ANALIZA PRZYPADKÓW - UMOWY, A OBOWIĄZEK INFORMACYJNY

Bernadeta Gronowska, Jacek Rembikowski, E-QSM Informatyczne Systemy Zarządzania, Poznań 2018


Przypadek 1 - z udostępnianiem treści umów lub ich części

Każda umowa między stronami zawiera szereg informacji związanych z:

- celem umowy

- zakresem działań

- lokalizacją

- warunkami np. dotyczącymi przechowywania i udostępniania danych, uczestnikami umowy.

 

Jeżeli zatem ktoś stosuje tzw. dobre praktyki, związane z przekazywaniem skanu umowy pracownikowi, którego zakres obowiązków ściśle jest z nią powiązany, wówczas wyczerpany zostaje zakres wymogu informacyjnego o ile:

W umowie zawarte zostaną informacje dotyczące w/w elementów tym zapewnienie związane z czasem przetwarzania i ochroną danych osobowych uczestnika umowy.

 

Przypadek 2 - co jednak w przypadku tych umów, których treść nie musi być udostępniana pracownikom lub jest udostępniana w ograniczonym zakresie?

Pracodawca ma prawo dysponować danymi pracowników w zakresie wynikającym z umów (o pracę) w obszarze zgodnym z profilem działalności (oczywiście mówiąc w skrócie). A zatem zachodzi podejrzenie, graniczące z pewnością, iż zanim 'wprowadzi' pracownika w nowe obowiązki, poinformuje go o tym fakcie, bo obliguje go do tego Kodeks Pracy.

A zatem w zakresie obowiązku informacyjnego zamieszczanie go w umowie między stronami jest o tyle niezasadne, że taki obowiązek należy spełnić w ramach wewnętrznych procedur. I to nie przed procesorem czy administratorem musimy się wykazać, lecz przed inspekcją pracy oraz UODO.

W obu powyższych przypadkach wydaje się też być całkiem wystarczającym zapis, mówiący, że: dane będą wykorzystywane w ramach realizacji umowy, rozszerzone o informacje dotyczące prawa ich przekazania do podwykonawcy (w przypadku powierzenia). Bo to oznacza w bardzo wielu przypadkach, że nie wolno tych danych przekazać do strony trzeciej, to raz, a dwa wiąże się z zatrzymaniem tych danych w obrębie działań podwykonawcy, gdzie ważne jest po prostu jednoznaczne określenie nazwijmy to geograficznego obszaru przetwarzania.

Kolejny ważny aspekt, to kwestia różnych profesji - zawodów. Zatrudniając ochroniarza, firma ta z definicji powinna go poinformować dla kogo będzie pracował i jaki zakres danych musi być klientowi przekazany - chociażby z uwagi na grafik jaki obowiązuje w tego typu firmach. Zatem mamy kolejny przypadek, gdzie te działania w pełni spoczywają na pracodawcy i nie muszą znaleźć swojego odzwierciedlenia w umowie między stronami. Co więcej za poprawność przekazanych danych w tym szczególnym przypadku, za ich aktualność odpowiada dostawca względem klienta i na odwrót, zatem aktualizacja, czyt. poprawianie, to obowiązek, a nie prawo, tak jak nie zachodzi prawo do usunięcia.

 

Przypadek 3 - umowy powierzenia/udostępnienia z MOPS itp. instytucjami.

Generalnie w żadnym wypadku nie ma mowy o umowach powierzenia jeżeli mówimy o normalnej usłudze ROR, bo ona wynika z litery prawa. Z taką umową możemy mieć do czynienia jedynie wówczas, gdy działania banku wychodzą poza usługę bankową, czyli np. dostają listy z danymi, które mają nadzorować jako usługa towarzysząca wypłacie w kasie. Ale wówczas nie obejmuje ta umowa elementów działania banku we własnym zakresie (czyli w obszarze systemów), a jedynie w zakresie owych list. Wówczas jedyne z czym trzeba się liczyć to z kontrolę szafki w które ten dane/listy są trzymane ale wystarczy, że banku uruchomi możliwość wpłacania na rzecz uposażonych odpowiednich kwot z dyspozycją wypłaty na dowód wówczas nie podpisujemy żadnej umowy i żadna ze stron nie narusza prawa, ani też nie generuje fikcyjnych obowiązków.

Reasumując; jeżeli wypłata zasiłków odbywa się poprzez przelew na konto beneficjentów, wypłatę z konta ale bez listy papierowej - nie ma mowy o powierzeniu. Jest to wykonywanie czynności bankowych w oparciu o umowę na prowadzenie rachunku dla MOPS/GOPS/PUP.

Jeżeli natomiast wypłata tych zasiłków odbywa się w oparciu o papierowe listy, które są przysyłane przez te jednostki i, co więcej, na tych listach są zbierane podpisy od beneficjentów - jest to dodatkowa usługa banku wykraczająca poza zwykłe czynności bankowe i wtedy należy zawrzeć umowę powierzenia, ale powinna ona dotyczyć tylko tych list.

 

Powierzenie, a udostępnianie

Powierzenie ma miejsce gdy mówimy - pilnuj, dbaj za mnie w moim imieniu

Udostępnienie natomiast, gdy możemy dopasować zwrot - bież i rób co chcesz na własny użytek.

Zatem pisząc ludzkim językiem - w pierwszym przypadku możemy w umowie napisać:

Daję tobie nasze dane, które będą używane w celu realizacji umowy, przez cały czas jej trwania oraz poza jej zakończeniu przez czas wynikający z litery prawa.

A w drugim: przekazuję tobie dane abyś mógł z ich wykorzystaniem wykonywać swoje działania.

 

W obu tych przypadkach wymagane są dodatkowe wpisy o sposobie zabezpieczenia ale tylko w tym pierwszym o prawie do audytu i zwrocie lub zniszczeniu po zakończeniu umowy.

 

Dlatego w przypadku firm ochroniarskich one udostępniają dane bankom, bo za ich przyczyną banki weryfikują konwojentów, co więcej zachowują u siebie te dane co najmniej do przedawnienia okresu do roszczenia.

Jeżeli firma ochroniarska powierzałaby dane, to miałaby prawo na koniec umowy nakazać ich oddanie lub usunięcie, co więcej miałaby prawo do weryfikacji zasad przetwarzania, co już brzmi strasznie.

Dlatego też w przypadku umów związanych z transportem gotówki mamy do czynienia sytuacją gdy Dane osób upoważnionych do kontaktu i do realizacji umowy będą przetwarzane zarówno przez Firmę Ochroniarską, jak i Bank Spółdzielczy we własnych celach:  dla zapewnienia bezpieczeństwa realizacji usługi, rozliczalności działań wynikających z umowy, dla celów dowodowych, w celach zapewnienia kontaktu w ramach realizacji umowy.