...

Warto zapytać o sposób działania firmy, żeby nie okazało się, że nie mając danych rodziny zacznie kombinować, żeby zdobyć je w inny, niezbyt legalny sposób...

Sprawa jest ciekawa i do dyskusji, chętnie posłucham, jeżeli ktoś ma odmienne zdanie na ten temat.
Joachim Żurowski

Joachim Żurowski Starszy specjalista,
PKP

Temat: powierzenie danych

Zakres przetwarzanych danych osobowych pracowników i dostawców ADO ma obejmować dane pracowników i dostawców:
imię i nazwisko, PESEL, telefon, email, inne identyfikatory, adresy zameldowania i korespondencyjny (kod pocztowy, miejscowość, pocztę, ulicę, nr domu, nr mieszkania), forma zatrudnienia (tj. umowa o pracę, umowa zlecenie, umowa o dzieło i inne), data rozpoczęcia i zakończenia (jeśli dotyczy) zatrudnienia, CV, przebieg dotychczasowej kariery zawodowej i edukacji, ew. postępowania dyscyplinarne

...czyli dość obszerny zakres danych, i to nie ja chcę powierzać ...pracodawca zamierza zatrudnić firmę zewnętrzną w celu przeanalizowania problemu, a ja do końca nie jestem przekonany że ma prawo w tej sytuacji w tym celu powierzyć przetwarzanie danych
Paweł G.

Paweł G. IOD, podmiot danych

Temat: powierzenie danych

Joachim Ż.:
CV
Jakie dane są w CV, w jakim celu i na jakiej podstawie prawnej są przetwarzane?
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: powierzenie danych

Ho ho.. audycik śledczy ;-)

Szczerze - to z całym szacunkiem Panie Joachimie, ale audytorzy powinni przyjść już z pełnym zestawem zakresu, podstaw prawnych i różnorakich uzasadnień. Sorry, ale tego się wymaga od profesjonalistów. Tak, aby Pan, jako odpowiedzialny za bezpieczeństwo danych osobowych nie miał żadnych wątpliwości.

A z drugiej strony - to też jest już nieco.. wiedza tajemna. W sensie wkracza się na poziom takiego "żonglowania" przepisami, że można spokojnie dane przetwarzać. Ale jak - to raczej się nie dzieli taką wiedzą, to wypracowana przewaga konkurencyjna.

Powiem tylko tak - słusznie przesłanka została wskazania. Uzasadniony interes ADO, to główna przesłanka. Poza tym - czy powierzenie, czy upoważnienia - to wynika z umowy o audyt. Zakres przetwarzania danych osobowych wynika z identyfikatorów używanych w umowach.

W skrócie - jeśli badane mają być umowy, to upoważnienia/umowa powierzenia obejmuje wszystkie używane identyfikatory do zawierania umów i wszystkie używane identyfikatory korzystających z umów.
Natomiast pozostałe (np te związane z dotychczasowym zatrudnieniem) tylko do badania tych wątków, które dotyczą podejrzeń fraudów (nadużyć).

Próbując nieco wyjaśnić. Zespół audytorów śledczych może przetwarzać wszystkie dane osobowe, niemniej dla każdego katalogu musi mieć uzasadnienie. Czyli ogólne - identyfikacyjne przetwarza się przy I fazie sprawdzeń (najczęściej przez aplikacje), a dla drugiego i trzeciego etapu - już przesłanką jest konkretny interes pracodawcy - czyli wchodzi to z postępowanie w konkretnej sprawie.

Myślę, że na tyle na ile mogę, na tyle wyjaśniłem.

Następna dyskusja:

Poczta Polska - powierzenie...




Wyślij zaproszenie do