Dane osobowe to nie karta przetargowa

W trakcie badania prawnego (due diligence) pracodawca może udostępniać kontrahentowi dane osobowe pracowników w ograniczonym zakresie. Inaczej naraża się na kary finansowe, a nawet odpowiedzialność karną.
Zawarcie znaczącej transakcji bez sprawdzenia kontrahenta to duże ryzyko. Szczególnie gdy chodzi o nabycie innego podmiotu. Kupujący coraz częściej decydują się więc przeprowadzić wcześniej jego badanie prawne.
Celem due diligence jest dokładne poznanie kondycji kupowanej spółki lub jej składników majątkowych oraz precyzyjne oszacowanie ich wartości. Nierzadko wymaga to przekazania przez sprzedającego szczegółowych informacji, w tym danych osobowych kontrahentów, klientów oraz pracowników kupowanej spółki.
Szczególne kontrowersje wzbudza możliwość przekazania sprzedającemu danych osobowych pracowników badanej spółki. Brakuje bowiem szczegółowych regulacji prawnych w tej materii. W konsekwencji przekazanie danych osobowych pracowników na ttrzeby due diligence, jako mieszczące się w definicji przetwarzania danych osobowych, zasadniczo podlega ocenie na podstawie ustawy o ochronie danych osobowych. Stąd pytanie, czy i ewentualnie w jaki sposób można to robić, aby z jednej strony zabezpieczyć interesy pracowników i nie narazić się na zarzut naruszenia przepisów o ochronie danych osobowych, a z drugiej – z sukcesem przeprowadzić zaplanowaną transakcję.

Praktyka rynkowa
W związku z brakiem bezpośredniej regulacji prawnej, praktyka rynku, która wykształciła się w zakresie przekazywania danych osobowych pracowników na potrzeby due diligence, jest bardzo różnorodna.
Dotychczas niejednokrotnie zdarzało się, że kupujący uzyskał do nich dostęp wyłącznie na podstawie ogólnej umowy o zachowaniu poufności, zawartej przez strony przy okazji planowanej transakcji. Z punktu widzenia przepisów dotyczących ochrony danych osobowych to zdecydowanie nie wystarcza. Przekazanie tych danych w sposób niezgodny z przepisami naraża zarówno sprzedającego, jak i kupującego na wiele negatywnych konsekwencji. Jedną z nich jest decyzja generalnego inspektora danych osobowych nakazująca przywrócenie stanu zgodnego z prawem. Jeśli adresat nie spełni tego obowiązku, naraża się na grzywnę w wysokości do 50 tys. Konsekwencje mogą być też natury cywilnoprawnej – jak możliwość dochodzenia przez osobę, której dane były przetwarzane nielegalnie, odszkodowania na ogólnych zasadach określonych w kodeksie cywilnym z tytułu czynów niedozwolonych lub naruszenia dóbr osobistych. Istnieje również ryzyko poniesienia odpowiedzialności karnej.

Pełna anonimizacja
Sprzedający, aby ograniczyć ryzyko, coraz częściej starają się w ogóle uniknąć przekazania danych osobowych pracowników. Dążą do tego, aby poprzestać na ujawnieniu informacji dotyczącej stanu zatrudnienia w zanonimizowanej formie (np.w postaci listy stanowisk uwzględniającej wysokość wynagrodzenia, benefitów lub nietypowych postanowień umów o pracę itd.).

Na pierwszy rzut oka takie działanie wydaje się bezpieczne. Za dane osobowe nie uważa się bowiem informacji umożliwiających określenie tożsamości danej osoby, jeśli wymagałoby to nadmiernych kosztów, czasu lub działań. Jednak nie sprawdzi się to w każdym przypadku.
Po pierwsze, może się okazać, że lista stanowisk zostanie łatwo przez kupującego rozszyfrowana – gdy np. w badanej spółce tylko jedna osoba jest zatrudniona na danym stanowisku, a informacje o pracownikach umieszczone są na stronie internetowej lub w inny sposób publicznie udostępnione. Może wówczas dojść do przetwarzania danych osobowych z naruszeniem obowiązujących przepisów.

Po drugie, coraz częściej się zdarza, że dla kupującego istotną wartością sprzedającego są niektórzy (kluczowi)lub nawet wszyscy pracownicy. Przedmiotem jego zainteresowania może być np. spółka z branży IT zatrudniająca wybitnych informatyków, ale równie dobrze kadra zarządzająca konkretną firmą. Odmowa przekazania informacji o takich pracownikach może doprowadzić do zerwania negocjacji.

Na podstawie umowy
Pewnym remedium na te zagrożenia stały się umowy o powierzeniu przetwarzania danych osobowych, zawierane na podstawie art. 31 ustawy o ochronie danych osobowych. Ich powszechność wynika głównie z ograniczonego zakresu odpowiedzialności przetwarzającego oraz mniejszego – w porównaniu z administratorem danych – zakresu obowiązków. W szczególności odpadają powinności informacyjne wobec osób, których dane są przetwarzane. A to ułatwia utrzymanie transakcji w tajemnicy, na czym jej stronom zwykle bardzo zależy.


Wiele osób zapomina jednak, że taka umowa pozwala kupującemu przetwarzać uzyskane dane osobowe wyłącznie w tych samych celach, dla których zebrał je sprzedający. Jeśli więc sprzedający przetwarza dane osobowe pracowników uzyskane do celów związanych z zatrudnieniem, nie może powierzyć ich przetwarzania kupującemu. Ten przetwarzałby je bowiem w innych celach – związanych z transakcją lub przygotowaniem działań po transakcyjnych. Zatem kupujący de facto pełniłby rolę administratora danych osobowych, a nie przetwarzającego. Rozwiązanie to budzi więc istotne wątpliwości.
Udostępnienie danych
W miarę bezpiecznym rozwiązaniem wydaje się natomiast zawarcie umowy o udostępnienie danych osobowych. Ponieważ jednak ta kwestia również nie została uregulowana, a nawet brakuje samej ustawowej definicji udostępnienia, konieczna jest tu szczególna staranność.
Przede wszystkim trzeba ocenić, czy udostępnienie danych osobowych w ogóle jest dopuszczalne (w oparciu o art. 23 ustawy o ochronie danych osobowych). Jeśli tak, to strony powinny zadbać o prawidłową konstrukcję umowy. Ma ona określać przede wszystkim: dane osobowe podlegające udostępnieniu, cel, dla którego ma to nastąpić, sposób udostępnienia (przekazania) tych danych.

Warto też zapisać procedurę określającą, co się stanie z przekazanymi kupującemu danymi osobowymi, jeśli transakcja nie dojdzie do skutku (np. powstanie obowiązek ich usunięcia).

Przepisy ustawy o ochronie danych osobowych zawierają kilka podstaw prawnych, w oparciu, o które przetwarzanie danych osobowych jest dozwolone. Gdy chodzi o ich udostępnienie na potrzeby badania prawnego, znaczenie mają dwie:
– art. 23 ust. 1 pkt 1 mówiący o udzieleniu zgody przez osobę, której dane dotyczą oraz
– art. 23 ust. 1 pkt 5 – który pozwala je przetwarzać, jeśli jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo ich odbiorców, a ich przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Za zgodą na piśmie
Pierwsze rozwiązanie wymaga, aby osoba, której dane dotyczą, swobodnie zgodziła się na ich przetwarzanie. Spełnienie tego warunku w relacjach pracodawca–pracownik (podległość służbowa, podporządkowanie) jest jednak wysoce wątpliwe. Zgoda może zostać zakwestionowana jako nieskuteczna. Rzadko jest bowiem udzielana dobrowolnie. Powoływanie się na taką zgodę może mieć sens wtedy, gdy pracownik rzeczywiście ma wolny wybór i może odwołać swoją zgodę bez jakichkolwiek negatywnych konsekwencji.

Zdarza się, że kontrahenci występują do pracowników o udzielenie takiej zgody, zawierając jednocześnie umowę o udostępnienie danych osobowych (w której jako podstawę przetwarzania wskazują usprawiedliwiony cel sprzedającego lub kupującego). Uznają to za dodatkowe zabezpieczenie. Nie jest to jednak prawidłowa praktyka. Wprowadza bowiem pracowników w błąd, sugerując, że decyzja o zgodzie lub braku zgody na przetwarzanie danych jest dla pracodawcy wiążąca.

W rzeczywistości przetwarzanie danych osobowych jest najczęściej możliwe w oparciu jedynie o przesłankę usprawiedliwionego celu sprzedającego lub kupującego (czytaj niżej). Natomiast sam proces pozyskania zgody wszystkich pracowników mógłby doprowadzić do ujawnienia informacji o planowanej transakcji, trzymanej w tajemnicy. Zatem również z biznesowego punktu widzenia uzyskanie zgody od wszystkich pracowników może się okazać nierealne lub niecelowe.

Usprawiedliwiony cel
Inną podstawą do bezpiecznego przetwarzania danych jest sytuacja, gdy jest to niezbędne do wypełnienia przez administratora danych albo odbiorcę danych prawnie usprawiedliwionych celów. Nie może to jednak prowadzić do naruszania praw i wolności osoby, której te dane dotyczą.

Musi przy tym dodatkowo wystąpić kryterium „niezbędności”. Trzeba zatem ustalić, czy zakładany skutek można osiągnąć bez przetwarzania danych osobowych. Jeśli tak, przetwarzanie danych, w oparciu o tę przesłankę jest niedozwolone. W konkretnej sytuacji udostępnienie informacji o wszystkich pracownikach może zostać zakwestionowane jako wykraczające poza kryterium niezbędności. W innej zaś przekazanie informacji o wszystkich pracownikach (w tym tzw. szeregowych) może być niezbędne do osiągnięcia prawnie usprawiedliwionych celów kupującego. Kryterium to trzeba zatem badać odrębnie w każdej sprawie.

W praktyce za dopuszczalne przyjmuje się najczęściej udostępnienie kupującemu danych osobowych, tzw. kluczowych pracowników. Tutaj kryterium „niezbędności” wydaje się spełnione. Ponadto kupujący, który po zawarciu umowy o udostępnienie danych osobowych, otrzymuje je od sprzedającego (administratora tych danych), sam staje się ich administratorem. Tym samym ciąży na nim wiele obowiązków wynikających z ustawy o ochronie danych osobowych. W szczególności musi zgłosić zbiór danych osobowych do rejestracji, zastosować środki techniczne i organizacyjne, które zapewniają odpowiednią ochronę przetwarzanych danych, a także wypełnić pewne obowiązki informacyjne w stosunku do osób, których dane będą przetwarzane (art.25 ust. 1 ustawy o ochronie danych osobowych). Kupujący musi też poinformować pracowników, których dane osobowe zostały mu udostępnione podczas badania, o celu ich zbierania oraz źródle pozyskania.

Właściwy moment
Gdy sprzedający zdecyduje się udostępnić kupującemu dane osobowe pracowników (codo zasady tych kluczowych), pojawia się pytanie, na jakim etapie transakcji może to zrobić. Ten moment nie jest prawnie uregulowany. Przyjmuje się jednak, że samo przekazanie powinno mieć miejsce na końcowym etapie transakcji, kiedy jej dojście do skutku jest wysoce prawdopodobne. W praktyce najczęściej jest to np. podpisanie umowy przedwstępnej czy wyrażenie zgody przez prezesa Urzędu Ochrony Konkurencji i Konsumentów na daną transakcję. Przekazanie kupującemu danych ma wtedy racjonalne uzasadnienie, jako spełniające kryterium niezbędności, a sama transakcja jest na tyle pewna, że ujawnienie o niej informacji nie powinno wpłynąć na jej realizację.

Najbezpieczniejszym rozwiązaniem wydaje się przekazywanie wszelkich informacji w formie zanonimizowanej. Jeśli jednak z przyczyn biznesowych jest to niemożliwe, warto się wstrzymać z udostępnieniem kupującemu danych do końcowego etapu transakcji – i to tylko jeśli chodzi o kluczowych pracowników. W stosunku do pozostałych pracowników dane powinny być co do zasady przekazane anonimowo. Niezależnie od wszystkiego każdorazowo należy badać, czy udostępnienie danych osobowych określonej osoby w danej transakcji spełnia kryterium niezbędności.