Zleceniodawca w strukturze ADO – jak przetwarzać jego dane osobowe

Maciej Lipka

Autor: Maciej Lipka

Dodano: 11 stycznia 2019
Umowa o zamówienie publiczne

W aktualnych realiach rynku pracy powszechnymi formami zatrudnienia są umowy cywilnoprawne. W konsekwencji osoby, które na podstawie takich umów działają w strukturze administratora, przetwarzają dane osobowe klientów czy kontrahentów w jego imieniu tak jak pracownicy. Z tego względu warto wiedzieć, jakie rozwiązania stosować wobec takich osób, aby uniknąć naruszeń RODO.

Jakie dane można pozyskać od kandydata na przyszłego zleceniobiorcę

Inaczej niż w przypadku kandydata na pracownika, przepisy nie przewidują katalogu danych osobowych, jakie mogą być pozyskane od potencjalnego zleceniobiorcy. Czy oznacza to, że od takiej osoby można pozyskać nieograniczoną ilość danych? W żadnym wypadku. Wszak zgodnie z art. 5 ust. 1 RODO dane osobowe powinny m.in. być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

Upoważnienie zleceniobiorcy do przetwarzania danych …

Jak wiadomo, w myśl art. 29 RODO podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie ADO, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.Jeśli zatem administrator udziela dostępu do danych osobowych innej osobie, wówczas powinien upoważnić ją do przetwarzania danych (określając przy tym, jakie dane, w jakim celu i w jakim zakresie powinna taka osoba przetwarzać) albo powierzyć jej przetwarzanie danych w oparciu o stosowną umowę.

W grę wchodzi zatem upoważnienie zleceniobiorcy do przetwarzania danych osobowych w imieniu administratora - zleceniodawcy. Takie rozwiązanie jest akceptowane przez UODO, który w poradniku wskazuje, że upoważnienie powinno być wydane, gdy dana osoba zatrudniona w formie innej niż umowa o pracę przy przetwarzaniu danych osobowych korzysta ze środków i rozwiązań organizacyjnych ADO (np. systemów, pomieszczeń) - na polecenie ADO.

Przykład

Upoważnić do przetwarzania danych osobowych należy następujących zleceniobiorców:

  • osobę prowadzącą sekretariat, która ma dostęp do danych osobowych klientów i dostawców;

  • pracowników działu kadr w zakresie przetwarzania danych osobowych osób zatrudnionych u administratorów;

  • handlowców, którzy na polecenie ADO nawiązują kontakty z klientami, których dane administrator przetwarza.

 … albo umowa powierzenia

Drugim z rozwiązań jest umowa powierzenia przetwarzania danych zawierana zgodnie z art. 28 ust. 1 RODO. Kiedy zleceniobiorca stanie się procesorem? UODO w opublikowanym poradniku wyjaśnia, że umowę powierzenia należy zawrzeć w przypadku „ (…) typowego zlecania części operacji przetwarzania danych osobowych (gałęzi – np. danych kadrowych, płacowych) innym podmiotom, które są wyodrębnione od jednostki organizacyjnej administratora (...)”, gdy zleceniobiorcy dokonują „ (…) przetwarzania w swoich własnych systemach, przekazując administratorowi ewentualnie efekt swoich działań”. W takiej sytuacji zleceniobiorca nie powinien być kwalifikowany jako personel administratora, nawet jeśli jest usytuowany w jego strukturze.

Przykład

Umowa powierzenia przetwarzania danych będzie właściwym rozwiązaniem w przypadku, gdy zleceniobiorcą jest handlowiec wykonujący wprawdzie zlecenie w strukturze ADO, ale przetwarzający dane klientów w swoim własnym innowacyjnym systemie informatycznym służącym do odpowiedniego selekcjonowania klientów.

Zleceniobiorca musi być świadomy obowiązków związanych z przetwarzaniem danych

Administrator powinien zadbać także o wyposażenie zleceniobiorcy w niezbędne informacje dotyczące w szczególnościkonieczności ochrony danych osobowych, obowiązku zgłaszania wszelkich nieprawidłowości w tym zakresie orazkonieczności uzyskania uprawnień do ich przetwarzania. W szczególności zleceniobiorcę należy zapoznać z dokumentacją określającą środki bezpieczeństwa przetwarzania danych.

Jak postąpić w przypadku, gdy zleceniobiorca prowadzi firmę …

To jednak nie wszystko. Należy zwrócić uwagę na szczególny przypadek, gdy administrator współpracuje ze zleceniobiorcą działającym w ramach prowadzonej przez siebie działalności gospodarczej. Na takim zleceniobiorcy mogą na nich bowiem spoczywać inne obowiązki wynikające z RODO.

Przykład

Osoba obsługująca sekretariat administratora wykonuje tę usługę w ramach tzw. samozatrudnienia, tj. w ramach prowadzonej przez siebie działalności gospodarczej. Zleceniobiorca nie zatrudnia pracowników, nie ma innych niż ADO klientów, a także przetwarza dane wyłącznie na jego polecenie i w ramach jego struktury (nie wykonuje zresztą żadnych innych usług niż te na rzecz ADO). W takiej sytuacji osoba ta przetwarza dane osobowe zleceniodawcy i musi to robić w zgodności z RODO.

Zleceniobiorca ma wówczas liczne obowiązki, w szczególności:

  • obowiązek informacyjny (art. 13 RODO),

  • obowiązek zgłaszania naruszeń Prezesowi Urzędu Ochrony Danych Osobowych, (art. 33 i 34 RODO)

  • obowiązek prowadzenia rejestru czynności przetwarzania (art. 30 RODO)

  • obowiązek prawidłowego powierzania danych zgodnie z art. 28 RODO (innym podmiotom).

O tych obowiązkach warto zleceniobiorcę pouczyć, gdyż ewentualne poniesienie przez niego odpowiedzialności za naruszenie ochrony danych może zaburzyć współpracę między stronami.

… i zatrudnia własnych pracowników

Dodatkowo, gdy zleceniobiorca w celu wykonywania usługi na rzecz zleceniodawcy zatrudnia własny personel, wtedy powinien on upoważnić ich do przetwarzania danych osobowych, które zostały mu przekazane przez zleceniodawcę.

Maciej Lipka

Autor: Maciej Lipka

Jest ekspertem ds. ochrony danych osobowych. Specjalizuje się w problemach związanych z wdrażaniem obowiązujących przepisów w organizacji, wskazując zarówno na wymogi formalne, jak i na praktyczne rozwiązania ułatwiające przestrzeganie prawa.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel