Samo pojęcie i funkcjonowanie body leasingu powoduje w praktyce wiele różnych problemów, w szczególności na gruncie ochrony danych osobowych. Zarówno przedsiębiorcy korzystający z usług body leasingu, jak i przedsiębiorcy oferujący skorzystanie z usług body leasingu powinni należycie zadbać o właściwe uregulowanie kwestii bezpieczeństwa informacji w zakresie najmu kadry pracowniczej. Problematyczne jest nie tylko określenie zakresu przetwarzania danych osobowych pracowników lub współpracowników, ale również określenie zakresu dostępu do danych klienta agencji i jego odpowiednie uregulowanie w dokumentacji.
Trzy podmioty, czyli określenie pełnionych ról w świetle RODO
Body leasing jako charakterystyczna forma współpracy pomiędzy odbiorcą usługi body leasingu a przedsiębiorcą oferującym skorzystanie z formy zatrudnienia body leasing zwana może być powszechnie jako najem niezbędnej kadry pracowniczej. Jest to niezwykle popularna forma współpracy w branży informatycznej, dzięki której w szybkim czasie uzupełnione mogą być braki kadrowe o wykwalifikowanych ekspertów. A zatem, w zakresie body leasingu funkcjonować muszą trzy podmioty:
- Przedsiębiorca korzystający z usług body leasingu (odbiorca body leasingu);
- Przedsiębiorca oferujący rozwiązania w zakresie body leasingu (dostawca usługi body leasingu) oraz
- Specjaliści z wiedzą ekspercką (konsultanci).
Aby w pełni właściwie określić rolę każdej ze stron, konieczne wydaje się wzięcie pod uwagę dwóch istotnych aspektów i rozróżnienie danych osobowych w zakresie:
- danych osobowych konsultantów oraz
- danych osobowych znajdujących się w zasobach przedsiębiorcy korzystającego z rozwiązań body leasingu.
Dane osobowe oddelegowanych pracowników
Na samym wstępie należy wskazać, że to przedsiębiorca oferujący innym podmiotom rozwiązania w zakresie body leasingu (dostawca usługi body leasing) podpisuje umowę z konsultantem (umowa o pracę, umowa cywilnoprawna). A zatem to pracodawca bądź zleceniodawca jest administratorem danych osobowych konsultanta. Dane te są przetwarzane w zgodzie z przepisami o ochronie danych osobowych, w tym mając również na względzie przepisy Kodeksu pracy, czy innych ustaw, narzucających pracodawcy bądź zleceniodawcy zbieranie określonego zakresu danych. Marginalnie, warto wspomnieć o tym, iż kwestia body leasingu nie jest uregulowana w żadnych przepisach prawa. Pozostaje zatem dla pracodawców bądź zleceniodawców pewnego rodzaju furtka do gromadzenia danych osobowych, ich przetwarzania, określenia zasad retencji czy sposobów przetwarzania.
Kwestią dyskusyjną pozostaje określenie roli przedsiębiorcy korzystającego z rozwiązań body leasingu – czy występuje on w roli podmiotu przetwarzającego, czy jest może odrębnym administratorem danych konsultantów i ekspertów oddelegowanych do pracy od swojego pracodawcy bądź zleceniodawcy. Co istotne, konieczne jest również określenie zakresu danych osobowych, do jakich dostęp będzie miał odbiorca usług body leasingu.
To, co należy wziąć pod uwagę to przede wszystkim cele i sposoby przetwarzania danych osobowych ekspertów przez przedsiębiorcę korzystającego z rozwiązań body leasingu. Głównym i najbardziej istotnym celem będzie konieczność przetwarzania danych osobowych związana z realizacją powierzonych zadań i obowiązków, tj. realizacja projektu, do którego konsultant został przydzielony. Pozostają również kwestie zasad rozliczeń finansowych, pilnowania czasu wykonania zadań czy zasad bezpieczeństwa i higieny pracy.
Wskazane powyżej obowiązki mogą dotyczyć zarówno pracodawcy/zleceniodawcy, jak i przedsiębiorcy korzystającego z usług body leasingu. Dlatego też nie ma potrzeby zawierania pomiędzy przedsiębiorcami odrębnej umowy powierzenia przetwarzania danych osobowych na podstawie art. 28 RODO. Pracodawca bądź zleceniodawca, czyli podmiot oferujący rozwiązania w zakresie body leasingu ma właściwe podstawy prawne do przetwarzania danych osobowych konsultantów. Natomiast odbiorca usług body leasingu może część zebranych przez niego danych przekazywać do pracodawcy/zleceniodawcy bez regulowania tej kwestii umową powierzenia przetwarzania danych osobowych. Nastąpi tutaj sytuacja określana jako udostepnienie danych osobowych konsultantów, a podstawą prawną przetwarzania tych danych będzie albo konkretny przepis prawa albo prawnie uzasadniony interes realizowany przez administratora danych, w zależności od rodzaju podejmowanych przez podmiot czynności.
Pozostaje do wyjaśnienia ostatnia kwestia, a mianowicie udostepnienie danych osobowych od pracodawcy do odbiorcy body leasingu. Najczęstszą podstawą będzie zgoda na przetwarzanie danych i ich udostępnienie, tj. art. 6 ust. 1 lit. a RODO wyrażona przez konsultanta.
Dane osobowe znajdujące się w zasobach przedsiębiorcy korzystającego z usług body leasingu
Jeśli wiemy już, na jakich zasadach mogą być przetwarzane dane osobowe ekspertów, do wyjaśnienia pozostaje kwestia ochrony danych osobowych pozostających w zasobach odbiorcy usług body leasingu. Przy realizacji konkretnych zadań, konsultant w większości przypadków będzie miał dostęp do tego rodzaju danych – dostęp może być na tyle konieczny, że realizacja zadań i powierzonych obowiązków bez dostępu do danych nie będzie możliwa. Z tego też względu trzeba obligatoryjnie uregulować sprawy związane z ochroną danych osobowych, których administratorem i właścicielem jest odbiorca usług body leasingu.
Kluczem do udzielenia odpowiedzi na pytanie, na jakich zasadach i na jakiej podstawie ekspert otrzyma dostęp do danych osobowych odbiorcy usług body leasingu, może okazać się przeanalizowanie kilku ważnych aspektów, mianowicie:
- Korzystanie z zasobów (oddelegowany konsultant może korzystać ze sprzętu powierzonego przez pracodawcę/zleceniodawcę bądź z zasobów dostarczonych przez odbiorcę body leasingu);
- Miejsce świadczenia usług (siedziba pracodawcy/zleceniodawcy bądź siedziba odbiorcy body leasingu);
- Przestrzeganie procedur obowiązujących u danego podmiotu.
Jeśli zatem oddelegowany ekspert otrzyma od odbiorcy body leasingu sprzęt służbowy, własną stopkę mailową oraz pocztę służbową, będzie osadzony w strukturze organizacyjnej przedsiębiorcy, a także będzie świadczył usługi w siedzibie odbiorcy i dodatkowo będzie zobowiązany do przestrzegania wewnętrznych polityk i procedur, można uznać, że upoważnienie do przetwarzania danych osobowych będzie wystarczające do zabezpieczenia danych osobowych. W przeciwnym razie, gdy konsultant nie otrzymałby służbowego sprzętu od odbiorcy body leasingu, nie pracowałby w jego siedzibie, a także nie byłby zobowiązany do przestrzegania zasad obowiązujących u odbiorcy usługi, wówczas niezbędne może okazać się zawarcie umowy powierzenia przetwarzania danych osobowych. Na mocy takiej umowy odbiorca usługi body leasingu będzie pełnił rolę administratora danych osobowych, który to administrator powierzy przetwarzanie danych do pracodawcy/zleceniodawcy konsultanta. Wówczas upoważnienie do przetwarzania danych osobowych powinien wydać pracodawca/zleceniodawca.
Sam dostęp konsultanta do danych służbowych reprezentantów, pracowników, czy współpracowników odbiorcy body leasingu nie będzie generował konieczności zawarcia umowy powierzenia pomiędzy ww. podmiotami.
Podsumowanie
Body leasing może wymagać zarówno od przedsiębiorcy oferującego usługi body leasingu, jak i od odbiorcy body leasingu, przeanalizowania kilku aspektów, które ostatecznie dadzą odpowiedź, w jaki sposób właściwie uregulować kwestie body leasingu pod kątem ochrony danych osobowych. Oba podmioty będą zobowiązane do wdrożenia odpowiednich rozwiązań regulujących procesy przetwarzania danych osobowych związane z body leasingiem, jak właściwe umowy, przekazanie klauzul informacyjnych, wydanie upoważnień, czy wdrożenie środków organizacyjnych i technicznych.
