Dokument aktualny
Zobacz inne wersje:

Umowa zlecenie a RODO

Maciej Lipka

Autor: Maciej Lipka

Dodano: 21 marca 2023
Umowa o zamówienie publiczne

Umowy cywilnoprawne typu zlecenie (umowa o świadczenie usług) to powszechna forma zatrudnienia, która coraz częściej zastępuje umowy o pracę. Zleceniobiorcy działający w strukturze administratora coraz częściej przetwarzają dane osobowe klientów czy kontrahentów. Sprawdź, jak przestrzegać RODO w związku z zawarciem i realizacją umowy zlecenie.

Dane osobowe od kandydata na zleceniobiorcę

Przepisy nie przewidują katalogu danych osobowych, jakie mogą być pozyskane od potencjalnego zleceniobiorcy. Nie ma tu takiego rozwiązania jak w przypadku umów o pracę. Czy oznacza to, że od takiej osoby można pozyskać nieograniczoną ilość danych?

Otóż nie. Wszak zgodnie z art. 5 ust. 1 RODO dane osobowe powinny m.in. być:

  • adekwatne,
  • stosowne,
  • ograniczone do danych niezbędnych do celów, w których są przetwarzane.
Uwaga

Administrator powinien pozyskać od potencjalnego zleceniobiorcy tylko takie dane osobowe, jakie są niezbędne do zawarcia i wykonywania umowy zlecenia. Dane te są przetwarzane na podstawie art. 6 ust. 1 lit. b RODO.

Obowiązek informacyjny RODO wobec zleceniobiorcy

Administrator danych będzie więc przetwarzał dane osobowe zleceniobiorcy. Oznacza to, że musi on spełnić obowiązek informacyjny wobec tej osoby. Klauzulę informacyjną RODO należy przekazać już na etapie pozyskiwania danych osobowych, a więc jeszcze przed zawarciem umowy.

Uwaga

Pobierz wzór klauzuli informacyjnej RODO do umowy zlecenia:

Zlecenie – upoważnienie albo powierzenie przetwarzania danych

Każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarza je jedynie na polecenie administratora. Wyjątkiem jest sytuacja, w której takiego działania wymaga prawo unijne lub krajowe.

Uwaga

Jeśli więc administrator udziela dostępu do danych osobowych innej osobie, wówczas powinien:

  • upoważnić ją do przetwarzania (określając przy tym, jakie dane, w jakim celu i w jakim zakresie powinna taka osoba przetwarzać) – art. 29 RODO, albo
  • powierzyć jej przetwarzanie w umowie (art. 28 RODO).

Upoważnienie do przetwarzania danych w związku ze zleceniem

Uwaga

UODO wskazuje w swoim poradniku, że upoważnienie powinno być wydane, gdy dana osoba zatrudniona w formie innej niż umowa o pracę:

  • przy przetwarzaniu korzysta ze środków i rozwiązań organizacyjnych administratora (np. systemów, pomieszczeń),
  • czyni to na polecenie ADO.

Taki zleceniobiorca niejako mieści się w strukturze organizacyjnej administratora. Właśnie dlatego zleceniobiorca spełniający wskazane warunki, który będzie przetwarzał dane osobowe w imieniu zleceniodawcy, musi zostać upoważniony do ich przetwarzania. Jest to konieczne do wykonania umowy.

Przykład

Upoważnienie należy wydać np.:

  • osobie prowadzącej sekretariat, która ma dostęp do danych osobowych klientów i dostawców;
  • specjaliście działu kadr w zakresie przetwarzania danych osób zatrudnionych u administratorów;
  • handlowcowi, którzy na polecenie administratora nawiązuje kontakty z klientami ADO.

Gdy zleceniobiorca w celu wykonywania usługi na rzecz zleceniodawcy zatrudnia własny personel, wtedy to on powinien upoważnić ich do przetwarzania danych przekazanych przez zleceniodawcę.

Zlecenie a umowa powierzenia

Drugie z rozwiązań to umowa powierzenia przetwarzania. Zleceniodawca stanie się z procesorem w przypadku „ (…) typowego zlecania części operacji przetwarzania danych osobowych (gałęzi – np. danych kadrowych, płacowych) innym podmiotom, które są wyodrębnione od jednostki organizacyjnej administratora (...)”, gdy zleceniobiorcy dokonują „ (…) przetwarzania w swoich własnych systemach, przekazując administratorowi ewentualnie efekt swoich działań”.

Uwaga

Zleceniobiorca niewchodzący w skład struktury organizacyjnej ADO czy wykorzystujący własne narzędzia będzie podmiotem przetwarzającym. Dlatego należy zawrzeć z nim umowę powierzenia przetwarzania danych.

Nie ma tu decydującego znaczenia fakt, czy zleceniobiorca prowadzi czy też nie prowadzi działalności gospodarczej.

Przykład

Handlowiec wykonuje zlecenie, przetwarzając dane osobowe dane klientów w swoim własnym innowacyjnym systemie informatycznym służącym do odpowiedniego selekcjonowania klientów. W takim przypadku należy zawrzeć z nim umowę powierzenia przetwarzania danych.

Uwaga

Skorzystaj ze wzoru umowy powierzenia>>

Bezpieczeństwo danych przetwarzanych przez zleceniobiorcę

Administrator musi zadbać również o wyposażenie zleceniobiorcy w niezbędne informacje dotyczące konieczności

  • ochrony danych osobowych,
  • zgłaszania wszelkich nieprawidłowości w tym zakresie
  • uzyskania uprawnień do ich przetwarzania.
Uwaga

Zleceniobiorcę należy zapoznać z dokumentacją określającą środki bezpieczeństwa danych.

 

Maciej Lipka

Autor: Maciej Lipka

Jest ekspertem ds. ochrony danych osobowych. Specjalizuje się w problemach związanych z wdrażaniem obowiązujących przepisów w organizacji, wskazując zarówno na wymogi formalne, jak i na praktyczne rozwiązania ułatwiające przestrzeganie prawa.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x