W grupie kapitałowej (16 spółek zatrudniających pracowników, każda z odrębnym dział kadr i płac) podjęto decyzję o optymalizacji kosztów poprzez konsolidację funkcji kadrowo-płacowej. Rozważane rozwiązania – outsourcing vs scentralizowana komórka kadrowo-płacowa w jednej ze spółek, obsługująca pozostałe spółki- oceniane były przez pryzmat kosztów każdego z nich oraz aspektów organizacyjno – technicznych, towarzyszących takim zmianom organizacyjnym. W każdym z rozwiązań pojawiła się kwestia uprawnień – czy to pracowników firmy zewnętrznej, czy jednej ze spółek grupy – do dostępu i przetwarzania danych osobowych pracowników wszystkich spółek. Tego rodzaju zmiany organizacyjne skutkują bowiem:
- koniecznością zawarcia pomiędzy spółkami umowy – w formie pisemnej – regulującej m.in. kwestie powierzenia danych osobowych oraz udzielenie stosownego pełnomocnictwa1. Umowa powierzenia musi określać cel oraz zakres przetwarzania danych. Podmiot uprawniony do gromadzenia i przetwarzania danych zobowiązany jest do zapewnienia odpowiednich środków i procedur gwarantujących bezpieczeństwo powierzonym informacjom. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
- obowiązkiem przekazania informacji osobie, której dane dotyczą wskazanych w art. 24 ustawy. Mowa tu o tzw. obowiązek informacyjny administratora – obejmujący informacje o: adresie swojej siedziby i pełnej nazwie; celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych; prawie dostępu do treści swoich danych oraz ich poprawiania; dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje o jego podstawie prawnej.
- a w przypadku zamiaru przekazywania danych do innego kraju — koniecznością upewnienia się że zapewnia ono odpowiedni stopień ochrony danych2. Odpowiedni stopień ochrony danych trzeba oceniać w świetle wszystkich okoliczności dotyczących operacji przekazania danych, przy czym szczególną uwagę zwracać należy na charakter danych, cel i czas trwania przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia, a także przepisy prawa – zarówno ogólne, jak i branżowe, obowiązujące w państwie trzecim, i środki bezpieczeństwa stosowane w tym państwie. Ponadto, w przypadku przetwarzania danych osobowych przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim, administrator danych jest zobowiązany wyznaczyć swojego przedstawiciela w Rzeczypospolitej Polskiej.
Odpowiedzialność za naruszenie obowiązków
Pracodawca, który dopuszcza się naruszenia obowiązków w zakresie ochrony i przechowywania danych osobowych swoich pracowników, naraża się na odpowiedzialność:
- na mocy z art. 51 § 1 ustawy o ochronie danych osobowych ten, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.