W jednej z ostatnich publikacji na stronie UODO urząd wyjaśnił, że możliwe jest używanie przez pracodawcę adresu email byłego pracownika zawierającego jego imię i nazwisko np. w celu poinformowania osób kontaktujących się z pracodawcą pod tym adresem o innych dostępnych formach kontaktu.
Przyjmuje się, że adres email pracownika wchodzi w zakres tzw. „danych służbowych”, a więc informacji o pracownikach związanych z wykonywaniem przez nich obowiązków służbowych. Część pracodawców mylnie zakłada, że „dane służbowe” nie są danymi osobowymi, a związku z tym ich przetwarzanie nie podlega ograniczeniom wynikającym z RODO.
Zakres danych służbowych
Do danych służbowych zaliczamy podstawowe informacje o pracowniku związane z jego sferą zawodową, a więc przede wszystkim:
- imię i nazwisko,
- stanowisko/dział,
- służbowy numer telefonu przypisany do pracownika,
- służbowy adres email przypisany do pracownika.
Takie dane zamieszczane są przez pracodawców np. na stronie internetowej pracodawcy, w intranecie, wizytówkach, pieczątkach lub wywieszane na tablicy w zakładzie pracy. Dane służbowe pracowników często znajdują się również w treści umów z ich kontrahentami w celu ułatwienia kontaktu przy realizacji umowy.
Warto zauważyć, że w zakres danych służbowych nie wchodzi m.in. wizerunek pracownika czy też jego prywatne dane kontaktowe np. prywatny numer telefonu, adres zamieszkania oraz prywatny profil na portalu społecznościowym.
Dane służbowe a RODO
Służbowe dane osobowe pracowników podlegają ochronie tak jak wszystkie inne dane osobowe pracowników przetwarzane przez pracodawcę. Ani RODO ani kodeks pracy nie wprowadza oddzielnej definicji „danych służbowych”. Zaliczają się one do zwykłych danych osobowych. Ze względu jednak na ich ścisły związek z wykonywaniem obowiązków służbowych, uznaje się, że pracodawca może mieć prawnie uzasadniony interes, by je przetwarzać, w tym udostępniać swoim kontrahentom i współpracownikom - w ramach prowadzonej przez siebie działalności.
Zgoda pracownika na przetwarzanie danych służbowych
Prezes PUODO (a wcześniej GIODO) wielokrotnie wskazywał, że przetwarzanie danych służbowych pracownika, a zwłaszcza ich udostępnianie, w związku z wykonywanymi przez niego obowiązkami służbowymi nie wymaga uzyskania jego zgody. Świadczenie pracy zazwyczaj wiąże się z koniecznością kontaktów z osobami trzecimi - współpracownikami, klientami, kontrahentami, urzędami ect. Uzależnianie możliwości np. przekazania danych służbowych pracownika odpowiedzialnego za załatwienie sprawy klientowi od zgody tego pracownika, stanowiłoby znaczne zagrożenie dla prawidłowego funkcjonowania pracodawcy.
Podstawa prawna przetwarzania danych służbowych
Przetwarzając służbowe dane osobowe swoich pracowników w celu np. utrzymywania kontaktów biznesowych z kontrahentem lub realizacji umowy, pracodawca może poszukiwać podstawy prawnej przetwarzania w art. 6 ust. 1 lit f RODO a więc prawnie uzasadnionym interesie administratora. Interes ten musi być wprost wskazany pracownikowi np. utrzymywanie kontaktów biznesowych, komunikacja z podwykonawcami itd.
Udostępnianie danych służbowych kontrahentom
Przekazując dane osobowe swoich pracowników kontrahentom np. wskazując imię, nazwisko, stanowisko i numer telefonu służbowego pracownika właściwego do obsługi zamówienia w treści umowy, dochodzi do ich udostępnienia innemu administratorowi, a nie powierzenia. Kontrahent nie przetwarza bowiem tych danych na rzecz pracodawcy, ale realizuje własne cele w ramach wykonywanej przez siebie działalności. Nie ma więc potrzeby zawierania z nim umowy o powierzenie przetwarzania danych osobowych.
Obowiązek informacyjny wobec pracownika
Podmiot, który w celu kontaktów biznesowych otrzymał dane służbowe pracownika swojego kontrahenta, zobowiązany jest w pierwszej kolejności do przekazania temu pracownikom informacji o przetwarzaniu danych osobowych (tzw. klauzuli informacyjnej). Powinien to zrobić przy pierwszym kontakcie z pracownikiem kontrahenta lub w momencie dalszego udostępnienia tych danych (np. podwykonawcy) - lecz nie później niż w ciągu miesiąca od ich uzyskania. Należy pamiętać, że w przypadku gdy dane osobowe zostały pozyskane od osoby trzeciej, w klauzuli informacyjnej należy dodatkowo wskazać źródło pochodzenia danych osobowych.
W celu ułatwienia realizacji tego obowiązku, kontrahenci czasami zamieszczają treść informacji o przetwarzaniu danych osobowych przez kontrahenta już w treści umowy i zobowiązują pracodawcę do ich przekazania pracownikom.
Poza obowiązkiem informacyjnym, na kontrahencie spoczywają także pozostałe obowiązki administratora danych, w tym przede wszystkim przetwarzanie danych zgodnie z zasadami wskazanymi w art. 5 RODO oraz związane z realizacją praw podmiotów danych.
