iSecure logo
  • pl
  • en
    • Blog

    Zmiana ustawy o Państwowej Inspekcji Pracy a RODO

    Kateryna Stryhina
    Kategorie

    Model współpracy na podstawie umów cywilnoprawnych, w tym „B2B” od lat budzi wątpliwości nie tylko na gruncie prawa pracy, ale również ochrony danych osobowych. Jednym z najczęściej pojawiających się pytań jest to, czy przy współpracy z osobą prowadzącą jednoosobową działalność gospodarczą należy zawrzeć umowę powierzenia przetwarzania danych osobowych, czy nadać jej upoważnienie.

    Dyskusja ta nabiera nowego znaczenia w kontekście podpisania przez Prezydenta nowelizacji ustawy o Państwowej Inspekcji Pracy, która istotnie zmienia sposób oceny takich relacji jak B2B.

    Czy zmiany te wpływają również na ocenę ról i obowiązków w RODO? Odpowiedź brzmi: tak – pośrednio, ale bardzo realnie.

    Zgodnie z dotychczasowym, powszechnie akceptowanym stanowiskiem Urzędu Ochrony Danych Osobowych wyrażonym w dokumencie „Ochrona danych osobowych w miejsu pracy. Poradnik dla pracodawców”: „W sytuacji, gdy administrator korzysta również z cywilnoprawnych form zatrudnienia (w tym także samozatrudnienia), gdzie osoby te przy przetwarzaniu danych osobowych korzystają ze środków i rozwiązań organizacyjnych administratora (np. systemów, pomieszczeń), a ponadto robią to na polecenie administratora, należy uznać upoważnienie jako warunek dopuszczający przetwarzanie danych. (…) W takich sytuacjach, co do zasady nie dochodzi więc do powierzenia przetwarzania danych.”

    Oznacza to, że sama umowa B2B nie przesądza o konieczności zawarcia umowy powierzenia z art. 28 RODO. Kluczowe znaczenie ma rzeczywisty model współpracy oraz stopień samodzielności współpracownika. 

    Upoważnienie czy umowa powierzenia – jak rozstrzygać? Kiedy właściwe jest upoważnienie?

    Upoważnienie do przetwarzania danych osobowych jest właściwym rozwiązaniem, jeżeli osoba współpracująca:

    • działa na polecenie administratora danych,
    • korzysta z infrastruktury administratora (sprzęt, systemy IT, procedury, polityki bezpieczeństwa),
    • nie decyduje samodzielnie o celach i sposobach przetwarzania danych,
    • realizuje zadania w ramach organizacji administratora i jej wewnętrznych reguł.

    W takim przypadku osoba samozatrudniona – mimo formalnie odrębnego statusu prawnego – funkcjonalnie działa jak „wewnętrzny wykonawca”, a nie niezależny podmiot przetwarzający.

    Kiedy możliwa jest umowa powierzenia?

    Z kolei umowa powierzenia przetwarzania danych może być zasadna, gdy osoba współpracująca:

    • zachowuje wysoki poziom samodzielności organizacyjnej,
    • samodzielnie decyduje o sposobach realizacji zadań,
    • korzysta z własnych narzędzi i zabezpieczeń,
    • może zatrudniać podwykonawców,
    • faktycznie odpowiada za sposób przetwarzania danych.

     Problem „martwych” umów powierzenia

    W praktyce bardzo często spotykanym problemem są umowy powierzenia, które istnieją wyłącznie „na papierze”.

    Zawarcie umowy powierzenia na podstawie art. 28 RODO oznacza bowiem, że podmiot przetwarzający musi samodzielnie wdrożyć i stosować odpowiednie środki techniczne i organizacyjne celem zapewnienia należytej ochrony danych osobowych. Dla osoby prowadzącej jednoosobową działalność gospodarczą bywa to:

    • faktycznie niewykonalne,
    • albo realizowane w całości przez administratora (sprzęt, dostęp do systemów, procedury).

    Efekt? Umowa zawiera obszerne zobowiązania, które nie mają pokrycia w rzeczywistości, co w razie kontroli PIP może być poważnym problemem dowodowym.

     Nowelizacja ustawy o PIP – co się zmienia?

    Dnia 02.04.2026 r. Prezydent podpisał nowelizację ustawy o Państwowej Inspekcji Pracy, jednocześnie kierując ją – w trybie kontroli następczej – do Trybunału Konstytucyjnego.

    Skierowanie ustawy do Trybunału Konstytucyjnego oznacza, że Prezydent podpisuje ustawę i zarządza jej ogłoszenie, co pozwala jej wejść w życie. Jednocześnie występuje do Trybunału Konstytucyjnego z wnioskiem o zbadanie jej zgodności z Konstytucją. Samo złożenie takiego wniosku nie wstrzymuje obowiązywania ani stosowania przepisów ustawy. Jej konsekwencje są daleko idące. Ustawa wejdzie w życie co do zasady po trzech miesiącach od ogłoszenia.

    Po wejściu w życie nowych przepisów:

    • okręgowy inspektor pracy będzie mógł samodzielnie stwierdzić istnienie stosunku pracy,
    • bez konieczności kierowania sprawy do sądu,
    • oraz wydać decyzję administracyjną o przekształceniu umowy cywilnoprawnej w umowę o pracę.

    Co istotne, o ocenie relacji decydować będzie nie tylko treść umowy, ale przede wszystkim praktyka współpracy.

    Znaczenie będą miały m.in.:

    • kto inicjował wybór formy współpracy,
    • czy pracodawca jednostronnie wyznacza czas i miejsce wykonywania pracy,
    • czy wykonawca działa w ramach wewnętrznych procedur organizacji,
    • stopień kontroli i podporządkowania.

    Ustawa wprowadza też procedurę dwuetapową:

    1. najpierw polecenie usunięcia naruszeń,
    2. a dopiero w razie ich nieusunięcia – decyzję administracyjną.

    Rygor natychmiastowej wykonalności ma dotyczyć wyłącznie osób szczególnie chronionych, m.in.:

    • kobiet w ciąży,
    • pracowników w wieku przedemerytalnym,
    • działaczy związkowych.

    To, co dla PIP może stanowić przesłankę stosunku pracy, w RODO bardzo często przemawia przeciwko zawieraniu umowy powierzenia.

    Jeżeli osoba:

    • pracuje w określonym miejscu i czasie,
    • działa według procedur organizacji,
    • podlega kontroli i poleceniom,

    trudno jednocześnie twierdzić, że jest niezależnym podmiotem przetwarzającym, który samodzielnie spełnia wymogi art. 28 RODO.

     O czym trzeba pamiętać?

    Stwierdzenie naruszeń może wiązać się z dotkliwymi konsekwencjami:

    • za zawarcie umowy cywilnoprawnej zamiast umowy o pracę grozi grzywna przewidziana w KP,
    • niewykonanie decyzji PIP o przekształceniu umowy może skutkować egzekucją administracyjną i dodatkowymi karami pieniężnymi.

    Jeśli nowelizacja zostanie podpisana, rozsądnym krokiem będzie:

    • przeprowadzenie audytu umów cywilnoprawnych i współprac B2B,
    • ocena ich rzeczywistego charakteru, a nie wyłącznie treści umów,
    • zidentyfikowanie obszarów ryzyka uznania relacji za stosunek pracy,
    • szczególna analiza współprac dotyczących osób objętych szczególną ochroną.

    W przypadku wątpliwości warto:

    • rozważyć wystąpienie o interpretację indywidualną GIP,
    • a ewentualny okres „amnestii” wykorzystać na spokojne, etapowe uporządkowanie modeli współpracy – również od strony RODO.
    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maciej Łukaszewicz

    Zawarcie i negocjacja umowy powierzenia – co i jak administrator może weryfikować u procesora?

    WSTĘP W dzisiejszym artykule zamierzamy przeanalizować praktyczne problemy występujące podczas negocjowania umów powierzenia pomiędzy procesorem a administratorem danych. W wielu umowach administrator wprost zobowiązuje procesora do udostępnienia mu wszelkich polityk bezpieczeństwa i ochrony danych osobowych, a także innej dokumentacji potwierdzającej zgodność procesora z przepisami RODO. Administrator przede wszystkim chce zabezpieczyć się pod kątem wyboru „odpowiedniego […]

    Czytaj więcej
    Jak przetwarzać dane – poradnik (cz. I)
    Agnieszka Rapcewicz

    Prewencyjny pomiar temperatury

    Pytanie o możliwość prewencyjnego pomiaru temperatury w dobie pandemii COVID-19 jest jednym z najczęściej zadawanych nam przez naszych klientów, z wielu różnych branż. Wychodząc naprzeciw tym oczekiwaniom zebraliśmy wjednym miejscu dotychczasowe przepisy i wytyczne odpowiednich organów, a następnie opatrzyliśmy je naszym komentarzem. Podsumowanie zostało przesłane do Związku Firm Ochrony Danych Osobowych (ZFODO) celem skonsultowania i przyjęcia jako wspólne stanowisko. Stanowisko iSecure w zakresie […]

    Czytaj więcej
    Daniel Taberski

    Kiedy pracodawcy wolno kserować dokumenty pracownika?

    Jednym z często powracających na gruncie przepisów o ochronie danych osobowych tematów jest kwestia tego, jakie dokumenty pracownika firma może skserować i przechowywać w aktach pracowniczych, lub innych zasobach. Przez „dokumenty” mam tu na myśli dowody osobiste, paszporty czy prawa jazdy[1], jak również dokumenty potwierdzające posiadane wykształcenie, odbyte kursy. Prawna regulacja tego zagadnienia jest niestety […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki