GoldenLine
Zaloguj się
Marek Popiel

Marek Popiel ochroniarz danych

Temat: współdzielenie dokumentacji projektowej

Mam taki dylemat:
Dwie firmy - mocno ze sobą powiązane kapitałowo i stale kooperujące (działalność jednej z nich polega głównie na realizacji zleceń tej drugiej) chciałyby uruchomić wspólną platformę do zarządzania projektami (mówimy tu o projektowaniu wyrobów do produkcji, a nie projektach "unijnych").
Obie firmy umieszczałyby tam róże dokumenty związane z projektowaniem wyrobów, od momentu uzgadniania zamówienia z klientami po etap wdrożenia do produkcji i ew. dalsze modyfikacje produktu.
Wśród tych danych na pewno znalazłyby się podstawowe dane pracowników obu stron w zakresie:
- imię i nazwisko
- tytuł
- stanowisko/funkcja
- zadania w ramach projektu
- służbowe dane kontaktowe - telefon, mail.
Ponadto należy się spodziewać, że z dokumentów umieszczonych na platformie będzie można odczytać co kto zrobił lub nie, czy zrobił to w terminie, dobrze itp. itd czyli ogólnie informacje o przebiegu pracy danej osoby w ramach danego projektu.

Zastanawiam się jak to potraktować jeżeli chodzi o ODO. Czy jest tu konieczność zawierania umowy powierzania ?
A może można uznać, że dochodzi do udostępniania danych w ramach prawnie usprawiedliwionych celów obu firm? (Celem byłaby tu optymalizacja zarządzania projektami realizowanymi wspólnie przez obie firmy)
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: współdzielenie dokumentacji projektowej

Marek P.:
Dwie firmy - mocno ze sobą powiązane kapitałowo i stale kooperujące (działalność jednej z nich polega głównie na realizacji zleceń tej drugiej) chciałyby uruchomić wspólną platformę do zarządzania projektami (mówimy tu o projektowaniu wyrobów do produkcji, a nie projektach "unijnych").
Pytanie najważniejsze: czyje cele przetwarzania byłyby tu realizowane? Jakie to cele?
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: współdzielenie dokumentacji projektowej

Czyje są cele?

Cele są wspólne, ale można wskazać, że jedna z firm - A - ma pozycję nadrzędną, a firma B jet podwykonawcą. Firma A określa cele biznesowe, a także administruje serwerem, na którym ma być przechowywana wspólna dokumentacja projektów.
Ale moje pytanie dotyczy firmy B (czyli podwykonawcy). Jak oni powinni się zachować w sytuacji gdy dane dotyczące ich pracowników (w zakresie, który opisałem w pierwszym wpisie) będą umieszczane na serwerze.

Jakie są cele?
Takie jak opisałem w pierwszym wpisie. Chodzi o optymalizację komunikacji pomiędzy pracownikami obu firm, a szerzej o optymalizację zarządzania projektami.
Celem pierwotnym nie jest przetwarzanie danych osobowych, kontrolowanie wydajności pracowników itp., tym niemniej, w umieszczonych dokumentach będą się znajdowały informacje, które pozwalają uzyskać pewne informacje o pracownikach (w zakresie jak wyżej).
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: współdzielenie dokumentacji projektowej

Marek P.:
Cele są wspólne, ale można wskazać, że jedna z firm - A - ma pozycję nadrzędną, a firma B jet podwykonawcą. Firma A określa cele biznesowe
To jakie własne cele w tym procesie realizuje firma B?
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: współdzielenie dokumentacji projektowej

Firma B usprawnia współpracę z kluczowym kontrahentem.
To nie jest tak, że muszą to zrobić - formalnie rzecz biorąc są autonomicznym bytem i mają prawo powiedzenia "nie" albo powiedzenia "tak ale pod warunkiem, że". Dlatego też zastanawiają się jak postąpić.

Gdyby było tak, że są zobowiązani realizować cele firmy A to sprawa byłaby prosta, za administratora danych można by uznać spółkę A i tyle.Ten post został edytowany przez Autora dnia 12.05.17 o godzinie 11:07
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: współdzielenie dokumentacji projektowej

Ja bym jednak zastosował pseudonimizację danych. Firma A jest administratorem systemu, nie jest jej jednak niezbędna wiedza, który konkretnie pracownik firmy B zawalił w razie czego. Ta wiedza jest niezbędna tylko firmie B. Dostają sygnał od firmy A, że coś nie gra w projekcie, i sami rozmawiają ze swoim pracownikiem.

No chyba że nie, że jakieś inne jeszcze cele przetwarzania. Jak tak, to gadajmy dalej.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: współdzielenie dokumentacji projektowej

W tym przypadku pseudonimizacja raczej nie wchodzi w rachubę, teoretycznie da się ją wprowadzić, ale w praktyce zniweczy cel jakim jest usprawnienie wspólnej pracy nad projektami poprzez m.in optymalizację komunikacji pomiędzy pracownikami obu firm.
Chodzi o to, żeby np. podwykonawca wiedział kto zaprojektował dany produkt i mógł się z nim skonsultować co do ew. zmian, a w drugą stronę - żeby projektant mógł skonsultować z wykonawcą w sprawie wykonywalność poszczególnych elementów projektu. I żeby te obopólne ustalenia były gdzieś wspólnie dokumentowane.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: współdzielenie dokumentacji projektowej

To ja bym przyjął, że administratorem jest firma A, a udostępnienie danych pracowników firmy B w systemie następuje na podstawie art. 23 ust. 1 pkt 3 uodo, potem art. 6 ust. 1 lit. b RODO.
Oczywiście obowiązek informacyjny, adekwatne określenie ról w systemie, zabezpieczenia fizyczne, informatyczne, upoważnienia itp.

Uprawnienia dostępu do systemu pracownikom firmy B nadaje m.zd. firma A.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: współdzielenie dokumentacji projektowej

Myślałem raczej o udostępnieniu na podstawie art. 23 ust. 1 pkt 5 uodo (usprawiedliwiony cel realizowany przez administratora danych).

Art. 23 ust. 1 pkt 3 dotyczy stron umowy, a pracownicy nimi nie są. Oni są zatrudnieni u jednej ze stron umowy.

Moje główne wątpliwości dotyczyły kwestii, czy nie trzeba będzie tu zastosować powierzenia. Rozumiem, że nie widzisz takiej konieczności?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: współdzielenie dokumentacji projektowej

Marek P.:
Myślałem raczej o udostępnieniu na podstawie art. 23 ust. 1 pkt 5 uodo
A co zrobisz, jak Ci pracownik zgłosi swój sprzeciw?
Art. 23 ust. 1 pkt 3 dotyczy stron umowy
No właśnie. Umowy o pracę. Udostępnienie jest niezbędne do realizacji umowy o pracę.

Powierzenie nie, bo obie firmy realizują własne cele.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: współdzielenie dokumentacji projektowej

Paweł G.:
Marek P.:
Myślałem raczej o udostępnieniu na podstawie art. 23 ust. 1 pkt 5 uodo
A co zrobisz, jak Ci pracownik zgłosi swój sprzeciw?
Art. 23 ust. 1 pkt 3 dotyczy stron umowy
No właśnie. Umowy o pracę. Udostępnienie jest niezbędne do realizacji umowy o pracę.

Marek napisał, kto jest stroną umowy. Nie jest to pracownik. A firma B może powiedzieć "wała".
Powierzenie nie, bo obie firmy realizują własne cele.

Rozwiń
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: współdzielenie dokumentacji projektowej

Grzegorz K.:
Marek napisał, kto jest stroną umowy. Nie jest to pracownik.
Stroną umowy o pracę jest pracownik.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: współdzielenie dokumentacji projektowej

Uzasadniony cel mi się podoba, a jak pracownik złoży zastrzeżenie, to niestety, rozwiąże się umowę z nim. I tyle. Podobnie jak w przypadku przejścia firm na Office365, czy Google Apps. Firmy wchodzą w rozwiązania IT dostarczane przez podmioty, więc dane MUSZĄ polecieć do dostawców IT. A jak komuś się nie podoba, to sorry, ale firma raczej nie zmieni modelu biznesowego i optymalizacji kosztowej, bo Franek nie chce.

Marek - początek to porozumienie między A i B. Inaczej tego nie ruszysz.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: współdzielenie dokumentacji projektowej

Grzegorz K.:
Uzasadniony cel mi się podoba, a jak pracownik złoży zastrzeżenie, to niestety, rozwiąże się umowę z nim.
Czyli przetwarzanie jest niezbędne do realizacji umowy o pracę. Nie można robić pracownikowi złudzeń, że ma wybór.
Podobnie jak w przypadku przejścia firm na Office365, czy Google Apps.
Akurat tu jest powierzenie.Ten post został edytowany przez Autora dnia 13.05.17 o godzinie 09:05
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: współdzielenie dokumentacji projektowej

Paweł G.:
Grzegorz K.:
Marek napisał, kto jest stroną umowy. Nie jest to pracownik.
Stroną umowy o pracę jest pracownik.
Pracownik formy B jest stroną umowy z firmą A?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: współdzielenie dokumentacji projektowej

Grzegorz K.:
Stroną umowy o pracę jest pracownik.
Pracownik formy B jest stroną umowy z firmą A?
Stroną umowy z firmą B. To wystarczy jako przesłanka przetwarzania. Udostępnienie jest formą przetwarzania i jest niezbędne.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: współdzielenie dokumentacji projektowej

Komu? Firmie A????
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: współdzielenie dokumentacji projektowej

Tak.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: współdzielenie dokumentacji projektowej

A jaki dokument reguluje umowę miedzy pracownikiem firmy A a firmą B, w której to jest on oznaczany jako strona umowy?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: współdzielenie dokumentacji projektowej

Czemu chcesz to rozważać?

"jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną"

Pracownik firmy B jest stroną umowy o pracę zawartej z firmą B. Firma B kooperuje z firmą A, pracownik firmy B wyznaczony jest do kontaktów roboczych w firmą A. Tak więc udostępnienie danych identyfikacyjnych i kontaktowych pracownika firmie A wynika z istoty obowiązków służbowych pracownika. Gdyby pracownik się na to nie godził, musiałby zostać zwolniony.

W takich przypadkach nie kombinujemy z prawnie usprawiedliwionym celem, ale odważnie przyjmujemy powyższą interpretację i za przesłankę legalizującą udostępnienie uznajemy art. 23 ust. 1 pkt 3 uodo.

Masz inne zdanie, rób inaczej. Ja robię tak - i będę tak robić nadal.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Ile kosztuje przygotowanie ...




Wyślij zaproszenie do
Anuluj