RODO nie różnicuje ochrony danych osobowych w związku z rodzajem stosunku prawnego leżącego u podstaw zatrudnienia. Tym samym do zatrudnionych na podstawie umów cywilnoprawnych należy stosować takie same zasady jak do wszystkich osób fizycznych, w tym do osób zatrudnionych w oparciu o umowy o pracę - zwraca uwagę radca prawny Konrad Bojara, współautor książki RODO. Ochrona danych osobowych w zatrudnieniu ze wzorami >>

Żeby ułatwić zatrudniającym stosowanie sprzepisów, Urząd Ochrony Danych Osobowych przygotował poradnik, który wskazuje, jak przetwarzać dane osobowe zarówno podczas rekrutacji, jak i w ciągu całego okresu zatrudnienia. Nie ogranicza się on jedynie do zatrudnienia na podstawie stosunku pracy. Traktuje również o innych, coraz popularniejszych formach zatrudniania, jak np. umowy cywilnoprawne.

 

RODO. Ochrona danych osobowych w zatrudnieniu ze wzorami

Małgorzata Mędrala

Sprawdź  

Jakie dane o osobie, która wykonuje zadania na podstawie umowy cywilnoprawnej, można zbierać?

UODO wyjaśnia, że ze względu na mnogość możliwych form prawnych i charakteru współpracy między stronami, różny będzie zestaw danych osobowych, który jest niezbędny do zawarcia i realizacji takich umów. W odróżnieniu od pracowniczych form zatrudnienia, przepisy prawa cywilnego nie określają wprost zakresu danych, które mogą być pozyskiwane przez podmiot zatrudniający w ramach niepracowniczych form zatrudnienia.

Prawo cywilne statuuje zasadę swobody umów, która umożliwia dowolne kształtowanie treści umów, o ile nie sprzeciwia się to charakterowi i naturze stosunku zobowiązaniowego. W takiej sytuacji podmiot zatrudniający powinien dokonać analizy zakresu danych, których zebranie jest konieczne w związku z realizacją umowy i ciążącymi na nim obowiązkami wynikającymi z umowy (np. wypłata wynagrodzenia) lub z przepisów prawa (np. płatność składek na ubezpieczenie społeczne).  Nie ma on tutaj pełnej swobody, gdyż jest on związany wymogami określonymi przez postanowienia RODO, a w szczególności musi zapewnić zgodność z zasadami ograniczenia celu oraz minimalizacji danych. 

 

Jakie dane o przedsiębiorcy można zbierać, gdy zamierza się z nim współpracować?

Jeżeli osoba fizyczna prowadząca działalność gospodarczą zawiera umowę z inną osobą prowadzącą działalność gospodarczą z prawnego punktu widzenia należy uznać, że brak jest „silniejszej” strony stosunku zobowiązaniowego. Działalność gospodarcza jest prowadzona w celu zarobkowym, ma charakter zorganizowany i jest wykonywana w imieniu własnym, na własny rachunek, zatem po jednej, jak i po drugiej stronie umowy mamy do czynienia z podmiotami profesjonalnymi. Zgodnie zatem z zasadą swobody umów, obie strony umowy są równe i wspólnie powinny określić zakres potrzebnych im danych. Nie oznacza to jednak możliwości zupełnie dowolnego określania zakresu danych, gdyż zakres ten musi być zgodny z zasadą celowości oraz zasadą minimalizacji danych. 

Czytaj też: Poradnik RODO pomoże pracodawcom chronić dane osobowe >

Jak długo można przetwarzać dane o współpracownikach wykonujących swoje zadania na podstawie umów cywilnoprawnych?

Zgodnie z zasadą ograniczenia przechowywania, dane osobowe mogą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których te dane są przetwarzane.

Przy określeniu czasu przechowywania podmiot zatrudniający takich współpracowników powinien wziąć pod uwagę:

  • okres trwania umowy,
  • okres ewentualnego dochodzenia roszczeń związanych z umową (okres przedawnienia roszczeń),
  • obowiązki wynikające z przepisów prawa. 

Podstawą przetwarzania danych osobowych w związku z wykonywaniem usługi na podstawie umowy cywilnoprawnej jest niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub niezbędność do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy. Część danych może być natomiast zbierana ze względu na ciążące obowiązki prawne (np. w związku ze zgłoszeniem do ubezpieczenia zdrowotnego).

Czytaj też: Co z CV po zakończeniu rekrutacji? UODO radzi, prawnicy ostrzegają >

Czy należy poinformować osobę, z którą zamierza się nawiązać współpracę o okolicznościach związanych z przetwarzaniem jej danych?

Tak. Podmiot zatrudniający musi spełnić obowiązek informacyjny wobec takiej osoby zgodnie z RODO. W szczególności powinien on poinformować osobę, od której bezpośrednio zbiera dane (również wtedy, gdy to ta osoba jest inicjatorem składającym ofertę) o istotnych kwestiach dotyczących tego przetwarzania (danych administratora, celu przetwarzania, okresie przechowywania itd.).

Obowiązek informacyjny może być spełniony w postaci pisemnej lub elektronicznej (np. w treści umowy, w ogłoszeniu), jak również okoliczności mogą przemawiać za ustnym poinformowaniem lub wywieszeniem tych informacji w miejscu, gdzie bezpośrednio zbiera się dane od takich osób. Administrator danych powinien być wstanie wykazać spełnienie tego obowiązku.

Należy podkreślić, że  w razie zbierania danych bezpośrednio od osoby, której dane dotyczą, informacje powinny być przekazane najpóźniej w momencie zbierania danych. W praktyce należy też bardzo ostrożnie podchodzić do wyłączenia konieczności spełnienia tego obowiązku, gdy osoba, której dane dotyczą, posiada już informacje o przetwarzaniu jej danych. Powołanie się na ww. wyłączenie dla przykładu znajdowałoby uzasadnienie przy zawarciu drugiej tożsamej rodzajowo i zakresowo umowie.

Czytaj też: UODO rusza na kontrole monitoringu >

Czy, a jeśli tak, to, na jakich zasadach osoby wykonujące usługi na podstawie umów cywilnoprawnych mają dostęp do danych będących w dyspozycji ich administratora?

Często rodzi się pytanie, w jakich ramach prawnych osoby fizyczne wykonujące usługi na podstawie umów cywilnoprawnych, w tym również osoby wykonujące zadania w ramach tzw. samozatrudnienia, mogą uzyskiwać dostęp do danych osobowych będących w dyspozycji podmiotu zatrudniającego te osoby w tych formach.

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego, mająca dostęp do danych osobowych, przetwarzają je wyłącznie na polecenie administratora, chyba, że inne przepisy przewidują od tego wyjątek. W razie pozostawania przez pracownika z pracodawcą w stosunku pracy, może on przetwarzać dane osobowe administrowane przez pracodawcę na podstawie udzielonego upoważnienia. W sytuacji, gdy administrator korzysta również z cywilnoprawnych form zatrudnienia (w tym także samozatrudnienia), gdzie tak zatrudnione osoby w efekcie przy przetwarzaniu danych osobowych korzystają ze środków i rozwiązań organizacyjnych administratora (np. systemów, pomieszczeń), a ponadto robią to na polecenie administratora, również należy uznać upoważnienie, jako warunek dopuszczający przetwarzanie danych. Administrator, zgodnie z zasadą rozliczalności, powinien móc udowodnić fakt udzielenia upoważnienia do przetwarzania danych.  W takich sytuacjach, co do zasady nie dochodzi więc do powierzenia przetwarzania danych.

Czytaj też: Firma nie zdradzi ZUS numeru telefonu pracownika >

Na jakiej podstawie przedsiębiorcy wykonujący wybrane operacje na danych osobowych na zlecenie ich administratora mają do nich dostęp?

W sytuacji typowego zlecania części operacji przetwarzania danych osobowych (gałęzi – np. danych kadrowych, płacowych) innym podmiotom, które są wyodrębnione od jednostki organizacyjnej administratora, dokonują one przetwarzania w swoich własnych systemach, przekazując administratorowi ewentualnie efekt swoich działań. Jak wyjaśnia UODO, takie podmioty nie stanowią szeroko rozumianego personelu administratora, co oznacza, iż przetwarzają one dane na zasadach powierzenia. Determinuje to konieczność zawarcia z nimi umowy powierzenia. Dla przykładu może to dotyczyć prowadzenia księgowości przez biuro rachunkowe, hostingu, czy prowadzenia rekrutacji czy działań szkoleniowych realizowanych poza strukturą pracodawcy.

Czy jest dopuszczalne przetwarzanie danych dotyczących kontrahentów, z którymi aktualnie się już nie współpracuje, lecz taka współpraca może być nawiązana na nowo w przyszłości? 

W przypadku posiadania przez administratora swojej bazy kontrahentów (osób fizycznych), podstawę przetwarzania ich danych w celach przyszłej współpracy należy upatrywać w udzielonej zgodzie. W razie stałej współpracy między podmiotami, można również wskazywać na niezbędność przetwarzania danych do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Uzasadniony interes administratora powinien być z góry określony i podany do wiadomości osoby, której dane dotyczą.

Więcej przydatnych materiałów znajdziesz w SIP LEX:

Obowiązki pracodawcy w świetle RODO >

Nowe zasady gromadzenia danych osobowych pracowników >

RODO - bezpieczeństwo danych osobowych w dziale kadr >

Dostęp do danych osobowych kandydatów do pracy i pracowników >

Wzór dokumentu: Upoważnienie do przetwarzania danych osobowych >

Czy pomiędzy firmą kierującą na szkolenie bhp a firmą zewnętrzną konieczna jest umowa powierzenia przetwarzania danych osobowych? >

Czy pracodawca ma prawo sporządzać i przechowywać kopie dokumentów potwierdzających kwalifikacje pracownika, które zawierają zdjęcie pracownika? >

Czy zgodnie z RODO pracodawca może przechowywać w aktach osobowych kserokopie dyplomów ukończenia szkoły wyższej, średniej, studiów podyplomowych? >

 

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.