6.10.2018
A.J.
Zespół e-prawnik.pl
25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych.
W artykule przedstawiono kwestie związane z zatrudnieniem w oparciu o tzw. cywilnoprawne lub niepracownicze formy zatrudnienia, na które pracodawcy decydują się coraz częściej, np. gdy wymaga tego charakter wykonywanej pracy lub chcą elastyczniejszej formy kształtowania relacji pomiędzy stronami umowy.
Za niepracownicze formy zatrudnienia można uznać m.in. umowę o dzieło (art. 627 Kodeksu cywilnego), umowę zlecenia (art. 734 Kodeksu cywilnego), umowę o świadczenie usług (art. 750 Kodeksu cywilnego), a także tzw. samozatrudnienie.
Przy okazji w tym artykule przedstawiono wybrane zagadnienia dotyczące ochrony danych w związku ze świadczeniem pracy tymczasowej.

Jak można przetwarzać dane osobowe w związku z wykonywaniem zadań na podstawie umów cywilnoprawnych?
Jakie dane o osobie, która wykonuje zadania na podstawie umowy cywilnoprawnej, można zbierać?
Ze względu na mnogość możliwych form prawnych i charakteru współpracy między stronami, różny będzie zestaw danych osobowych, który jest niezbędny do zawarcia i realizacji takich umów. W odróżnieniu od pracowniczych form zatrudnienia, przepisy prawa cywilnego nie określają wprost zakresu danych, które mogą być pozyskiwane przez podmiot zatrudniający w ramach niepracowniczych form zatrudnienia.
Prawo cywilne statuuje zasadę swobody umów, która umożliwia dowolne kształtowanie treści umów, o ile nie sprzeciwia się to charakterowi i naturze stosunku zobowiązaniowego. W takiej sytuacji podmiot zatrudniający powinien dokonać analizy zakresu danych, których zebranie jest konieczne w związku z realizacją umowy oraz ciążącymi na nim obowiązkami wynikającymi z umowy (np. wypłata wynagrodzenia) lub z przepisów prawa (np. płatność składek na ubezpieczenie społeczne). Nie ma on tutaj pełnej swobody, gdyż jest on związany wymogami określonymi przez postanowienia RODO, a w szczególności musi zapewnić zgodność z zasadami ograniczenia celu oraz minimalizacji danych.
Jakie dane o przedsiębiorcy można zbierać, gdy zamierza się z nim współpracować?
Jeśli osoba fizyczna prowadząca działalność gospodarczą zawiera umowę z inną osobą prowadzącą działalność gospodarczą z prawnego punktu widzenia należy uznać, że brak jest „silniejszej” strony stosunku zobowiązaniowego. Działalność gospodarcza jest prowadzona w celu zarobkowym, ma charakter zorganizowany i jest wykonywana w imieniu własnym, na własny rachunek, zatem po jednej, jak i po drugiej stronie umowy mamy do czynienia z podmiotami profesjonalnymi.
Zgodnie zatem z zasadą swobody umów, obie strony umowy są równe i wspólnie powinny określić zakres potrzebnych im danych. Nie oznacza to jednak możliwości zupełnie dowolnego określania zakresu danych, gdyż zakres ten musi być zgodny z zasadą celowości oraz zasadą minimalizacji danych.
Jak długo można przetwarzać dane o współpracownikach wykonujących swoje zadania na podstawie umów cywilnoprawnych?
Zgodnie z zasadą ograniczenia przechowywania, dane osobowe mogą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których te dane są przetwarzane. Przy określeniu czasu przechowywania podmiot zatrudniający takich współpracowników powinien wziąć pod uwagę:
- okres trwania umowy,
- okres ewentualnego dochodzenia roszczeń związanych z umową (okres przedawnienia roszczeń),
- obowiązki wynikające z przepisów prawa.
Podstawą przetwarzania danych osobowych w związku z wykonywaniem usługi na podstawie umowy cywilnoprawnej jest niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub niezbędność do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy.
Część danych może być natomiast zbierana ze względu na ciążące obowiązki prawne (np. w związku ze zgłoszeniem do ubezpieczenia zdrowotnego - zob. obwieszczenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 29 marca 2018 r. w sprawie ogłoszenia jednolitego tekstu rozporządzenia Ministra Pracy i Polityki Społecznej w sprawie określenia wzorów zgłoszeń do ubezpieczeń społecznych i ubezpieczenia zdrowotnego, imiennych raportów miesięcznych i imiennych raportów miesięcznych korygujących, zgłoszeń płatnika, deklaracji rozliczeniowych i deklaracji rozliczeniowych korygujących, zgłoszeń danych o pracy w szczególnych warunkach lub o szczególnym charakterze oraz innych dokumentów, t.j. Dz.U. z 2018 r. poz. 804).
Zgodnie z RODO, należy poinformować osobę, z którą zamierza się nawiązać współpracę, o okolicznościach związanych z przetwarzaniem jej danych. Podmiot zatrudniający musi więc spełnić obowiązek informacyjny wobec takiej osoby. W szczególności powinien on poinformować osobę, od której bezpośrednio zbiera dane (również wtedy, gdy to ta osoba jest inicjatorem składającym ofertę), o istotnych kwestiach dotyczących tego przetwarzania (danych administratora, celu przetwarzania, okresie przechowywania itd.).
Obowiązek informacyjny może być spełniony w postaci pisemnej lub elektronicznej (np. w treści umowy, w ogłoszeniu), jak też okoliczności mogą przemawiać za ustnym poinformowaniem bądź wywieszeniem tych informacji w miejscu, gdzie bezpośrednio zbiera się dane od takich osób. Administrator danych powinien być wstanie wykazać spełnienie tego obowiązku.
W razie zbierania danych bezpośrednio od osoby, której dane dotyczą, informacje powinny być przekazane najpóźniej w momencie zbierania danych.
W praktyce należy także bardzo ostrożnie podchodzić do wyłączenia konieczności spełnienia tego obowiązku, kiedy osoba, której dane dotyczą, posiada już informacje o przetwarzaniu jej danych.
Powołanie się na powyższe wyłączenie przykładowo znajdowałoby uzasadnienie przy zawarciu drugiej tożsamej rodzajowo i zakresowo umowie.
Na jakich zasadach osoby wykonujące usługi na podstawie umów cywilnoprawnych mają dostęp do danych będących w dyspozycji ich administratora?
Jeśli chodzi o kwestię, w jakich ramach prawnych osoby fizyczne wykonujące usługi na podstawie umów cywilnoprawnych, w tym również osoby wykonujące zadania w ramach tzw. samozatrudnienia, mogą uzyskiwać dostęp do danych osobowych będących w dyspozycji podmiotu zatrudniającego te osoby w tych formach, to należy pamiętać, iż podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego, mająca dostęp do danych osobowych, przetwarzają je wyłącznie na polecenie administratora, chyba że inne przepisy przewidują od tego wyjątek.
W razie pozostawania przez pracownika z pracodawcą w stosunku pracy, może on przetwarzać dane osobowe administrowane przez pracodawcę na podstawie udzielonego upoważnienia. W sytuacji, gdy administrator korzysta również z cywilnoprawnych form zatrudnienia (w tym także samozatrudnienia), gdzie tak zatrudnione osoby w efekcie przy przetwarzaniu danych osobowych korzystają ze środków i rozwiązań organizacyjnych administratora (np. systemów, pomieszczeń), a ponadto robią to na polecenie administratora, również należy uznać upoważnienie jako warunek dopuszczający przetwarzanie danych.
Administrator, zgodnie z zasadą rozliczalności, powinien móc udowodnić fakt udzielenia upoważnienia do przetwarzania danych. W takich sytuacjach, co do zasady, nie dochodzi zatem do powierzenia przetwarzania danych.
Na jakiej podstawie przedsiębiorcy wykonujący wybrane operacje na danych osobowych na zlecenie ich administratora mają do nich dostęp?
Zazwyczaj w przypadku zlecania części operacji przetwarzania danych osobowych (gałęzi – np. danych kadrowych, płacowych) innym podmiotom, które są wyodrębnione od jednostki organizacyjnej administratora, dokonują one przetwarzania w swoich własnych systemach, przekazując administratorowi ewentualnie efekt swoich działań.
Stąd takie podmioty nie stanowią szeroko rozumianego personelu administratora, co oznacza, że przetwarzają one dane na zasadach powierzenia. Determinuje to konieczność zawarcia z nimi umowy powierzenia. Np. może to dotyczyć prowadzenia księgowości przez biuro rachunkowe, hostingu, prowadzenia rekrutacji czy działań szkoleniowych realizowanych poza strukturą pracodawcy.
Czy jest dopuszczalne przetwarzanie danych dotyczących kontrahentów, z którymi aktualnie się już nie współpracuje, ale taka współpraca może być nawiązana na nowo w przyszłości?
W przypadku posiadania przez administratora swojej bazy kontrahentów (osób fizycznych), podstawę przetwarzania ich danych w celach przyszłej współpracy należy upatrywać w udzielonej zgodzie. W razie stałej współpracy między podmiotami, można również wskazywać na niezbędność przetwarzania danych do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
Uzasadniony interes administratora powinien być z góry określony i podany do wiadomości osoby, której dane dotyczą.
Jak można przetwarzać dane osobowe pracowników tymczasowych?
Zzatrudnienie pracowników tymczasowych
Szczególną cechą zatrudnienia pracowników tymczasowych jest to, że agencja pracy tymczasowej zatrudnia pracownika na podstawie umowy o pracę na czas określony bądź umowy o pracę na czas wykonania pracy wyłącznie w celu delegowania go do pracodawcy-użytkownika, który z pracy tej korzysta i ją nadzoruje. Sytuację prawną pracowników tymczasowych regulują przepisy ustawy z dnia 9 lipca 2003 r. o zatrudnianiu pracowników tymczasowych.
Kto jest administratorem danych takiego pracownika: agencja pracy tymczasowej, czy pracodawca użytkownik?
Pracownik tymczasowy jest osobą zatrudnioną przez agencję pracy tymczasowej. W zasadzie więc administratorem danych osobowych pracowników tymczasowych jest agencja pracy tymczasowej.
Jednocześnie stosunek pracy tymczasowej wymaga, żeby agencja zawarła z pracodawcą użytkownikiem umowę powierzenia przetwarzania danych osób świadczących pracę tymczasową, która określałaby zakres oraz cel przetwarzania przez niego danych.
Jednak konieczność wykonywania przez pracodawcę-użytkownika niektórych, wymienionych w ustawie o zatrudnianiu pracowników tymczasowych, uprawnień i obowiązków pracodawcy (np. dotyczących prowadzenia ewidencji czasu pracy pracownika tymczasowego w zakresie i na zasadach obowiązujących w stosunku do jego pracowników) powoduje, że w tym zakresie będzie mu przysługiwał status administratora danych osobowych osób świadczących u niego pracę tymczasową. Pracodawca użytkownik będzie zatem administratorem danych osobowych wszystkich pracowników, w tym pracowników tymczasowych, zawartych np. w ewidencji czasu pracy. Z tego powodu to pracodawca-użytkownik, jako administrator danych, powinien uregulować kwestię dostępu do danych osobowych bezpośrednio z pracownikiem tymczasowym oraz wydać pracownikowi stosowne upoważnienie do przetwarzania danych osobowych, o ile oczywiście w ramach wykonywania powierzonych mu obowiązków służbowych ma do nich dostęp.
Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.
Podstawa prawna:
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1);
- ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000);
- ustawa z dnia 9 lipca 2003 r. o zatrudnianiu pracowników tymczasowych (t.j. Dz.U. z 2018 r., poz. 594);
- ustawa z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz.U. 1964 r., Nr 16, poz. 93, ze zm.).
Na podst. informacji UODO, uodo.gov.pl

Potrzebujesz porady prawnej?
Jak powołać inspektora ochrony danych?
Kto może, a kto ma obowiązek wyznaczenia inspektora ochrony danych? Ogólne rozporządzenie o ochronie danych (RODO), które musi być stosowane od 25 maja 2018 r., w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów (...)
Przetwarzanie danych przy rekrutacji pracowników a RODO
Jak potencjalni pracodawcy powinni przetwarzać dane osobowe kandydatów do pracy zgodnie z RODO, czyli ogólnym rozporządzeniem o ochronie danych? Jakie dane kandydatów mogą pozyskiwać i jak długo mogą je przetwarzać? Rekrutacja po nowemu 25 maja 2018 roku we wszystkich (...)
RODO w pracy - przetwarzanie danych w miejscu pracy.
Niniejszy artykuł uwzględnia zmiany wynikające z postanowień ogólnego rozporządzenia o ochronie danych (RODO) oraz nowelizacji Kodeksu pracy wprowadzonej ustawą z 10 maja 2018 r. o ochronie danych osobowych. Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony (...)
Obowiązki administratora danych osobowych
Dane osobowe każdego człowieka stanowią szczególny przedmiot ochrony prawnej. Dlatego też w regulacji rangi ustawowej ustanowiono nie tylko pojęcie danych osobowych, ale także procedury ich ochrony oraz podstawowe obowiązki administratorów danych w tym zakresie. Do (...)
Przetwarzanie danych osobowych przez sądy
Zgłaszanie naruszeń ochrony danych osobowych przez sądy UODO przygotował publikację „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”, która stanowi odpowiedź na pytanie, czy Prezes UODO jest organem właściwym do (...)
Dokumentacja przetwarzania danych osobowych według RODO
Od 25 maja 2018 r. ze względu na wejście do stosowania nowych przepisów regulujących zagadnienia ochrony danych osobowych oraz wejście w życie nowej ustawy o ochronie danych osobowych straciły moc wcześniej obowiązujące wymagania dotyczące dokumentacji przetwarzania danych (...)
Kiedy można przetwarzać dane osobowe?
25 maja 2018 r. w państwach członkowskich UE zmieniają się wymogi dotyczące przetwarzania danych osobowych. RODO to inaczej Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawieochrony osób fizycznych w związku z przetwarzaniem danych osobowych (...)
25 maja 2006 r. weszła w życie ustawa z dnia 7 kwietnia 2006 r. o informowaniu pracowników i przeprowadzaniu z nimi konsultacji. Ustawa ta określa warunki informowania pracowników i przeprowadzania z nimi konsultacji oraz zasady wyboru rady pracowników. Wdraża ona (...)
Pokrótce o RODO... Prywatność każdego człowieka musi być chroniona. 25 maja 2018 r. we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). ##baner## W omawianym rozporządzeniu ustanowione (...)
DODO - Ochrona danych osobowych przy przeciwdziałaniu przestępczości
Rada Ministrów przyjęła projekt ustawy wdrażającej unijną dyrektywę policyjną Rada Ministrów przyjęła projekt ustawy, która wprowadzi przepisy tzw. unijnej dyrektywy policyjnej (DODO). Regulacje te dotyczą przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, (...)
Na jaką ochronę mogą liczyć świadkowie koronni?
23 listopada 2006 r. wchodzi w życie rozporządzenie Rady Ministrów z dnia 18 października 2006 r. w sprawie udzielania ochrony i pomocy świadkom koronnym i innym uprawnionym osobom. Zastępuje ono dotyczczas obowiązujące rozporządzenie Rady Ministrów z dnia 30 grudnia 1998 r. w sprawie (...)
Dalsze gromadzenie danych oosobowych osób ubiegających się o zatrudnienie
Formalne objaśnienia prawne Ministra Cyfryzacji dla przedsiębiorców w kwestiach związanych z ochroną danych osobowych, zgodnie z art. 33 Prawa przedsiębiorców, mają na celu wyjaśnienie wątpliwości w zakresie możliwości gromadzenia przez pracodawców (...)
Nowa ustawa o ochronie danych osobowych!
Ustawa o ochronie danych osobowych w założeniu ma zapewnić lepszą ochronę danych osobowych. Nowe regulacje wynikają z konieczności zapewnienia w Polsce skutecznego stosowania rozporządzenia UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie (...)
Transfer danych UE-USA: ważny wyrok
Ważny wyrok Trybunału Sprawiedliwości Unii Europejskiej - wyrok TSUE ws. Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems Trybunał Sprawiedliwości Unii Europejskiej 16 lipca 2020 r. wydał wyrok w sprawie C-311/18 - Data Protection Commissioner przeciwko (...)
Europejskie Rady Zakładowe w Polsce
Dnia 5 kwietnia 2002 r. uchwalono ustawę o europejskich radach zakładowych, która to ustawa wchodzi w życie z dniem przystąpienia Polski do Unii Europejskiej. Celem jej wprowadzenia było dostosowanie prawa polskiego do prawa UE, a w szczególności do Dyrektywy nr 45/1994 z dnia 22 września 1994r. (...)
Tarcza 2.0. - rozszerzenie tarczy antykryzysowej
Rozszerzenie tarczy antykryzysowej to m.in. zwiększenie dostępności pożyczek dla mikroprzedsiębiorców, dodatkowe świadczenia postojowe, a także możliwość objęcia wsparciem przedsiębiorstw, które powstały między 1 lutego a 1 kwietnia br. – "Dzięki tym zmianom tarcza (...)
Kościoły i związki wyznaniowe muszą chronić dane osobowe
Kościoły i związki wyznaniowe nie mają pełnej autonomii przy tworzeniu swoich regulacji o ochronie danych – muszą być one dostosowane do RODO. Dlatego Prezes UODO wspiera je przy tworzeniu tych regulacji. Te związki wyznaniowe, które nie zdecydowały się na wprowadzenie (...)
Powiadomienia dotyczące inspektora ochrony danych
Powiadomienia dotyczące IOD lub jego zastępcy należy składać tylko w postaci elektronicznej Przesłanie zawiadomienia dotyczącego IOD lub zastępcy IOD w innej formie niż elektroniczna jest bezskuteczne. ##baner## Podmiot, który wyznaczył inspektora ochrony danych ma obowiązek (...)
Zgłaszanie naruszeń przez operatorów telekomunikacyjnych
Firmy telekomunikacyjne to jedne z podmiotów, które - w przypadku stwierdzenia naruszenia ochrony danych osobowych - są zobowiązane zawiadamiać o tym Prezesa Urzędu Ochrony Danych Osobowych, a czasami również osoby, których ono dotyczy. Poniżej wyjaśniono, (...)
System Informacyjny Schengen oraz System Informacji Wizowej
W związku z wejściem do strefy Schengen obowiązuje w naszym kraju ustawa o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej. Potrzeba przyjęcia takiej ustawy wynikała z członkostwa Polski w Unii Europejskiej, a w szczególności w tzw. dorobku (...)