Temat szkoleń pracowników dotyka każdego pracodawcę – z jednej strony zobowiązani są oni do zapewniania szkoleń, o których wprost mówią przepisy prawa (szkolenia BHP), z drugiej zaś duże grono pracodawców, w ramach chęci zapewnienia pracownikom ciekawych form benefitów pracowniczych, organizuje różnego rodzaju dodatkowe kursy i szkolenia dla zainteresowanych osób (np. kursy językowe, branżowe, szkolenia podnoszące kwalifikacje zawodowe).
Nieodłącznym elementem większości szkoleń jest przetwarzanie danych osób w nim uczestniczących (na potrzeby sporządzenia listy obecności, przygotowania zaświadczeń czy certyfikatów, jak również dla celów porządkowych, kiedy po prostu musimy sprawdzić czy dany uczestnik opłacił szkolenie, a w związku z tym jest uprawniony do uczestniczenia w nim). Ochrona danych osobowych pracowników w miejscu pracy jest szalenie istotna, dlatego w każdej organizacji warto zaznajomić się z regulacjami, w tym wytycznymi PUODO, standaryzującymi powyższą kwestię tak, aby mieć pewność, że właściwe realizujemy proces, jakim jest organizacja szkoleń pracowniczych.
W celu ustalenia, czy w danej organizacji będziemy mieć do czynienia z udostępnieniem danych pracowników zewnętrznemu podmiotowi, czy jednak istnieje konieczność zawarcia z nim umowy powierzenia, należy przede wszystkim rozważyć okoliczności faktyczne danego przypadku oraz mieć na uwadze konkretne zadania obu stron (pracodawcy i firmy szkoleniowej) wynikające m.in. z przepisów prawa oraz zawartej pomiędzy nimi umowy. Należy zatem sięgnąć do umowy, która często precyzyjnie określa sposób przeprowadzenia szkolenia, cele przetwarzania danych oraz wskazuje, w jakich rolach występuje pracodawca oraz firma szkoleniowa.
Zasadniczo możemy wyróżnić dwa sposoby przeprowadzania szkoleń:
- szkolenia prowadzone przez pracowników zatrudnionych u danego pracodawcy;
- szkolenia prowadzone przez zewnętrzną firmę.
Sytuacja, w której szkolenie prowadzi wyznaczony przez pracodawcę pracownik jest o tyle prosta, biorąc pod uwagę analizowaną kwestię udostępnienia oraz powierzenia danych (podmiotowi trzeciemu), że do żadnej z tych czynności w tym przypadku nie dochodzi. Należy jednak pamiętać, iż pracownik przeprowadzający takie szkolenia powinien posiadać stosowne upoważnienie do przetwarzania danych osobowych wydane przez pracodawcę.
Sytuacja nieco się komplikuje w momencie, kiedy do procesu organizacji szkoleń angażujemy zewnętrzny podmiot. W takim przypadku, co do zasady, możemy wyróżnić 4 warianty współpracy, które determinować będą konieczność podpisania umowy powierzenia lub jej brak oraz zasadność lub brak zasadności zastosowania instytucji udostępnienia danych pracowników.
UDOSTĘPNIENIE DANYCH PRACOWNIKÓW FIRMIE SZKOLENIOWEJ
Z takim rodzajem współpracy będziemy mieć do czynienia w sytuacji, kiedy zewnętrzna firma szkoleniowa prześle pracodawcy ofertę szkoleń, a pracodawca sporządzi listę osób chętnych do udziału w takim szkoleniu i za zgodą pracowników przekaże (udostępni) ją podmiotowi odpowiedzialnemu za przeprowadzenie szkolenia.
Pracodawca zatem udostępni dane osób zainteresowanych przystąpieniem do szkolenia i na tym jego rola się zakończy. Nie będzie on uczestniczył w procesie organizacji szkolenia, ustalania jego harmonogramu i przebiegu, nie będą mu również potrzebne informacje o tym, który z jego pracowników ukończył szkolenie i z jakim rezultatem. Natomiast firma szkoleniowa jako niezależny administrator odpowiedzialny za cały proces organizacji i przebiegu szkolenia, we własnym zakresie będzie prowadziła dalszą komunikację z pracownikami. Podmiot ten będzie także odpowiedzialny za spełnienie wobec uczestników szkolenia obowiązku informacyjnego określonego w RODO oraz dopełnienie wszelkich pozostałych, określonych przepisami prawa czynności spoczywających na administratorach danych.
POWIERZENIE PRZETWARZANIA DANYCH FIRMIE SZKOLENIOWEJ
Powierzenie przetwarzania danych osobowych powinno mieć miejsce wówczas, jeśli zewnętrzny podmiot przetwarza dane w imieniu administratora, w celach i w sposób przez niego określony. Przy zastosowaniu takiej relacji to pracodawca jest organizatorem szkolenia, to on ustala jego zakres, cele i sposób przeprowadzenia. Jako przykład można tutaj podać szkolenia zamknięte z zakresu BHP. Takie szkolenia polegają na skierowaniu przez podmiot specjalizujący się w ich przeprowadzaniu szkoleniowca (trenera), którego zadaniem będzie przeszkolenie grupy pracowników wskazanej przez pracodawcę. W takiej sytuacji to pracodawca, jako administrator danych osobowych swoich pracowników, samodzielnie decyduje o sposobie (wybór firmy zewnętrznej) oraz celu przetwarzania ich danych.
Stosunek powierzenia pojawia nam się w momencie, w którym przeprowadzający szkolenie trener będzie przetwarzał dane uczestników szkolenia. Prowadzący szkolenie może przetwarzać dane pracowników biorących udział w szkoleniu adekwatnie do celu pozyskania np. imię, nazwisko, miejsce pracy. Dane takie mogą być mu potrzebne w celu sporządzenia, na polecenie i w imieniu pracodawcy, listy obecności pracowników czy dostarczenia zaświadczeń z odbytych szkoleń, których zewnętrzny podmiot nie będzie w stanie wystawić, jeżeli nie będzie dysponował danymi osobowymi pracowników.
Pamiętać należy, że prawidłowo uregulowany stosunek powierzenia powinien zawierać wskazane w art. 28 RODO elementy.
POWIERZENIE PRZETWARZANIA DANYCH PRACODAWCY
Możliwe jest również takie rozwiązanie, w ramach którego zewnętrzna firma szkoleniowa, która pełnić będzie rolę niezależnego administratora, wymagać będzie podania danych pracowników zainteresowanych przystąpieniem do szkolenia w formie przesłania formularzy, których rozdysponowaniem, odbiorem wypełnionych i przesłaniem zajmie się pracodawca. W takiej sytuacji to pracodawca jako podmiot, który w imieniu zewnętrznej firmy szkoleniowej będzie pośredniczył najpierw w rozprowadzaniu wśród swoich pracowników otrzymanych od niej formularzy, a następnie w przekazaniu wypełnionych dokumentów, będzie występował w roli podmiotu przetwarzającego.
W takim przypadku również należy pamiętać o tym, aby prawidłowo uregulować stosunek powierzenia, w oparciu o wskazane w art. 28 RODO elementy.
BRAK POWIERZENIA CZY UDOSTĘPNIENIA DANYCH FIRMIE SZKOLENIOWEJ
Zlecenie przeszkolenia pracowników nie zawsze będzie wiązało się z koniecznością przetwarzania ich danych. Jeśli do niego nie dojdzie, np. firma zewnętrzna jedynie przeszkoli pracowników bez uzyskiwania jakichkolwiek informacji o nich (np. w postaci list obecności, innych dokumentów), pracodawca nie musi zawierać z nią umowy powierzenia ani w inny sposób regulować kwestii przetwarzania danych.
Ponadto, jeżeli szkolenie odbywa się w taki sposób, że pracownik samodzielnie się na nie zapisuje, a co za tym idzie samodzielnie przekazuje takiemu podmiotowi swoje dane, decydując się tym samym wziąć udział w szkoleniu, a rola pracodawcy ogranicza się jedynie to poinformowania pracowników o istnieniu takiego szkolenia lub/oraz na jego sfinansowaniu, to w takim przypadku również nie będzie dochodziło do udostępnienia czy powierzenia danych pracowników zewnętrznemu podmiotowi.
Biorąc pod uwagę powyższe, należy pamiętać, iż w przypadku organizacji szkoleń pracowniczych nie można przyjąć jednego modelu współpracy. To, czy w określonej sytuacji będziemy mieć do czynienia z udostępnieniem, powierzeniem firmie szkoleniowej czy powierzeniem pracodawcy danych osobowych do przetwarzania, zależeć będzie od wielu czynników. Tylko ich właściwa analiza pozwoli nam na prawidłowe określenie roli stron w omawianym procesie.
