Ochrona danych osobowych zatrudnionych na podstawie umów cywilnoprawnych i pracowników tymczasowych
25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych.
W artykule przedstawiono kwestie związane z zatrudnieniem w oparciu o tzw. cywilnoprawne lub niepracownicze formy zatrudnienia, na które pracodawcy decydują się coraz częściej, np. gdy wymaga tego charakter wykonywanej pracy lub chcą elastyczniejszej formy kształtowania relacji pomiędzy stronami umowy.
Za niepracownicze formy zatrudnienia można uznać m.in. umowę o dzieło (art. 627 Kodeksu cywilnego), umowę zlecenia (art. 734 Kodeksu cywilnego), umowę o świadczenie usług (art. 750 Kodeksu cywilnego), a także tzw. samozatrudnienie.
Przy okazji w tym artykule przedstawiono wybrane zagadnienia dotyczące ochrony danych w związku ze świadczeniem pracy tymczasowej.
Jak można przetwarzać dane osobowe w związku z wykonywaniem zadań na podstawie umów cywilnoprawnych?
Jakie dane o osobie, która wykonuje zadania na podstawie umowy cywilnoprawnej, można zbierać?
Ze względu na mnogość możliwych form prawnych i charakteru współpracy między stronami, różny będzie zestaw danych osobowych, który jest niezbędny do zawarcia i realizacji takich umów. W odróżnieniu od pracowniczych form zatrudnienia, przepisy prawa cywilnego nie określają wprost zakresu danych, które mogą być pozyskiwane przez podmiot zatrudniający w ramach niepracowniczych form zatrudnienia.
Prawo cywilne statuuje zasadę swobody umów, która umożliwia dowolne kształtowanie treści umów, o ile nie sprzeciwia się to charakterowi i naturze stosunku zobowiązaniowego. W takiej sytuacji podmiot zatrudniający powinien dokonać analizy zakresu danych, których zebranie jest konieczne w związku z realizacją umowy oraz ciążącymi na nim obowiązkami wynikającymi z umowy (np. wypłata wynagrodzenia) lub z przepisów prawa (np. płatność składek na ubezpieczenie społeczne). Nie ma on tutaj pełnej swobody, gdyż jest on związany wymogami określonymi przez postanowienia RODO, a w szczególności musi zapewnić zgodność z zasadami ograniczenia celu oraz minimalizacji danych.
Jakie dane o przedsiębiorcy można zbierać, gdy zamierza się z nim współpracować?
Jeśli osoba fizyczna prowadząca działalność gospodarczą zawiera umowę z inną osobą prowadzącą działalność gospodarczą z prawnego punktu widzenia należy uznać, że brak jest „silniejszej” strony stosunku zobowiązaniowego. Działalność gospodarcza jest prowadzona w celu zarobkowym, ma charakter zorganizowany i jest wykonywana w imieniu własnym, na własny rachunek, zatem po jednej, jak i po drugiej stronie umowy mamy do czynienia z podmiotami profesjonalnymi.
Zgodnie zatem z zasadą swobody umów, obie strony umowy są równe i wspólnie powinny określić zakres potrzebnych im danych. Nie oznacza to jednak możliwości zupełnie dowolnego określania zakresu danych, gdyż zakres ten musi być zgodny z zasadą celowości oraz zasadą minimalizacji danych.
Jak długo można przetwarzać dane o współpracownikach wykonujących swoje zadania na podstawie umów cywilnoprawnych?
Zgodnie z zasadą ograniczenia przechowywania, dane osobowe mogą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których te dane są przetwarzane. Przy określeniu czasu przechowywania podmiot zatrudniający takich współpracowników powinien wziąć pod uwagę:
- okres trwania umowy,
- okres ewentualnego dochodzenia roszczeń związanych z umową (okres przedawnienia roszczeń),
- obowiązki wynikające z przepisów prawa.
Podstawą przetwarzania danych osobowych w związku z wykonywaniem usługi na podstawie umowy cywilnoprawnej jest niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub niezbędność do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy.
Część danych może być natomiast zbierana ze względu na ciążące obowiązki prawne (np. w związku ze zgłoszeniem do ubezpieczenia zdrowotnego - zob. obwieszczenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 29 marca 2018 r. w sprawie ogłoszenia jednolitego tekstu rozporządzenia Ministra Pracy i Polityki Społecznej w sprawie określenia wzorów zgłoszeń do ubezpieczeń społecznych i ubezpieczenia zdrowotnego, imiennych raportów miesięcznych i imiennych raportów miesięcznych korygujących, zgłoszeń płatnika, deklaracji rozliczeniowych i deklaracji rozliczeniowych korygujących, zgłoszeń danych o pracy w szczególnych warunkach lub o szczególnym charakterze oraz innych dokumentów, t.j. Dz.U. z 2018 r. poz. 804).
Zgodnie z RODO, należy poinformować osobę, z którą zamierza się nawiązać współpracę, o okolicznościach związanych z przetwarzaniem jej danych. Podmiot zatrudniający musi więc spełnić obowiązek informacyjny wobec takiej osoby. W szczególności powinien on poinformować osobę, od której bezpośrednio zbiera dane (również wtedy, gdy to ta osoba jest inicjatorem składającym ofertę), o istotnych kwestiach dotyczących tego przetwarzania (danych administratora, celu przetwarzania, okresie przechowywania itd.).
Obowiązek informacyjny może być spełniony w postaci pisemnej lub elektronicznej (np. w treści umowy, w ogłoszeniu), jak też okoliczności mogą przemawiać za ustnym poinformowaniem bądź wywieszeniem tych informacji w miejscu, gdzie bezpośrednio zbiera się dane od takich osób. Administrator danych powinien być wstanie wykazać spełnienie tego obowiązku.
W razie zbierania danych bezpośrednio od osoby, której dane dotyczą, informacje powinny być przekazane najpóźniej w momencie zbierania danych.
W praktyce należy także bardzo ostrożnie podchodzić do wyłączenia konieczności spełnienia tego obowiązku, kiedy osoba, której dane dotyczą, posiada już informacje o przetwarzaniu jej danych.
Powołanie się na powyższe wyłączenie przykładowo znajdowałoby uzasadnienie przy zawarciu drugiej tożsamej rodzajowo i zakresowo umowie.
Na jakich zasadach osoby wykonujące usługi na podstawie umów cywilnoprawnych mają dostęp do danych będących w dyspozycji ich administratora?
Jeśli chodzi o kwestię, w jakich ramach prawnych osoby fizyczne wykonujące usługi na podstawie umów cywilnoprawnych, w tym również osoby wykonujące zadania w ramach tzw. samozatrudnienia, mogą uzyskiwać dostęp do danych osobowych będących w dyspozycji podmiotu zatrudniającego te osoby w tych formach, to należy pamiętać, iż podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego, mająca dostęp do danych osobowych, przetwarzają je wyłącznie na polecenie administratora, chyba że inne przepisy przewidują od tego wyjątek.
W razie pozostawania przez pracownika z pracodawcą w stosunku pracy, może on przetwarzać dane osobowe administrowane przez pracodawcę na podstawie udzielonego upoważnienia. W sytuacji, gdy administrator korzysta również z cywilnoprawnych form zatrudnienia (w tym także samozatrudnienia), gdzie tak zatrudnione osoby w efekcie przy przetwarzaniu danych osobowych korzystają ze środków i rozwiązań organizacyjnych administratora (np. systemów, pomieszczeń), a ponadto robią to na polecenie administratora, również należy uznać upoważnienie jako warunek dopuszczający przetwarzanie danych.
Administrator, zgodnie z zasadą rozliczalności, powinien móc udowodnić fakt udzielenia upoważnienia do przetwarzania danych. W takich sytuacjach, co do zasady, nie dochodzi zatem do powierzenia przetwarzania danych.
Na jakiej podstawie przedsiębiorcy wykonujący wybrane operacje na danych osobowych na zlecenie ich administratora mają do nich dostęp?
Zazwyczaj w przypadku zlecania części operacji przetwarzania danych osobowych (gałęzi – np. danych kadrowych, płacowych) innym podmiotom, które są wyodrębnione od jednostki organizacyjnej administratora, dokonują one przetwarzania w swoich własnych systemach, przekazując administratorowi ewentualnie efekt swoich działań.
Stąd takie podmioty nie stanowią szeroko rozumianego personelu administratora, co oznacza, że przetwarzają one dane na zasadach powierzenia. Determinuje to konieczność zawarcia z nimi umowy powierzenia. Np. może to dotyczyć prowadzenia księgowości przez biuro rachunkowe, hostingu, prowadzenia rekrutacji czy działań szkoleniowych realizowanych poza strukturą pracodawcy.
Czy jest dopuszczalne przetwarzanie danych dotyczących kontrahentów, z którymi aktualnie się już nie współpracuje, ale taka współpraca może być nawiązana na nowo w przyszłości?
W przypadku posiadania przez administratora swojej bazy kontrahentów (osób fizycznych), podstawę przetwarzania ich danych w celach przyszłej współpracy należy upatrywać w udzielonej zgodzie. W razie stałej współpracy między podmiotami, można również wskazywać na niezbędność przetwarzania danych do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
Uzasadniony interes administratora powinien być z góry określony i podany do wiadomości osoby, której dane dotyczą.
Jak można przetwarzać dane osobowe pracowników tymczasowych?
Zzatrudnienie pracowników tymczasowych
Szczególną cechą zatrudnienia pracowników tymczasowych jest to, że agencja pracy tymczasowej zatrudnia pracownika na podstawie umowy o pracę na czas określony bądź umowy o pracę na czas wykonania pracy wyłącznie w celu delegowania go do pracodawcy-użytkownika, który z pracy tej korzysta i ją nadzoruje. Sytuację prawną pracowników tymczasowych regulują przepisy ustawy z dnia 9 lipca 2003 r. o zatrudnianiu pracowników tymczasowych.
Kto jest administratorem danych takiego pracownika: agencja pracy tymczasowej, czy pracodawca użytkownik?
Pracownik tymczasowy jest osobą zatrudnioną przez agencję pracy tymczasowej. W zasadzie więc administratorem danych osobowych pracowników tymczasowych jest agencja pracy tymczasowej.
Jednocześnie stosunek pracy tymczasowej wymaga, żeby agencja zawarła z pracodawcą użytkownikiem umowę powierzenia przetwarzania danych osób świadczących pracę tymczasową, która określałaby zakres oraz cel przetwarzania przez niego danych.
Jednak konieczność wykonywania przez pracodawcę-użytkownika niektórych, wymienionych w ustawie o zatrudnianiu pracowników tymczasowych, uprawnień i obowiązków pracodawcy (np. dotyczących prowadzenia ewidencji czasu pracy pracownika tymczasowego w zakresie i na zasadach obowiązujących w stosunku do jego pracowników) powoduje, że w tym zakresie będzie mu przysługiwał status administratora danych osobowych osób świadczących u niego pracę tymczasową. Pracodawca użytkownik będzie zatem administratorem danych osobowych wszystkich pracowników, w tym pracowników tymczasowych, zawartych np. w ewidencji czasu pracy. Z tego powodu to pracodawca-użytkownik, jako administrator danych, powinien uregulować kwestię dostępu do danych osobowych bezpośrednio z pracownikiem tymczasowym oraz wydać pracownikowi stosowne upoważnienie do przetwarzania danych osobowych, o ile oczywiście w ramach wykonywania powierzonych mu obowiązków służbowych ma do nich dostęp.
Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.
Podstawa prawna:
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1);
- ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000);
- ustawa z dnia 9 lipca 2003 r. o zatrudnianiu pracowników tymczasowych (t.j. Dz.U. z 2018 r., poz. 594);
- ustawa z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz.U. 1964 r., Nr 16, poz. 93, ze zm.).
Na podst. informacji UODO, uodo.gov.pl
Skomentuj artykuł - Twoje zdanie jest ważne
Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?