Dane osobowe to nie karta przetargowa

Dane osobowe to nie karta przetargowa
Rzeczpospolita, Irena Pacholewska-Urgacz, Sylwia Macura-Targosz
W trakcie badania prawnego (duediligence) pracodawca może udostępniać kontrahentowi dane
osobowe pracowników w ograniczonym zakresie. Inaczej naraża się na kary finansowe, a nawet
odpowiedzialność karną.
Zawarcie znaczącej transakcji bez sprawdzenia kontrahenta to duże ryzyko. Szczególnie gdy chodzi o nabycie
innego podmiotu. Kupujący coraz częściej decydują się więc przeprowadzić wcześniej jego badanie prawne.
Celem due diligence jest dokładne poznanie kondycji kupowanej spółki lub jej składników majątkowych oraz
precyzyjne oszacowanie ich wartości. Nierzadko wymaga to przekazania przez sprzedającego szczegółowych
informacji, w tym danych osobowych kontrahentów, klientów oraz pracowników kupowanej spółki.
Szczególne kontrowersje wzbudza możliwość przekazania sprzedającemu danych osobowych pracowników
badanej spółki. Brakuje bowiem szczegółowych regulacji prawnych w tej materii. W konsekwencji przekazanie
danych osobowych pracowników na potrzeby due diligence, jako mieszczące się w definicji przetwarzania danych
osobowych, zasadniczo podlega ocenie na podstawie ustawy o ochronie danych osobowych. Stąd pytanie, czy i
ewentualnie w jaki sposób można to robić, aby z jednej strony zabezpieczyć interesy pracowników i nie narazić
się na zarzut naruszenia przepisów o ochronie danych osobowych, a z drugiej – z sukcesem przeprowadzić
zaplanowaną transakcję.
Praktyka rynkowa
W związku z brakiem bezpośredniej regulacji prawnej, praktyka rynku, która wykształciła się w zakresie
przekazywania danych osobowych pracowników na potrzeby due diligence, jest bardzo różnorodna.
Dotychczas niejednokrotnie zdarzało się, że kupujący uzyskał do nich dostęp wyłącznie na podstawie ogólnej
umowy o zachowaniu poufności, zawartej przez strony przy okazji planowanej transakcji. Z punktu widzenia
przepisów dotyczących ochrony danych osobowych to zdecydowanie nie wystarcza. Przekazanie tych danych w
sposób niezgodny z przepisami naraża zarówno sprzedającego, jak i kupującego na wiele negatywnych
konsekwencji. Jedną z nich jest decyzja generalnego inspektora danych osobowych nakazująca przywrócenie
stanu zgodnego z prawem. Jeśli adresat nie spełni tego obowiązku, naraża się na grzywnę w wysokości do 50 tys.
Konsekwencje mogą być też natury cywilnoprawnej – jak możliwość dochodzenia przez osobę, której dane były
przetwarzane nielegalnie, odszkodowania na ogólnych zasadach określonych w kodeksie cywilnym z tytułu
czynów niedozwolonych lub naruszenia dóbr osobistych. Istnieje również ryzyko poniesienia odpowiedzialności
karnej.
Pełna anonimizacja
Sprzedający, aby ograniczyć ryzyko, coraz częściej starają się w ogóle uniknąć przekazania danych osobowych
pracowników. Dążą do tego, aby poprzestać na ujawnieniu informacji dotyczącej stanu zatrudnienia w
zanonimizowanej formie (np.w postaci listy stanowisk uwzględniającej wysokość wynagrodzenia, benefitów lub
nietypowych postanowień umów o pracę itd.).
Na pierwszy rzut oka takie działanie wydaje się bezpieczne. Za dane osobowe nie uważa się bowiem informacji
umożliwiających określenie tożsamości danej osoby, jeśli wymagałoby to nadmiernych kosztów, czasu lub działań.
Jednak nie sprawdzi się to w każdym przypadku.
Po pierwsze, może się okazać, że lista stanowisk zostanie łatwo przez kupującego rozszyfrowana – gdy np. w
badanej spółce tylko jedna osoba jest zatrudniona na danym stanowisku, a informacje o pracownikach
umieszczone są na stronie internetowej lub w inny sposób publicznie udostępnione. Może wówczas dojść do
przetwarzania danych osobowych z naruszeniem obowiązujących przepisów.
Po drugie, coraz częściej się zdarza, że dla kupującego istotną wartością sprzedającego są niektórzy (kluczowi)lub
nawet wszyscy pracownicy. Przedmiotem jego zainteresowania może być np. spółka z branży IT zatrudniająca
wybitnych informatyków, ale równie dobrze kadra zarządzająca konkretną firmą. Odmowa przekazania informacji
o takich pracownikach może doprowadzić do zerwania negocjacji.
Na podstawie umowy
Pewnym remedium na te zagrożenia stały się umowy o powierzeniu przetwarzania danych osobowych, zawierane
na podstawie art. 31 ustawy o ochronie danych osobowych. Ich powszechność wynika głównie z ograniczonego
zakresu odpowiedzialności przetwarzającego oraz mniejszego – w porównaniu z administratorem danych –
zakresu obowiązków. W szczególności odpadają powinności informacyjne wobec osób, których dane są
przetwarzane. A to ułatwia utrzymanie transakcji w tajemnicy, na czym jej stronom zwykle bardzo zależy.
Wiele osób zapomina jednak, że taka umowa pozwala kupującemu przetwarzać uzyskane dane osobowe wyłącznie
w tych samych celach, dla których zebrał je sprzedający. Jeśli więc sprzedający przetwarza dane osobowe
pracowników uzyskane do celów związanych z zatrudnieniem, nie może powierzyć ich przetwarzania kupującemu.
Ten przetwarzałby je bowiem w innych celach – związanych z transakcją lub przygotowaniem działań
potransakcyjnych. Zatem kupujący de facto pełniłby rolę administratora danych osobowych, a nie
przetwarzającego. Rozwiązanie to budzi więc istotne wątpliwości.
Udostępnienie danych
W miarę bezpiecznym rozwiązaniem wydaje się natomiast zawarcie umowy o udostępnienie danych osobowych.
Ponieważ jednak ta kwestia również nie została uregulowana, a nawet brakuje samej ustawowej definicji
udostępnienia, konieczna jest tu szczególna staranność.
Przede wszystkim trzeba ocenić, czy udostępnienie danych osobowych w ogóle jest dopuszczalne (woparciu o art.
23 ustawy o ochronie danych osobowych). Jeśli tak, to strony powinny zadbać o prawidłową konstrukcję umowy.
Ma ona określać przede wszystkim: ? dane osobowe podlegające udostępnieniu, ? cel, dla którego ma to nastąpić,
? sposób udostępnienia
(przekazania)tych danych. Warto też zapisać procedurę określającą, co się stanie z przekazanymi kupującemu
danymi osobowymi, jeśli transakcja nie dojdzie do skutku (np. powstanie obowiązek ich usunięcia).
Przepisy ustawy o ochronie danych osobowych zawierają kilka podstaw prawnych, w oparciu o które
przetwarzanie danych osobowych jest dozwolone. Gdy chodzi o ich udostępnienie na potrzeby badania prawnego,
znaczenie mają dwie:
– art. 23 ust. 1 pkt 1 mówiący o udzieleniu zgody przez osobę, której dane dotyczą oraz
- art. 23 ust. 1 pkt 5 – który pozwala je przetwarzać, jeśli jest to niezbędne do wypełnienia prawnie
usprawiedliwionych celów realizowanych przez administratorów danych albo ich odbiorców, a ich przetwarzanie
nie narusza praw i wolności osoby, której dane dotyczą.
Za zgodą na piśmie
Pierwsze rozwiązanie wymaga, aby osoba, której dane dotyczą, swobodnie zgodziła się na ich przetwarzanie.
Spełnienie tego warunku w relacjach pracodawca–pracownik (podległośćsłużbowa, podporządkowanie) jest
jednak wysoce wątpliwe. Zgoda może zostać zakwestionowana jako nieskuteczna. Rzadko jest bowiem udzielana
dobrowolnie. Powoływanie się na taką zgodę może mieć sens wtedy, gdy pracownik rzeczywiście ma wolny wybór
i może odwołać swoją zgodę bez jakichkolwiek negatywnych konsekwencji.
Zdarza się, że kontrahenci występują do pracowników o udzielenie takiej zgody, zawierając jednocześnie umowę
o udostępnienie danych osobowych (wktórej jako podstawę przetwarzania wskazują usprawiedliwiony cel
sprzedającego lub kupującego). Uznają to za dodatkowe zabezpieczenie. Nie jest to jednak prawidłowa praktyka.
Wprowadza bowiem pracowników w błąd, sugerując, że decyzja o zgodzie lub braku zgody na przetwarzanie
danych jest dla pracodawcy wiążąca.
W rzeczywistości przetwarzanie danych osobowych jest najczęściej możliwe w oparciu jedynie o przesłankę
usprawiedliwionego celu sprzedającego lub kupującego (czytajniżej). Natomiast sam proces pozyskania zgody
wszystkich pracowników mógłby doprowadzić do ujawnienia informacji o planowanej transakcji, trzymanej w
tajemnicy. Zatem również z biznesowego punktu widzenia uzyskanie zgody od wszystkich pracowników może się
okazać nierealne lub niecelowe.
Usprawiedliwiony cel
Inną podstawą do bezpiecznego przetwarzania danych jest sytuacja, gdy jest to niezbędne do wypełnienia przez
administratora danych albo odbiorcę danych prawnie usprawiedliwionych celów. Nie może to jednak prowadzić
do naruszania praw i wolności osoby, której te dane dotyczą.
Musi przy tym dodatkowo wystąpić kryterium „niezbędności”. Trzeba zatem ustalić, czy zakładany skutek można
osiągnąć bez przetwarzania danych osobowych. Jeśli tak, przetwarzanie danych w oparciu o tę przesłankę jest
niedozwolone. W konkretnej sytuacji udostępnienie informacji o wszystkich pracownikach może zostać
zakwestionowane jako wykraczające poza kryterium niezbędności. W innej zaś przekazanie informacji o
wszystkich pracownikach (w tym tzw. szeregowych) może być niezbędne do osiągnięcia prawnie
usprawiedliwionych celów kupującego. Kryterium to trzeba zatem badać odrębnie w każdej sprawie.
W praktyce za dopuszczalne przyjmuje się najczęściej udostępnienie kupującemu danych osobowych, tzw.
kluczowych pracowników. Tutaj kryterium „niezbędności” wydaje się spełnione. Ponadto kupujący, który po
zawarciu umowy o udostępnienie danych osobowych, otrzymuje je od sprzedającego (administratora tych
danych), sam staje się ich administratorem. Tym samym ciąży na nim wiele obowiązków wynikających z ustawy o
ochronie danych osobowych. W szczególności musi zgłosić zbiór danych osobowych do rejestracji, zastosować
środki techniczne i organizacyjne, które zapewniają odpowiednią ochronę przetwarzanych danych, a także
wypełnić pewne obowiązki informacyjne w stosunku do osób, których dane będą przetwarzane (art.25 ust. 1
ustawy o ochronie danych osobowych). Kupujący musi też poinformować pracowników, których dane osobowe
zostały mu udostępnione podczas badania, o celu ich zbierania oraz źródle pozyskania.
Właściwy moment
Gdy sprzedający zdecyduje się udostępnić kupującemu dane osobowe pracowników (codo zasady tych
kluczowych), pojawia się pytanie, na jakim etapie transakcji może to zrobić. Ten moment nie jest prawnie
uregulowany. Przyjmuje się jednak, że samo przekazanie powinno mieć miejsce na końcowym etapie transakcji,
kiedy jej dojście do skutku jest wysoce prawdopodobne. W praktyce najczęściej jest to np. podpisanie umowy
przedwstępnej czy wyrażenie zgody przez prezesa Urzędu Ochrony Konkurencji i Konsumentów na daną
transakcję. Przekazanie kupującemu danych ma wtedy racjonalne uzasadnienie, jako spełniające kryterium
niezbędności, a sama transakcja jest na tyle pewna, że ujawnienie o niej informacji nie powinno wpłynąć na jej
realizację.
Najbezpieczniejszym rozwiązaniem wydaje się przekazywanie wszelkich informacji w formie zanonimizowanej.
Jeśli jednak z przyczyn biznesowych jest to niemożliwe, warto się wstrzymać z udostępnieniem kupującemu
danych do końcowego etapu transakcji – i to tylko jeśli chodzi o kluczowych pracowników. W stosunku do
pozostałych pracowników dane powinny być co do zasady przekazane anonimowo. Niezależnie od wszystkiego
każdorazowo należy badać, czy udostępnienie danych osobowych określonej osoby w danej transakcji spełnia
kryterium niezbędności.