Zagadnienie to było przedmiotem analizy dokonanej przez Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO), który na temat relacji pracodawcy z firmami szkoleniowymi i kryteriów rozróżnienia charakteru przekazania danych osobowych wypowiedział się w publikacji na swojej stronie internetowej z dnia 1 października 2020 r. pt. „Czy z firmą szkoleniową trzeba zawrzeć umowę powierzenia?”[1]

W przedmiotowej publikacji PUODO wskazał, że „w celu ustalenia, czy w danej sytuacji mamy do czynienia z odrębnym administratorem, czy jednak istnieje konieczność zawarcia umowy powierzenia, należy przede wszystkim dokonać analizy okoliczności faktycznych z uwzględnieniem zadań określonych podmiotów wynikających m.in. z przepisów prawa oraz zawartej pomiędzy nimi umowy. Trzeba brać pod uwagę, jak w szczegółach realizowane są obowiązki przeprowadzenia szkolenia w konkretnym przypadku i jak pracodawca i firma szkoleniowa uzgodniły swoje role oraz zadania w zakresie przetwarzania danych, a także na ile samodzielnie i w jakich celach podmioty te przetwarzają dane w celach związanych ze szkoleniem (…), gdy następuje przekazanie realizacji zadania innemu podmiotowi, który realizuje je (także w zakresie przetwarzania danych) w sposób niezależny, samodzielnie decydując o sposobach i celach przetwarzania, a zadania i obowiązki tego podmiotu są dodatkowo dość szczegółowo określone w przepisach prawa, istnieją podstawy do uznania ich za odrębnych administratorów. Powierzenie przetwarzania powinno mieć natomiast miejsce wówczas, jeśli zewnętrzny podmiot przetwarza dane w imieniu administratora, w celach i w sposób przez niego określony”.

W dalszej części tej publikacji PUODO zwraca uwagę, że firma szkoleniowa przeprowadzająca szkolenie z zakresu BHP działająca na podstawie przepisów rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy, może być traktowana jako organizator takiego szkolenia. W takiej sytuacji, jeżeli firma szkoleniowa realizuje nałożone na nią obowiązki wskazane w powołanym rozporządzeniu i w konsekwencji przetwarza dane pracowników, w związku ze sporządzaniem protokołów z przebiegu egzaminów i rejestru wydanych zaświadczeń oraz w zakresie nawiązania współpracy (zawarcia stosownych umów) z wykładowcami i instruktorami posiadającymi zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia, to w ocenie POUDO taka firma działa jako osobny administrator danych[2]. W tej sytuacji z taką firmą szkoleniową administrator danych nie musi zawierać umowy powierzenia przetwarzania danych osobowych. Natomiast podstawą udostępnienia danych będą przepisy prawa nakładające na niego obowiązek zapewnienia bezpiecznych i higienicznych warunków pracy oraz przeprowadzania systematycznych szkoleń pracowników w zakresie bezpieczeństwa i higieny pracy, zgodnie z art. 94 pkt 4 ustawy Kodeks pracy.

Podobne kryteria rozróżnienia udostępnienia danych od powierzenia ich przetwarzania należy zastosować w przypadku innych szkoleń przeprowadzanych przez pracodawcę. Kwestia ta została szeroko omówiona przez PUODO w poradniku z...