iSecure logo
Blog

Body leasing a zgodność z RODO

Kategorie

Samo pojęcie i funkcjonowanie body leasingu powoduje w praktyce wiele różnych problemów, w szczególności na gruncie ochrony danych osobowych. Zarówno przedsiębiorcy korzystający z usług body leasingu, jak i przedsiębiorcy oferujący skorzystanie z usług body leasingu powinni należycie zadbać o właściwe uregulowanie kwestii bezpieczeństwa informacji w zakresie najmu kadry pracowniczej. Problematyczne jest nie tylko określenie zakresu przetwarzania danych osobowych pracowników lub współpracowników, ale również określenie zakresu dostępu do danych klienta agencji i jego odpowiednie uregulowanie w dokumentacji.

Trzy podmioty, czyli określenie pełnionych ról w świetle RODO

Body leasing jako charakterystyczna forma współpracy pomiędzy odbiorcą usługi body leasingu a przedsiębiorcą oferującym skorzystanie z formy zatrudnienia body leasing zwana może być powszechnie jako najem niezbędnej kadry pracowniczej. Jest to niezwykle popularna forma współpracy w branży informatycznej, dzięki której w szybkim czasie uzupełnione mogą być braki kadrowe o wykwalifikowanych ekspertów. A zatem, w zakresie body leasingu funkcjonować muszą trzy podmioty:

  • Przedsiębiorca korzystający z usług body leasingu (odbiorca body leasingu);
  • Przedsiębiorca oferujący rozwiązania w zakresie body leasingu (dostawca usługi body leasingu) oraz
  • Specjaliści z wiedzą ekspercką (konsultanci).

Aby w pełni właściwie określić rolę każdej ze stron, konieczne wydaje się wzięcie pod uwagę dwóch istotnych aspektów i rozróżnienie danych osobowych w zakresie:

  • danych osobowych konsultantów oraz
  • danych osobowych znajdujących się w zasobach przedsiębiorcy korzystającego z rozwiązań body leasingu.

Dane osobowe oddelegowanych pracowników

Na samym wstępie należy wskazać, że to przedsiębiorca oferujący innym podmiotom rozwiązania w zakresie body leasingu (dostawca usługi body leasing) podpisuje umowę z konsultantem (umowa o pracę, umowa cywilnoprawna). A zatem to pracodawca bądź zleceniodawca jest administratorem danych osobowych konsultanta. Dane te są przetwarzane w zgodzie z przepisami o ochronie danych osobowych, w tym mając również na względzie przepisy Kodeksu pracy, czy innych ustaw, narzucających pracodawcy bądź zleceniodawcy zbieranie określonego zakresu danych. Marginalnie, warto wspomnieć o tym, iż kwestia body leasingu nie jest uregulowana w żadnych przepisach prawa. Pozostaje zatem dla pracodawców bądź zleceniodawców pewnego rodzaju furtka do gromadzenia danych osobowych, ich przetwarzania, określenia zasad retencji czy sposobów przetwarzania.

Kwestią dyskusyjną pozostaje określenie roli przedsiębiorcy korzystającego z rozwiązań body leasingu – czy występuje on w roli podmiotu przetwarzającego, czy jest może odrębnym administratorem danych konsultantów i ekspertów oddelegowanych do pracy od swojego pracodawcy bądź zleceniodawcy. Co istotne, konieczne jest również określenie zakresu danych osobowych, do jakich dostęp będzie miał odbiorca usług body leasingu.

To, co należy wziąć pod uwagę to przede wszystkim cele i sposoby przetwarzania danych osobowych ekspertów przez przedsiębiorcę korzystającego z rozwiązań body leasingu. Głównym i najbardziej istotnym celem będzie konieczność przetwarzania danych osobowych związana z realizacją powierzonych zadań i obowiązków, tj. realizacja projektu, do którego konsultant został przydzielony. Pozostają również kwestie zasad rozliczeń finansowych, pilnowania czasu wykonania zadań czy zasad bezpieczeństwa i higieny pracy.

Wskazane powyżej obowiązki mogą dotyczyć zarówno pracodawcy/zleceniodawcy, jak i przedsiębiorcy korzystającego z usług body leasingu. Dlatego też nie ma potrzeby zawierania pomiędzy przedsiębiorcami odrębnej umowy powierzenia przetwarzania danych osobowych na podstawie art. 28 RODO. Pracodawca bądź zleceniodawca, czyli podmiot oferujący rozwiązania w zakresie body leasingu ma właściwe podstawy prawne do przetwarzania danych osobowych konsultantów. Natomiast odbiorca usług body leasingu może część zebranych przez niego danych przekazywać do pracodawcy/zleceniodawcy bez regulowania tej kwestii umową powierzenia przetwarzania danych osobowych. Nastąpi tutaj sytuacja określana jako udostepnienie danych osobowych konsultantów, a podstawą prawną przetwarzania tych danych będzie albo konkretny przepis prawa albo prawnie uzasadniony interes realizowany przez administratora danych, w zależności od rodzaju podejmowanych przez podmiot czynności.

Pozostaje do wyjaśnienia ostatnia kwestia, a mianowicie udostepnienie danych osobowych od pracodawcy do odbiorcy body leasingu. Najczęstszą podstawą będzie zgoda na przetwarzanie danych i ich udostępnienie, tj. art. 6 ust. 1 lit. a RODO wyrażona przez konsultanta.

Dane osobowe znajdujące się w zasobach przedsiębiorcy korzystającego z usług body leasingu

Jeśli wiemy już, na jakich zasadach mogą być przetwarzane dane osobowe ekspertów, do wyjaśnienia pozostaje kwestia ochrony danych osobowych pozostających w zasobach odbiorcy usług body leasingu. Przy realizacji konkretnych zadań, konsultant w większości przypadków będzie miał dostęp do tego rodzaju danych – dostęp może być na tyle konieczny, że realizacja zadań i powierzonych obowiązków bez dostępu do danych nie będzie możliwa. Z tego też względu trzeba obligatoryjnie uregulować sprawy związane z ochroną danych osobowych, których administratorem i właścicielem jest odbiorca usług body leasingu.

Kluczem do udzielenia odpowiedzi na pytanie, na jakich zasadach i na jakiej podstawie ekspert otrzyma dostęp do danych osobowych odbiorcy usług body leasingu, może okazać się przeanalizowanie kilku ważnych aspektów, mianowicie:

  • Korzystanie z zasobów (oddelegowany konsultant może korzystać ze sprzętu powierzonego przez pracodawcę/zleceniodawcę bądź z zasobów dostarczonych przez odbiorcę body leasingu);
  • Miejsce świadczenia usług (siedziba pracodawcy/zleceniodawcy bądź siedziba odbiorcy body leasingu);
  • Przestrzeganie procedur obowiązujących u danego podmiotu.

Jeśli zatem oddelegowany ekspert otrzyma od odbiorcy body leasingu sprzęt służbowy, własną stopkę mailową oraz pocztę służbową, będzie osadzony w strukturze organizacyjnej przedsiębiorcy, a także będzie świadczył usługi w siedzibie odbiorcy i dodatkowo będzie zobowiązany do przestrzegania wewnętrznych polityk i procedur, można uznać, że upoważnienie do przetwarzania danych osobowych będzie wystarczające do zabezpieczenia danych osobowych. W przeciwnym razie, gdy konsultant nie otrzymałby służbowego sprzętu od odbiorcy body leasingu, nie pracowałby w jego siedzibie, a także nie byłby zobowiązany do przestrzegania zasad obowiązujących u odbiorcy usługi, wówczas niezbędne może okazać się zawarcie umowy powierzenia przetwarzania danych osobowych. Na mocy takiej umowy odbiorca usługi body leasingu będzie pełnił rolę administratora danych osobowych, który to administrator powierzy przetwarzanie danych do pracodawcy/zleceniodawcy konsultanta. Wówczas upoważnienie do przetwarzania danych osobowych powinien wydać pracodawca/zleceniodawca.

Sam dostęp konsultanta do danych służbowych reprezentantów, pracowników, czy współpracowników odbiorcy body leasingu nie będzie generował konieczności zawarcia umowy powierzenia pomiędzy ww. podmiotami.

Podsumowanie

Body leasing może wymagać zarówno od przedsiębiorcy oferującego usługi body leasingu, jak i od odbiorcy body leasingu, przeanalizowania kilku aspektów, które ostatecznie dadzą odpowiedź, w jaki sposób właściwie uregulować kwestie body leasingu pod kątem ochrony danych osobowych. Oba podmioty będą zobowiązane do wdrożenia odpowiednich rozwiązań regulujących procesy przetwarzania danych osobowych związane z body leasingiem, jak właściwe umowy, przekazanie klauzul informacyjnych, wydanie upoważnień, czy wdrożenie środków organizacyjnych i technicznych.

Pobierz wpis w wersji pdf

Podobne wpisy:

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

Zmiany w wykazie operacji wymagających DPIA

Autor tekstu: Aleksandra Eluszkiewicz Co się zmienia? W czerwcu Prezes Urzędu Ochrony Danych Osobowych wydał komunikat dotyczący zmian w wykazie operacji przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA). Zmieniony wykaz znajduje się w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r., który został ogłoszony w dniu […]

Zgoda na przetwarzanie danych osobowych

Zarządzanie danymi przetwarzanymi w oparciu o zgodę

W Działach Marketingu bardzo często podstawą prawną przetwarzania danych osobowych jest właśnie zgoda. Oczywistym jest, że zbierana zgoda musi być udowodniona (w szczególności – kto, kiedy, jaką zgodę wyrażał). Czasami też potrzebujesz kilku zgód marketingowych (np. na własny marketing elektroniczny lub na udostępnienie danych partnerowi, aby mógł samodzielnie realizować kampanie e-mailowe). Trzeba liczyć się z […]

Rejestr czynności przetwarzania danych osobowych – w jaki sposób go prowadzić?

Rejestr czynności przetwarzania (RCP) to podstawowe narzędzie wspierające administratorów, pozwalające usystematyzować wykonywane czynności przetwarzania danych osobowych i pomagające wykazać przestrzeganie zasady rozliczalności. Jaki jest cel prowadzenia rejestru? Motyw 82 RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru: zachowanie przez administratora zgodności z RODO; umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania. Prowadzony przez administratorów RCP pozwala im […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki