g Krajowa Konferencja Ochrony Danych Osobowych II. Human Resources 6. Wykorzystywanie technologii informatycznych w aspekcie globalizacji procesów zatrudniania prelegent Konrad Czaplicki 1
Globalne systemy informatyczne wykorzystywane w celach przetwarzania danych pracowników w ramach międzynarodowych grup kapitałowych Transfer danych pracowników do tzw. państw trzecich- aktualne wymagania na gruncie polskiej ustawy o ochronie danych osobowych Zasady stosowania ustawodawstwa polskiego z zakresu ochrony danych osobowych przy międzynarodowym obrocie danymi osobowymi pracowników 2
W ramach wymiany danych osobowych pracowniczych (tj. dot. pracowników) w międzynarodowych grupach kapitałowych najczęściej mamy do czynienia z wymianą danych: 1. poprzez wspólne (tożsame) dla całej grupy systemy informatyczne, służące np.: a) do rozliczeń stosunku pracy b) raportowania do organów państwowych (w Polsce np. ZUS, US) c) prowadzenia elektronicznej dokumentacji pracowniczej (która w polskim porządku prawnym jest póki co nieuregulowana), albowiem Rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika, póki co, reguluje jedynie formę papierową (tradycyjną) prowadzenia teczek akt osobowych pracownika., www.facebook.com/jds.consulting.2003 3
W ramach wymiany danych osobowych pracowniczych (tj. dot. pracowników) w międzynarodowych grupach kapitałowych najczęściej mamy do czynienia z wymianą danych: 1. poprzez wspólne (tożsame) dla całej grupy systemy informatyczne, służące np. do : d) dokonywania ocen rocznych, kwartalnych, bądź miesięcznych pracowników tym ich predyspozycji do awansu e) obsługi procesów relokacyjnych pracowników i ich rodzin w obrębie grupy kapitałowej f) obsługi procesów zarządzania personelem przez przełożonych z centrali, nierzadko ulokowanej poza Polską. g) obsługi szkoleń (tzw. e-learning) h) obsługi delegacji pracowników, www.facebook.com/jds.consulting.2003 4
W ramach wymiany danych osobowych pracowniczych (tj. dot. pracowników) w międzynarodowych grupach kapitałowych najczęściej mamy do czynienia z wymianą danych: 2. hostingiem bądź kolokacją powierzchni serwerowych lub dedykowanych serwerów od innego podmiotu z grupy (będącego swoistym Data Center) dla wszystkich bądź wybranych spółek z grupy kapitałowej a) hosting ten może sprowadzać się do wykorzystywania dedykowanej powierzchni serwerowej na której posadowione są dane osobowe pracowników oraz własne systemy informatyczne służące do ich przetwarzania, bądź b) wykorzystywania wspólnych globalnych systemów informatycznych dla grupy służących do przetwarzania danych pracowniczych, który to system posadowiony jest na serwerach jakiejś konkretnej spółki z grupy bądź najmowanych od innych podmiotów spoza grupy., www.facebook.com/jds.consulting.2003 5
Treść art. 36 ust. 1 ustawy o ochronie danych osobowych: Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 6
Treść art. 38 ustawy o ochronie danych osobowych: Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. 7
Kiedy transfer do państwa trzeciego jest legalny? (Art. 47 ust. 2 i 3 UODO): gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni poziom ochrony tych danych. osoba, której dane dotyczą, udzieliła na to zgody na piśmie; przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie; przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem; 8
Kiedy transfer do państwa trzeciego jest legalny? (Art. 47 ust. 3 i art. 48 ust. 1 UODO): przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych; przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą; dane są ogólnie dostępne; Administrator danych uzyska zgodę Generalnego Inspektora, wydaną w drodze decyzji administracyjnej, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą 9
Art. 48 ust. 2 ustawy o ochronie danych osobowych po nowelizacji: Zgoda Generalnego Inspektora nie jest wymagana, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez: standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. WE L 281 z 23.11.1995, str. 31, z późn. zm.; Dz.Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, str. 355, z późn. zm.) lub prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane dalej wiążącymi regułami korporacyjnymi, które zostały zatwierdzone przez Generalnego Inspektora 10
Art. 48 ust. 2 ustawy o ochronie danych osobowych po nowelizacji: Standardowe klauzule umowne Transfer Wiążące reguły korporacyjne Transfer po zatwierdzeniu przez GIODO 11
Prawo właściwe przy globalnych procesach wymiany danych: Zasada terytorialności (podstawowa zasada porządku prawnego polskiego) Inne (pomocnicze) kryteria wynikające z Opinii 8/2010 w sprawie prawa właściwego wydanej przez Grupę roboczą ds. ochrony danych powołaną na mocy art. 29: efektywne i rzeczywiste prowadzenie działań w kontekście, w którym przetwarzane są dane osobowe rzeczywista rola poszczególnych przedsiębiorstw w procesach wymiany danych, rodzaj działań które mają miejsce w kontekście danej działalności gospodarczej prawo bardziej restrykcyjne wobec bezpieczeństwa danych osobowych przy modelu powierzania danych osobowych 12
Opinia 8/2010 w sprawie prawa właściwego przyjęta w dniu 16 grudnia 2010 r. najważniejsze regulacje: Problem jaki porusza: czy w odniesieniu do konkretnej działalności związanej z przetwarzaniem danych osobowych zastosowanie ma prawo europejskie czy to łącznie z prawem państwa trzeciego czy też nie; oraz prawo krajowe którego państwa członkowskiego UE ma zastosowanie do przetwarzania w przypadku, gdy do przetwarzania stosuje się prawo europejskie. 13
Prawo właściwe w obszarze UE/EOG: Jeżeli administrator danych prowadzi jedną działalność gospodarczą, obowiązywać będzie jedno prawo na całym terytorium UE/EOG, w zależności od miejsca, w którym znajduje się ta działalność. Jeżeli działalność gospodarcza prowadzona jest w kilku państwach: stosowanie przepisów prawa krajowego będzie uzależnione od działań realizowanych przez daną działalność gospodarczą. 14
Dziękuję za uwagę KONRAD CZAPLICKI starszy prawnik Kierownik Zespołu w Dziale Outsourcingu JDS Consulting sp. z o.o. k.czaplicki@jds.com.pl, www.facebook.com/jds.consulting.2003 15