Dane osobowe pracowników nie mogą być przekazane za granicę na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Nie trzeba informować pracowników o przekazaniu ich danych osobowych do innego administratora danych (za granicę). Należy każdorazowo podpisywać umowę powierzenia przetwarzania danych osobowych z każdym podmiotem, z którym firma współpracuje. W przypadku przekazania danych do państwa trzeciego (poza EOG), zasadniczo konieczne jest uzyskanie zgody Generalnego Inspektora Ochrony Danych Osobowych.
Zgodnie z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Przepis ten nie pozwala na przekazanie danych osobowych pracowników za granicę. Czym innym jest podstawa prawna pracodawcy do przetwarzania danych pracowników, a czym innym to, w jakim trybie pracodawca może przekazywać dane osobowe pracowników za granicę.
Daną osobową w rozumieniu przepisów o ochronie danych osobowych może być każda informacja, która jednoznacznie pozwala zidentyfikować konkretnego człowieka. Pracodawca nie może pobierać od pracownika dowolnych danych, lecz tylko te, które zostały wyszczególnione w art. 221 Kodeksu pracy. Są to:
Gromadzenie innych danych jest dopuszczalne, tylko gdy pozwalają na to szczególne przepisy. Nie ma potrzeby informowania pracowników o przekazaniu ich danych osobowych do innego administratora danych (za granicę).
Powierzenie przetwarzania danych osobowych to jeden z dwóch, obok udostępnienia, sposobów uprawnienia innego podmiotu do przetwarzania danych osobowych znajdujących się w posiadaniu danego administratora danych. Czyli firma, której dane osobowe pracowników zostały jej powierzone przez tych pracowników, może przekazać ich dane osobowe innemu podmiotowi. Powierzenie przetwarzania danych osobowych pozwoli w łatwy i szybki sposób uprawnić do przetwarzania danych osobowych podmioty, które normalnie nie mogłyby tego robić (zagranicznego generalnego wykonawcę lub administratora obiektu), któremu pracownicy nie wyrazili przecież zgody na przetwarzanie ich danych osobowych. Taki podmiot, któremu dane zostały powierzone do przetwarzania (z którym pracodawca zawarł umowę o powierzenie przetwarzania danych osobowych), jest nazywany procesorem.
Umowa powierzenia przetwarzania danych osobowych powinna być zawarta w formie pisemnej. W treści umowy zawsze trzeba wskazać zakres oraz cel powierzenia przetwarzania.
Pracodawca, decydując się powierzyć posiadane dane osobowe innej firmie, musi być świadomy, że powierzenie przetwarzania danych osobowych w żaden sposób nie zwalnia go z jego własnej odpowiedzialności jako administratora danych osobowych. Za błędy procesora może także odpowiedzieć administrator danych.
Należy każdorazowo podpisywać umowę powierzenia przetwarzania danych osobowych z każdym podmiotem, z którym firma współpracuje. Chodzi tu o podmioty, które mają siedzibę w Polsce i na terytorium Europejskiego Obszaru Gospodarczego.
Państwem trzecim, zgodnie z art. 7 pkt 7 ustawy o ochronie danych osobowych, jest państwo nienależące do Europejskiego Obszaru Gospodarczego (państwa Unii Europejskiej oraz Norwegia, Islandia i Lichtenstein). Przekazywanie danych w obrębie Europejskiego Obszaru Gospodarczego jest traktowane dokładnie tak samo, jak transfer danych na terytorium Rzeczypospolitej Polskiej.
O ile ochrona danych osobowych na obszarze UE jest zunifikowana i wymagana na stosunkowo wysokim poziomie, o tyle przekazanie danych poza ten obszar może oznaczać, że dane trafią do państw niedbających należycie o ochronę danych osobowych. Z tego powodu takie tzw. przekazanie danych do państwa trzeciego rządzi się swoimi zasadami.
Samo przekazywanie danych to jedna z postaci przetwarzania danych osobowych. Chodzi tu o wszelkie operacje na danych, w rezultacie których dane osobowe zostają fizycznie przekazane poza terytorium Rzeczypospolitej Polskiej. Nie ma znaczenia sposób przekazania tych danych (może to być np. e-mail, telefon czy list) ani forma prawna tego przekazania (udostępnienie, powierzenie danych do przetwarzania). Ważne jest tylko to, czy dane „migrują”, tj. wychodzą poza granice Polski.
Przekazanie danych osobowych do państwa trzeciego (poza EOG) może nastąpić, tylko gdy państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Taki odpowiedni poziom ochrony danych osobowych jest oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych oraz przepisy prawa obowiązujące w danym państwie trzecim oraz stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe.
Zasadniczo na przekazanie danych osobowych do państwa trzeciego konieczne jest uzyskanie zgody Generalnego Inspektora Ochrony Danych Osobowych. Ustawa o ochronie danych osobowych przewiduje też jednak sytuacje, w których zgoda Generalnego Inspektora Ochrony Danych Osobowych nie jest potrzebna. Wystarczy, aby administrator danych osobowych zapewnił odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Może to zrobić m.in. poprzez zastosowanie prawnie wiążących reguł lub polityk ochrony danych osobowych – są to tzw. wiążące reguły korporacyjne (binding corporate rules – BCR), zatwierdzone przez GIODO.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
