iSecure logo
  • pl
  • en
    • Blog

    Zmiana ustawy o Państwowej Inspekcji Pracy a RODO

    Kateryna Stryhina
    Kategorie

    Model współpracy na podstawie umów cywilnoprawnych, w tym „B2B” od lat budzi wątpliwości nie tylko na gruncie prawa pracy, ale również ochrony danych osobowych. Jednym z najczęściej pojawiających się pytań jest to, czy przy współpracy z osobą prowadzącą jednoosobową działalność gospodarczą należy zawrzeć umowę powierzenia przetwarzania danych osobowych, czy nadać jej upoważnienie.

    Dyskusja ta nabiera nowego znaczenia w kontekście podpisania przez Prezydenta nowelizacji ustawy o Państwowej Inspekcji Pracy, która istotnie zmienia sposób oceny takich relacji jak B2B.

    Czy zmiany te wpływają również na ocenę ról i obowiązków w RODO? Odpowiedź brzmi: tak – pośrednio, ale bardzo realnie.

    Zgodnie z dotychczasowym, powszechnie akceptowanym stanowiskiem Urzędu Ochrony Danych Osobowych wyrażonym w dokumencie „Ochrona danych osobowych w miejsu pracy. Poradnik dla pracodawców”: „W sytuacji, gdy administrator korzysta również z cywilnoprawnych form zatrudnienia (w tym także samozatrudnienia), gdzie osoby te przy przetwarzaniu danych osobowych korzystają ze środków i rozwiązań organizacyjnych administratora (np. systemów, pomieszczeń), a ponadto robią to na polecenie administratora, należy uznać upoważnienie jako warunek dopuszczający przetwarzanie danych. (…) W takich sytuacjach, co do zasady nie dochodzi więc do powierzenia przetwarzania danych.”

    Oznacza to, że sama umowa B2B nie przesądza o konieczności zawarcia umowy powierzenia z art. 28 RODO. Kluczowe znaczenie ma rzeczywisty model współpracy oraz stopień samodzielności współpracownika. 

    Upoważnienie czy umowa powierzenia – jak rozstrzygać? Kiedy właściwe jest upoważnienie?

    Upoważnienie do przetwarzania danych osobowych jest właściwym rozwiązaniem, jeżeli osoba współpracująca:

    • działa na polecenie administratora danych,
    • korzysta z infrastruktury administratora (sprzęt, systemy IT, procedury, polityki bezpieczeństwa),
    • nie decyduje samodzielnie o celach i sposobach przetwarzania danych,
    • realizuje zadania w ramach organizacji administratora i jej wewnętrznych reguł.

    W takim przypadku osoba samozatrudniona – mimo formalnie odrębnego statusu prawnego – funkcjonalnie działa jak „wewnętrzny wykonawca”, a nie niezależny podmiot przetwarzający.

    Kiedy możliwa jest umowa powierzenia?

    Z kolei umowa powierzenia przetwarzania danych może być zasadna, gdy osoba współpracująca:

    • zachowuje wysoki poziom samodzielności organizacyjnej,
    • samodzielnie decyduje o sposobach realizacji zadań,
    • korzysta z własnych narzędzi i zabezpieczeń,
    • może zatrudniać podwykonawców,
    • faktycznie odpowiada za sposób przetwarzania danych.

     Problem „martwych” umów powierzenia

    W praktyce bardzo często spotykanym problemem są umowy powierzenia, które istnieją wyłącznie „na papierze”.

    Zawarcie umowy powierzenia na podstawie art. 28 RODO oznacza bowiem, że podmiot przetwarzający musi samodzielnie wdrożyć i stosować odpowiednie środki techniczne i organizacyjne celem zapewnienia należytej ochrony danych osobowych. Dla osoby prowadzącej jednoosobową działalność gospodarczą bywa to:

    • faktycznie niewykonalne,
    • albo realizowane w całości przez administratora (sprzęt, dostęp do systemów, procedury).

    Efekt? Umowa zawiera obszerne zobowiązania, które nie mają pokrycia w rzeczywistości, co w razie kontroli PIP może być poważnym problemem dowodowym.

     Nowelizacja ustawy o PIP – co się zmienia?

    Dnia 02.04.2026 r. Prezydent podpisał nowelizację ustawy o Państwowej Inspekcji Pracy, jednocześnie kierując ją – w trybie kontroli następczej – do Trybunału Konstytucyjnego.

    Skierowanie ustawy do Trybunału Konstytucyjnego oznacza, że Prezydent podpisuje ustawę i zarządza jej ogłoszenie, co pozwala jej wejść w życie. Jednocześnie występuje do Trybunału Konstytucyjnego z wnioskiem o zbadanie jej zgodności z Konstytucją. Samo złożenie takiego wniosku nie wstrzymuje obowiązywania ani stosowania przepisów ustawy. Jej konsekwencje są daleko idące. Ustawa wejdzie w życie co do zasady po trzech miesiącach od ogłoszenia.

    Po wejściu w życie nowych przepisów:

    • okręgowy inspektor pracy będzie mógł samodzielnie stwierdzić istnienie stosunku pracy,
    • bez konieczności kierowania sprawy do sądu,
    • oraz wydać decyzję administracyjną o przekształceniu umowy cywilnoprawnej w umowę o pracę.

    Co istotne, o ocenie relacji decydować będzie nie tylko treść umowy, ale przede wszystkim praktyka współpracy.

    Znaczenie będą miały m.in.:

    • kto inicjował wybór formy współpracy,
    • czy pracodawca jednostronnie wyznacza czas i miejsce wykonywania pracy,
    • czy wykonawca działa w ramach wewnętrznych procedur organizacji,
    • stopień kontroli i podporządkowania.

    Ustawa wprowadza też procedurę dwuetapową:

    1. najpierw polecenie usunięcia naruszeń,
    2. a dopiero w razie ich nieusunięcia – decyzję administracyjną.

    Rygor natychmiastowej wykonalności ma dotyczyć wyłącznie osób szczególnie chronionych, m.in.:

    • kobiet w ciąży,
    • pracowników w wieku przedemerytalnym,
    • działaczy związkowych.

    To, co dla PIP może stanowić przesłankę stosunku pracy, w RODO bardzo często przemawia przeciwko zawieraniu umowy powierzenia.

    Jeżeli osoba:

    • pracuje w określonym miejscu i czasie,
    • działa według procedur organizacji,
    • podlega kontroli i poleceniom,

    trudno jednocześnie twierdzić, że jest niezależnym podmiotem przetwarzającym, który samodzielnie spełnia wymogi art. 28 RODO.

     O czym trzeba pamiętać?

    Stwierdzenie naruszeń może wiązać się z dotkliwymi konsekwencjami:

    • za zawarcie umowy cywilnoprawnej zamiast umowy o pracę grozi grzywna przewidziana w KP,
    • niewykonanie decyzji PIP o przekształceniu umowy może skutkować egzekucją administracyjną i dodatkowymi karami pieniężnymi.

    Jeśli nowelizacja zostanie podpisana, rozsądnym krokiem będzie:

    • przeprowadzenie audytu umów cywilnoprawnych i współprac B2B,
    • ocena ich rzeczywistego charakteru, a nie wyłącznie treści umów,
    • zidentyfikowanie obszarów ryzyka uznania relacji za stosunek pracy,
    • szczególna analiza współprac dotyczących osób objętych szczególną ochroną.

    W przypadku wątpliwości warto:

    • rozważyć wystąpienie o interpretację indywidualną GIP,
    • a ewentualny okres „amnestii” wykorzystać na spokojne, etapowe uporządkowanie modeli współpracy – również od strony RODO.
    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Olga Skotnicka

    Zgłoszenie Inspektora Ochrony Danych

    Na wstępie, przypomnijmy sobie kim jest Inspektor Ochrony Danych i kiedy mamy obowiązek jego powołania. Otóż Inspektor Ochrony Danych (dalej zwany IOD) zastąpił na mocy RODO – Administratora Bezpieczeństwa Informacji, czyli ABI. IOD to niewątpliwie osoba wspierająca administratora w realizacji obowiązków dotyczących ochrony danych osobowych. Czy każda organizacja powinna wyznaczyć IOD? Czy RODO zawsze wymaga powołania […]

    Czytaj więcej
    Agnieszka Rapcewicz

    Prywatne dane kontaktowe pracownika – na jakich zasadach można je przetwarzać

    Dzisiaj bierzemy na warsztat temat przetwarzania prywatnych danych kontaktowych pracownika, czyli w szczególności jego prywatnego numeru telefonu i adresu e-mail. Na pierwszy rzut oka mogłoby się wydawać, że nie ma o czym mówić. Możliwe, że sporo pracodawców przetwarza na co dzień takie informacje – przecież nasz pracownik, jeszcze na etapie rekrutacji przekazał swoje dane kontaktowe, […]

    Czytaj więcej
    Anna Szafranko

    Dzień z życia IOD-y – fabularyzowany opis obsługi incydentu – wszelkie podobieństwa do osób/klientów/niepotrzebne skreślić przypadkowe ;-)

    I znowu mamy poniedziałek. W dodatku poniedziałek po długim weekendzie. Bajka…. Już z samego rana wszystkim IOD towarzyszy myśl, czy będzie to bajka, w której będzie nam towarzyszyć armia dobrych wróżek oraz krasnoludków (wiadomo – im większy zespół, tym więcej rąk do pracy), czy raczej zjawi się zła królowa, chcąca wcisnąć nam zatrute jabłko. Najważniejsze […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki