Pracodawcy często korzystają z podmiotów zewnętrznych do wykonywania różnych usług (przykładowo do przeprowadzenia rekrutacji, przyjmowania zgłoszeń od sygnalistów, przeprowadzania szkoleń).

Nie w każdym jednak przypadku zachodzi konieczność zawarcia umowy powierzenia przetwarzania danych.

CZYIM OBOWIĄZKIEM JEST DOPEŁNIANIE OBOWIĄZKU INFORMACYJNEGO (z art. 13 i 14 RODO)?

Dopełnianie obowiązku informacyjnego względem podmiotów danych jest obowiązkiem administratora.

Realizacja tego obowiązku przybiera postać dokumentu potocznie nazywanego „klauzulą informacyjną” czy „klauzulą RODO”.

Zdarza się jednak, że nie administrator, a procesor ma kontakt z podmiotami danych. Jest wówczas oczywistym, że względów organizacyjnych lepiej byłoby aby to procesor faktycznie realizował obowiązek informacyjny.

W Biuletynie UODO nr 02/02/25 potwierdzono, że „procesor  może wspierać administratora  w realizacji obowiązku informacyjnego”.

Aby mogło to nastąpić zgodnie z prawem administrator powinien:

• wydać procesorowi WYRAŹNE POLECENIE (może być w treści umowy powierzenia przetwarzania);
• przekazać  INSTRUKCJE dot. wykonania tego obowiązku (w jakiej formie np. link odsyłający do treści klauzuli na stronie internetowej administratora, załączony pdf itp.);
• zachować pełną KONTROLĘ nad treścią i zakresem obowiązku informacyjnego.

W praktyce:

• administrator przekaże procesorowi treść klauzuli informacyjnej (np. jako  załącznik do umowy powierzenia przetwarzania) albo,
• procesor opracuje i przedstawi administratorowi do zatwierdza wzór informacji.

Dlatego, gdy administrator scedował na procesora wykonywanie w jego imieniu obowiązku administracyjnego powinien dopełnić elementarnych aktów staranności w celu weryfikacji, czy i jak obowiązek ten jest realizowany, np. poprzez sprawdzenie widoczności i treści klauzuli w systemie do przyjmowania zgłoszeń, czy aplikacji kandydatów.

Więcej artykułów o prawie HR w newsletterze – PRO HR Marzec 2025