iSecure logo
Blog

Czy zawsze należy zawierać umowę powierzenia przetwarzania danych osobowych ze współpracownikiem?

Odpowiedź na pytanie, czy należy zawierać umowę powierzenia przetwarzania danych osobowych ze współpracownikiem nie jest jednoznaczna. W praktyce okazuje się, że wielu administratorów zastanawia się nad prawidłową podstawą uregulowania kwestii ochrony danych osobowych z osobami współpracującymi na podstawie umów cywilnoprawnych, w szczególności współpracowników prowadzących jednoosobowe działalności gospodarcze. Dla administratora istotne jest określnie kilku czynników, które pozwolą zdecydować, czy w konkretnym przypadku konieczne będzie zawarcie umowy powierzenia, czy wystarczające może okazać się wydanie upoważnienia do przetwarzania danych osobowych.

Co wziąć pod uwagę przy podejmowaniu decyzji o podstawie przyznania dostępu do danych?

Przede wszystkim należy zapoznać się z treścią art. 29 RODO. Wskazany przepis stanowi, iż podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora. Istotny jest również art. 32 ust. 4 RODO, zgodnie z którym administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora. Biorąc pod uwagę brzmienie wskazanych przepisów, wskazać należy, że dane osobowe powinny być przetwarzane tylko na polecenie administratora danych.

Można zatem przyjąć, że każdy administrator ma do wyboru dwa modele przekazania samozatrudnionemu dostępu do danych osobowych:

  • wydanie upoważnienia do przetwarzania danych osobowych;
  • zawarcie umowy powierzenia przetwarzania danych osobowych.

Model oparty na wydaniu upoważnienia jest niewykluczony, gdy samozatrudnionego administrator może traktować jak pracownika zatrudnionego na podstawie umowy o pracę. Aby wydanie upoważnienia było możliwe, konieczna jest realizacja kilku przesłanek, które spełnione łącznie pozwolą na przetwarzanie danych na podstawie art. 29 RODO, m.in. osoba współpracująca na podstawie umowy B2B będzie świadczyła swoje usługi tylko dla jednego podmiotu, a dodatkowo ten podmiot dostarczy całą infrastrukturę – udostępni swoje zasoby, systemy oraz sprzęt do pracy. Dodatkowo, taka osoba w praktyce traktowana jest jako osoba zatrudniona w oparciu o przepisy Kodeksu pracy – obowiązują ją zasady wdrożone u pracodawcy, tj. harmonogram czasu pracy (określone godziny pracy), dostosowanie do polityk i procedur oraz określenie nazwy stanowiska, a także uzyskanie indywidualnego adresu e-mail w domenie pracodawcy. Wydawanie upoważnień może być jednym z wielu stosowanych u administratora środków organizacyjnych, by kontrolować wszelkie procesy przetwarzania danych osobowych i dostępy do nich.

Zastosowanie zaś modelu umowy powierzenia jest możliwe, gdy osoba współpracująca na podstawie umowy B2B świadczy usługi na rzecz kilku, różnych podmiotów. Nie można też takiej osobie przypisać statusu „pracownika”, tzn. traktowana jest inaczej niż pracownik zatrudniony w oparciu o umowę o pracę (może pracować poza siedzibą pracodawcy, korzysta ze swoich rozwiązań, środków technicznych oraz sprzętu). Taka osoba nie jest stricte osadzona w strukturach organizacyjnych administratora danych – wówczas, usługodawca będzie zobligowany do zawarcia umowy powierzenia przetwarzania danych osobowych.

Największy wróg konstrukcji umowy powierzenia

W praktyce, przyjęcie przez administratora danych konstrukcji podpisywania umów powierzenia przetwarzania danych osobowych z samozatrudnionymi powoduje daleko idące konsekwencje i narzuca zarówno na usługodawcę, jak i na usługobiorcę szereg dodatkowych obowiązków niezbędnych do realizacji pod kątem RODO.

Już samo podpisywanie umów na podstawie art. 28 RODO może powodować przerzucenie na samozatrudnionych wiele obowiązków, których w praktyce nie będą w stanie móc spełnić i wykazać ich realizacji przed audytorem zewnętrznym. Umowa powierzenia przetwarzania danych osobowych może generować wobec samozatrudnionego konieczność spełnienia takich standardów, które będą niemożliwe do realizacji przez jedną osobę. Okazuje się, że takie działanie może być iluzoryczne, ponieważ jednoosobowe działalności gospodarcze rzadko mają środki i możliwości do pełnej realizacji wymagań stawianych przez przepisy RODO, jak i przez administratorów danych. A zatem, zabezpieczenia, wdrożone środki organizacyjne czy techniczne mogą być okazać się jedynie pozorne, a co za tym idzie, same stosowane sposoby zabezpieczenia nie będą gwarantowały, że przekazane do przetwarzania dane będą w pełni bezpieczne.

Kolejnym, istotnym problemem może okazać się uzyskiwanie przez administratora zgód od swoich klientów na dalsze przetwarzanie danych osobowych przez inne podmioty. Klienci administratora prawdopodobnie będą oczekiwać, że podmioty, z którymi administrator współpracuje spełniają i realizują wszelkie obowiązki wskazane w RODO, co z uwagi na powyższe stwierdzenia, może okazać się dość problematyczne.

Co na to PUODO?

Prezes Urzędu Ochrony Danych Osobowych bardzo konkretnie i zdecydowanie wypowiedział się na temat zawierania umów powierzenia w przypadku stosowania formy samozatrudnienia w Poradniku dla pracodawców wydanym w październiku 2018 r. PUODO wskazał wówczas, w jaki sposób dopuszczalne jest uzyskanie przez osoby współpracujące na zasadzie zawartych umów cywilnoprawnych dostępu do danych osobowych znajdujących się w zasobach administratora. PUODO jednoznacznie stwierdził, że uzyskanie możliwości przetwarzania danych osobowych na polecenie administratora powinno opierać się na upoważnieniu, jeśli tylko osoba samozatrudniona korzysta ze środków i rozwiązań organizacyjnych administratora oraz ściśle współpracuje z administratorem w zgodzie z jego poleceniami:

„Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego, mająca dostęp do danych osobowych, przetwarzają je wyłącznie na polecenie administratora, chyba, że inne przepisy przewidują od tego wyjątek. W razie pozostawania przez pracownika z pracodawcą w stosunku pracy, może on przetwarzać dane osobowe administrowane przez pracodawcę na podstawie udzielonego upoważnienia. W sytuacji, gdy administrator korzysta również z cywilnoprawnych form zatrudnienia (w tym także samozatrudnienia), gdzie tak zatrudnione osoby w efekcie przy przetwarzaniu danych osobowych korzystają ze środków i rozwiązań organizacyjnych administratora (np. systemów, pomieszczeń), a ponadto robią to na polecenie administratora, również należy uznać upoważnienie, jako warunek dopuszczający przetwarzanie danych. Administrator, zgodnie z zasadą rozliczalności, powinien móc udowodnić fakt udzielenia upoważnienia do przetwarzania danych. W takich sytuacjach, co do zasady nie dochodzi więc do powierzenia przetwarzania danych.”

Z powyższego wynika, że przy realizacji odpowiednich przesłanek, jak najbardziej możliwe jest przetwarzanie danych osobowych na podstawie upoważnienia bez konieczności zawierania umowy powierzenia przetwarzania danych osobowych z osobą samozatrudnioną. Co istotne, PUODO podkreślił, że dla spełnienia wszystkich obowiązków, niezbędna jest realizacja zasady rozliczalności, by w momencie ewentualnych kontroli czy audytów, administrator mógł wykazać, iż stosowana przez niego podstawa polecenia przetwarzania jest właściwa i adekwatna w konkretnym przypadku.

Podsumowanie

Każdy przypadek przyznania przez administratora dostępu do danych osobowych powinien być rozpatrywany w sposób ściśle indywidulany. Z uwagi na to, że osoby samozatrudnione często podejmują się wykonywania zleceń na rzecz innych podmiotów, korzystają ze swoich zasobów, własnego sprzętu oraz stosują indywidualne formy zabezpieczeń, konieczne może okazać się zawarcie umowy powierzenia przetwarzania danych osobowych. Administrator musi jednak liczyć się z konsekwencjami podjęcia współpracy z takim podmiotem, choćby w kontekście uzyskania zgód od swoich klientów na dalsze przetwarzanie danych przez współpracowników.

W przypadku świadczenia usług na rzecz jednego administratora, bardziej naturalną konstrukcją byłoby zastosowanie upoważnień do przetwarzania danych osobowych z zachowaniem odpowiednich, powyżej wskazanych zasad. Zastosowanie modelu z zawarciem umowy powierzenia nakłada na podmiot przetwarzający, ale również na administratora danych, szereg obowiązków wymagających realizacji zgodnie z przepisami RODO. Jednakże w części przypadków, zawarcie umowy powierzenia będzie po prostu nieuniknione i konieczne do spełnienia fundamentalnych zasad ochrony danych osobowych wskazanych w powszechnie obowiązujących przepisach prawnych.

Pobierz wpis w wersji pdf

Podobne wpisy:

Audyt RODO – czy rzeczywiście jest potrzebny i w jaki sposób go przeprowadzić?

Gdy rozmawiam z potencjalnymi klientami, często od nich słyszę, że nie chcą żadnych audytów tylko chcą być zgodni z RODO. Rzeczywiście istnieją w naszej branży podmioty, które oferują gotowe „pakiety” zgodności z RODO w postaci wzorów dokumentacji, klauzul i ogólnych zaleceń. Warto jednak zadać sobie wówczas pytanie czy otrzymując taki pakiet będziecie wiedzieli co z […]

Naruszenie ochrony danych – czym jest i jak sobie z nim poradzić?

Naruszenia ochrony danych osobowych to temat budzący niepokój wśród administratorów danych, inspektorów ochrony danych czy pracowników organizacji. Jak sobie z nimi poradzić, jakie kroki podjąć, czy formalności związane z naruszeniami są skomplikowane? Na te pytania odpowiem krótko w poniższym artykule. Zgodnie z RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego […]

Zmiany w ustawie od 7 marca 2011r.

Autonomiczne podporządkowanie Inspektora Ochrony Danych

Administrator danych osobowych, a więc podmiot, który ustala cele oraz sposoby przetwarzania danych osobowych ma obowiązek wyznaczenia Inspektora Ochrony Danych zasadniczo w trzech sytuacjach: kiedy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; gdy główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki