Delegacja pracownika zgodna z RODO

W wielu publikacjach znajdziemy informacje na temat tego, jak nie popełniać błędów przy rozliczaniu delegacji, jaki jest maksymalny czas jej trwania, czy też czas pracy i odpoczynku podczas podróży oraz jakie należności z nią związane przysługują pracownikom. Ciężko jest bowiem znaleźć informację na temat tego, jak powinna wyglądać delegacja zgodna z RODO. W tym artykule znajdziesz odpowiedź na pytanie, czy potrzebna jest dodatkowa zgoda pracownika na przetwarzanie jego danych w związku z podróżą służbową? Jak uregulować kwestię dodatkowego ubezpieczenia podczas wyjazdu służbowego, a także dowiesz się, jak poprawnie sprecyzować odbiorców danych w obowiązku informacyjnym dla pracowników, w stosunku do których delegacje krajowe, czy zagraniczne zostały już na stałe wpisane w ich życie zawodowe.

Czym jest podróż służbowa?

W celu analizy i interpretacji potocznie zwanej delegacji, posłuży nam definicja podróży służbowej sformułowana przez ustawodawcę w art. 77⁵ § 1 Kodeksu pracy. Zgodnie z treścią tego przepisu podróż służbowa rozumiana jest jako wykonywanie na polecenie pracodawcy zadania służbowego poza miejscowością, w której znajduje się stałe miejsce pracy pracownika, lub w której znajduje się siedziba pracodawcy. Aby z przytoczonego przepisu ustalić znaczenie definicji podróży służbowej warto rozważyć, co oznacza użyte przez ustawodawcę pojęcie „polecenia pracodawcy”. Z przytoczonego przepisu wynika, że z delegacją mamy do czynienia wówczas, gdy wyjazd pracownika odbywa się na polecenie pracodawcy, wobec czego, za podróż służbową nie można uznać wyjazdu pracownika, który nastąpił bez przedmiotowego polecenia, z wyłącznej inicjatywy pracownika. Ustawodawca nie definiuje, czym jest przedmiotowe polecenie, choć art. 100 § 1 KP stanowi, iż pracownik jest zobowiązany stosować się do poleceń przełożonych, które dotyczą pracy, jeżeli nie są one sprzeczne z przepisami prawa lub umową o pracę.  Podporządkowanie pracownika w procesie pracy stanowi kryterium rozróżniające stosunek pracy od stosunków cywilnoprawnych, a wydawanie poleceń przez pracodawcę jest wyrazem jego uprawnień kierowniczych. W ten sposób pracodawca na bieżąco organizuje i ustala sposób świadczenia pracy przez pracownika. Przepisy nie przewidują wymogów co do formy oraz treści polecenia wyjazdu służbowego. Brak zastrzeżonej formy pisemnej oznacza, iż polecenie wyjazdu służbowego może zostać wydane w formie ustnej, a także w sposób dorozumiany. Ze względów dowodowych zalecane jest, aby polecenie wyjazdu służbowego nastąpiło w formie pisemnej. Mając na uwadze, iż definicja ta nie jest do końca przejrzysta, w doktrynie i orzecznictwie uzupełniono ją twierdząc, że delegacją jest tylko taki wyjazd służbowy, który charakteryzuje się incydentalnością oraz jest niezwiązany z typowym, codziennym zakresem obowiązków delegowanego pracownika.

Zgoda pracownika w ramach podróży służbowych

W związku z tym, że delegacja jest poleceniem służbowym, pracownik co do zasady, nie może odmówić w niej udziału. Odmowa pracownika niekiedy może stanowić przyczynę negatywnych konsekwencji niewyrażenia zgody na wyjazd służbowy. Wobec powyższego przetwarzanie danych związane z podróżami służbowymi wynika z ustawodawstwa krajowego. Ponadto, jeżeli delegacje są konieczne do wykonania umowy, która wiąże pracodawcę z osobami delegowanymi, to na gruncie RODO, nie potrzebna jest dodatkowa zgoda tych osób na przetwarzanie ich danych. Innymi słowy, jeżeli osoby te pracują na stanowisku, które wiąże się z wyjazdami służbowymi, to nie potrzeba ich odrębnej zgody. Kodeks pracy wyróżnia dwie kategorie pracowników, którzy mogą odmówić wyjazdu na delegację, w związku z czym w tych przypadkach wymagana będzie ich zgoda na wyjazd służbowy i tym samym przetwarzanie danych. Są to pracownice w ciąży oraz osoby opiekujące się dzieckiem do ukończenia przez nie 4 roku życia. W powyższych przypadkach, ze względów dowodowych wskazane jest, aby zgoda wyrażona była na piśmie. Oczywiście tego rodzaju zgoda nie może być wyrażona w sposób blankietowy. W oświadczeniu pracownika o zgodzie należy wskazać cel, miejsce i czas trwania konkretnej delegacji.

Udostępnienie, czy powierzenie danych?

Pracodawca będący jednocześnie administratorem danych pracowników może przekazać dane osobowe innym podmiotom na dwa sposoby – poprzez powierzenie albo udostępnienie danych. Rozróżnienie ma wpływ na zakres odpowiedzialności oraz ciążące na danym podmiocie obowiązki. To, która forma przekazania danych będzie odpowiednia zależy od łączącego pracodawcę z innym podmiotem świadczącym usługi modelem współpracy.

Jeśli więc, w łączącej strony umowie następuje przekazanie danych, ale każda ze stron samodzielnie i niezależnie od drugiej decyduje o tym, w jakim celu dane będą przetwarzane – przekazanie danych następuje przez ich udostępnienie. Model ten opiera się na współpracy podmiotów, z których każdy jest administratorem danych. Udostępnienie danych nie wymaga zawarcia umowy, gdyż nie rodzi wzajemnych zobowiązań, jak również żaden z podmiotów nie ponosi odpowiedzialności za działania, czy zaniechania drugiego administratora. W tym przypadku, każdy z podmiotów jest administratorem wobec osoby, której dane są przetwarzane i we własnym zakresie jest zobowiązany do spełniania względem tej osoby ciążących na nim, jako na administratorze obowiązków.

Reasumując, w przypadku przekazywania danych bezpośrednio do firm ubezpieczeniowych, PKP, linii lotniczych, czy hoteli mamy do czynienia z udostępnianiem danych. Inaczej będzie w sytuacji, gdy pracodawca zawiera umowę z podmiotem obsługującym firmę w zakresie świadczonych usług, np. umowa na organizację delegacji (w tym zakup usług hotelarskich, czy biletów lotniczych) wówczas, aby powierzenie danych pracowników było zgodnie z prawem powinien on podpisać umowę powierzenia z tą firmą. Nie staje się ona bowiem odrębnym administratorem przekazanych danych, gdyż nie będzie samodzielnie określać celów i sposobów przetwarzania. W związku z powyższym udostępnienie nie będzie miało w niniejszej sytuacji zastosowania.

Udostępnienie danych pracownika firmie ubezpieczeniowej

Co do zasady, w przypadku delegacji zagranicznej, pracodawca decyduje się na dodatkowe ubezpieczenie pracownika na czas podróży służbowej. Ubezpieczenie jest elementem dodatkowym, ale związanym z delegacją, która stanowi przesłankę przetwarzania niezbędnego do wypełniania obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą i dodatkowa informacja w tym zakresie nie jest wymagana. Przy czym kwestie związane z dodatkowym ubezpieczeniem powinny być określone np. w regulaminie pracy.

W myśl art. 6 ust. 1 lit. c RODO – przetwarzanie jest zgodne z prawem w przypadkach, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Podstawa prawna o której mowa w tym przepisie musi być określona w prawie Unii Europejskiej lub prawie państwa członkowskiego, któremu podlega administrator. Ponadto, przetwarzanie musi być niezbędne.

Przesłanki powyższe spełnia przetwarzanie danych pracownika w związku z zatrudnieniem. W tym wypadku przytoczony na wstępie art. 77⁵ § 1 Kodeksu pracy określa zasady związane z podróżami służbowymi pracowników, a zatem jak już wcześniej wspomniano, przetwarzanie danych związane z podróżami ma uzasadnienie wynikające z ustawodawstwa krajowego. Ponadto, pracodawca zgodnie z Kodeksem pracy reguluje organizację i porządek w procesie pracy w dokumentach wewnątrzzakładowych. Nie ulega zatem wątpliwości, że ubezpieczenie na czas podróży jako element konieczny podróży służbowej w myśl przepisów wewnątrzzakładowych wydanych na podstawie Kodeksu pracy, mieści się w granicach przetwarzania związanego z zatrudnieniem. Ewentualnie gdyby ubezpieczenie dodatkowe nie miało podstawy w regulaminie lub układzie, należałoby tę kwestię doprecyzować w tych dokumentach.

Jeżeli obowiązek informacyjny wobec pracownika nie został wypełniony w momencie zatrudnienia lub też jeżeli jego treść uległa zmianie np. w związku z tym, że  pracownik został przeniesiony na stanowisko związane z delegacjami to należy go wypełnić, wskazując ubezpieczyciela jako jednego z odbiorców danych.

Jak poprawnie sprecyzować odbiorców danych?

Określając odbiorców danych osobowych lub kategorię odbiorców danych osobowych nie jest wystarczające określenie, iż ww. odbiorcami są podmioty, z którymi administrator danych osobowych ma zawarte umowy cywilnoprawne. Powyższy zapis jest zbyt ogólny. Na zakończenie wskażę przykładowy zapis odbiorców do praktycznego zastosowania w dokumentacji z zakresu ochrony danych osobowych. W art. 4 pkt 9 RODO prawodawca unijny wskazuje, że odbiorca oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego czy jest stroną trzecią. Ponadto, zgodnie z motywem 31 preambuły, organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym obowiązkiem sprawowania funkcji publicznej (takich jak organy podatkowe, organy celne, finansowe jednostki analityki finansowej, niezależne organy administracyjne czy organy rynków finansowych regulujące i nadzorujące rynki papierów wartościowych), nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem unijnym lub prawem państwa członkowskiego, nie są uznawane za odbiorców, ponieważ przetwarzanie tych danych musi być zgodne z przepisami o ochronie danych w kontekście celów pozyskania ich, realizacja natomiast powinna mieć formę pisemną i być uzasadniona, natomiast organy przetwarzające powinny dochować najwyższej staranności przy przetwarzaniu danych osobowych oraz stosować praktycznie przepisy o ochronie danych osobowych.

Praktyczne wskazanie odbiorców danych w klauzuli informacyjnej

Przy określeniu kategorii odbiorców, którym dane zostały lub zostaną ujawnione w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych posłużyć może poniższa formuła:

Odbiorcami danych mogą być podmioty świadczące usługi w zakresie obsługi kadrowo-płacowej (biuro rachunkowe), zapewniające pakiet socjalny (np. programy emerytalne, ubezpieczenia grupowe, karty sportowe/medyczne dla pracowników), biura podróży (na potrzeby podróży służbowych), firmy ubezpieczeniowe (na potrzeby ubezpieczenia podróży służbowej pracownika), zewnętrzne usługi ochrony mienia, itp.

Podsumowanie

• Poza wyjątkami zawartymi w ustawie, w ramach podróży służbowych nie potrzebna jest dodatkowa zgoda pracowników na przetwarzanie danych
• Pracodawca może przekazać dane osobowe pracowników innym podmiotom na dwa sposoby – poprzez powierzenie albo udostępnienie danych.
• W przypadku przekazywania danych bezpośrednio do firm ubezpieczeniowych, PKP, linii lotniczych, czy hoteli mamy do czynienia z udostępnianiem danych, w związku nie jest wymagane zawarcie umowy z tymi podmiotami.
• Określając w klauzuli informacyjnej odbiorców danych pamiętaj, że organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem unijnym lub prawem państwa członkowskiego, nie są uznawane za odbiorców danych.