iSecure logo
Blog

Body leasing a zgodność z RODO

Kategorie

Samo pojęcie i funkcjonowanie body leasingu powoduje w praktyce wiele różnych problemów, w szczególności na gruncie ochrony danych osobowych. Zarówno przedsiębiorcy korzystający z usług body leasingu, jak i przedsiębiorcy oferujący skorzystanie z usług body leasingu powinni należycie zadbać o właściwe uregulowanie kwestii bezpieczeństwa informacji w zakresie najmu kadry pracowniczej. Problematyczne jest nie tylko określenie zakresu przetwarzania danych osobowych pracowników lub współpracowników, ale również określenie zakresu dostępu do danych klienta agencji i jego odpowiednie uregulowanie w dokumentacji.

Trzy podmioty, czyli określenie pełnionych ról w świetle RODO

Body leasing jako charakterystyczna forma współpracy pomiędzy odbiorcą usługi body leasingu a przedsiębiorcą oferującym skorzystanie z formy zatrudnienia body leasing zwana może być powszechnie jako najem niezbędnej kadry pracowniczej. Jest to niezwykle popularna forma współpracy w branży informatycznej, dzięki której w szybkim czasie uzupełnione mogą być braki kadrowe o wykwalifikowanych ekspertów. A zatem, w zakresie body leasingu funkcjonować muszą trzy podmioty:

  • Przedsiębiorca korzystający z usług body leasingu (odbiorca body leasingu);
  • Przedsiębiorca oferujący rozwiązania w zakresie body leasingu (dostawca usługi body leasingu) oraz
  • Specjaliści z wiedzą ekspercką (konsultanci).

Aby w pełni właściwie określić rolę każdej ze stron, konieczne wydaje się wzięcie pod uwagę dwóch istotnych aspektów i rozróżnienie danych osobowych w zakresie:

  • danych osobowych konsultantów oraz
  • danych osobowych znajdujących się w zasobach przedsiębiorcy korzystającego z rozwiązań body leasingu.

Dane osobowe oddelegowanych pracowników

Na samym wstępie należy wskazać, że to przedsiębiorca oferujący innym podmiotom rozwiązania w zakresie body leasingu (dostawca usługi body leasing) podpisuje umowę z konsultantem (umowa o pracę, umowa cywilnoprawna). A zatem to pracodawca bądź zleceniodawca jest administratorem danych osobowych konsultanta. Dane te są przetwarzane w zgodzie z przepisami o ochronie danych osobowych, w tym mając również na względzie przepisy Kodeksu pracy, czy innych ustaw, narzucających pracodawcy bądź zleceniodawcy zbieranie określonego zakresu danych. Marginalnie, warto wspomnieć o tym, iż kwestia body leasingu nie jest uregulowana w żadnych przepisach prawa. Pozostaje zatem dla pracodawców bądź zleceniodawców pewnego rodzaju furtka do gromadzenia danych osobowych, ich przetwarzania, określenia zasad retencji czy sposobów przetwarzania.

Kwestią dyskusyjną pozostaje określenie roli przedsiębiorcy korzystającego z rozwiązań body leasingu – czy występuje on w roli podmiotu przetwarzającego, czy jest może odrębnym administratorem danych konsultantów i ekspertów oddelegowanych do pracy od swojego pracodawcy bądź zleceniodawcy. Co istotne, konieczne jest również określenie zakresu danych osobowych, do jakich dostęp będzie miał odbiorca usług body leasingu.

To, co należy wziąć pod uwagę to przede wszystkim cele i sposoby przetwarzania danych osobowych ekspertów przez przedsiębiorcę korzystającego z rozwiązań body leasingu. Głównym i najbardziej istotnym celem będzie konieczność przetwarzania danych osobowych związana z realizacją powierzonych zadań i obowiązków, tj. realizacja projektu, do którego konsultant został przydzielony. Pozostają również kwestie zasad rozliczeń finansowych, pilnowania czasu wykonania zadań czy zasad bezpieczeństwa i higieny pracy.

Wskazane powyżej obowiązki mogą dotyczyć zarówno pracodawcy/zleceniodawcy, jak i przedsiębiorcy korzystającego z usług body leasingu. Dlatego też nie ma potrzeby zawierania pomiędzy przedsiębiorcami odrębnej umowy powierzenia przetwarzania danych osobowych na podstawie art. 28 RODO. Pracodawca bądź zleceniodawca, czyli podmiot oferujący rozwiązania w zakresie body leasingu ma właściwe podstawy prawne do przetwarzania danych osobowych konsultantów. Natomiast odbiorca usług body leasingu może część zebranych przez niego danych przekazywać do pracodawcy/zleceniodawcy bez regulowania tej kwestii umową powierzenia przetwarzania danych osobowych. Nastąpi tutaj sytuacja określana jako udostepnienie danych osobowych konsultantów, a podstawą prawną przetwarzania tych danych będzie albo konkretny przepis prawa albo prawnie uzasadniony interes realizowany przez administratora danych, w zależności od rodzaju podejmowanych przez podmiot czynności.

Pozostaje do wyjaśnienia ostatnia kwestia, a mianowicie udostepnienie danych osobowych od pracodawcy do odbiorcy body leasingu. Najczęstszą podstawą będzie zgoda na przetwarzanie danych i ich udostępnienie, tj. art. 6 ust. 1 lit. a RODO wyrażona przez konsultanta.

Dane osobowe znajdujące się w zasobach przedsiębiorcy korzystającego z usług body leasingu

Jeśli wiemy już, na jakich zasadach mogą być przetwarzane dane osobowe ekspertów, do wyjaśnienia pozostaje kwestia ochrony danych osobowych pozostających w zasobach odbiorcy usług body leasingu. Przy realizacji konkretnych zadań, konsultant w większości przypadków będzie miał dostęp do tego rodzaju danych – dostęp może być na tyle konieczny, że realizacja zadań i powierzonych obowiązków bez dostępu do danych nie będzie możliwa. Z tego też względu trzeba obligatoryjnie uregulować sprawy związane z ochroną danych osobowych, których administratorem i właścicielem jest odbiorca usług body leasingu.

Kluczem do udzielenia odpowiedzi na pytanie, na jakich zasadach i na jakiej podstawie ekspert otrzyma dostęp do danych osobowych odbiorcy usług body leasingu, może okazać się przeanalizowanie kilku ważnych aspektów, mianowicie:

  • Korzystanie z zasobów (oddelegowany konsultant może korzystać ze sprzętu powierzonego przez pracodawcę/zleceniodawcę bądź z zasobów dostarczonych przez odbiorcę body leasingu);
  • Miejsce świadczenia usług (siedziba pracodawcy/zleceniodawcy bądź siedziba odbiorcy body leasingu);
  • Przestrzeganie procedur obowiązujących u danego podmiotu.

Jeśli zatem oddelegowany ekspert otrzyma od odbiorcy body leasingu sprzęt służbowy, własną stopkę mailową oraz pocztę służbową, będzie osadzony w strukturze organizacyjnej przedsiębiorcy, a także będzie świadczył usługi w siedzibie odbiorcy i dodatkowo będzie zobowiązany do przestrzegania wewnętrznych polityk i procedur, można uznać, że upoważnienie do przetwarzania danych osobowych będzie wystarczające do zabezpieczenia danych osobowych. W przeciwnym razie, gdy konsultant nie otrzymałby służbowego sprzętu od odbiorcy body leasingu, nie pracowałby w jego siedzibie, a także nie byłby zobowiązany do przestrzegania zasad obowiązujących u odbiorcy usługi, wówczas niezbędne może okazać się zawarcie umowy powierzenia przetwarzania danych osobowych. Na mocy takiej umowy odbiorca usługi body leasingu będzie pełnił rolę administratora danych osobowych, który to administrator powierzy przetwarzanie danych do pracodawcy/zleceniodawcy konsultanta. Wówczas upoważnienie do przetwarzania danych osobowych powinien wydać pracodawca/zleceniodawca.

Sam dostęp konsultanta do danych służbowych reprezentantów, pracowników, czy współpracowników odbiorcy body leasingu nie będzie generował konieczności zawarcia umowy powierzenia pomiędzy ww. podmiotami.

Podsumowanie

Body leasing może wymagać zarówno od przedsiębiorcy oferującego usługi body leasingu, jak i od odbiorcy body leasingu, przeanalizowania kilku aspektów, które ostatecznie dadzą odpowiedź, w jaki sposób właściwie uregulować kwestie body leasingu pod kątem ochrony danych osobowych. Oba podmioty będą zobowiązane do wdrożenia odpowiednich rozwiązań regulujących procesy przetwarzania danych osobowych związane z body leasingiem, jak właściwe umowy, przekazanie klauzul informacyjnych, wydanie upoważnień, czy wdrożenie środków organizacyjnych i technicznych.

Pobierz wpis w wersji pdf

Podobne wpisy:

Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.

Ciasteczko po Irlandzku, czyli Irlandzki organ nadzorczy o plikach cookies

Irlandzki organ ochrony danych osobowych (IDPC – Irish Data Protection Commision) na swojej stronie internetowej zamieścił wskazówki dotyczące plików cookies oraz innych plików śledzących. Dokument powstał po dokonaniu audytu wybranych stron internetowych. W drugiej połowie ubiegłego roku IDPC wysłał kwestionariusz do 40 różnych organizacji celem przeanalizowania wykorzystania plików śledzących na stronach internetowych. W szczególności chciał […]

Rekrutacje zdalne a „kontrowersyjne” dane kandydatów – wizerunki i dane kontaktowe

Wideorozmowy z kandydatami do pracy  Wielu pracodawców, najczęściej dostosowując warunki pracy do sytuacji pandemicznej, zdecydowało się na wprowadzenie zdalnych spotkań w postaci rozmów wideo. Pierwsze skojarzenie wiąże się oczywiście z wizerunkiem kandydata zapraszanego na taką rozmowę, ale sam wizerunek może nie być jedyną daną osobową przetwarzaną w narzędziu do prowadzenia wideorozmów. Pamiętajmy bowiem, że najczęściej, […]

„Zgłoś incydent!” iSecure z pomocą w analizie naruszeń ochrony danych osobowych

Ktoś z Twojej organizacji udostępnił przypadkiem wezwanie do zapłaty niewłaściwemu odbiorcy? A może wysłałeś e-mailem ważne dokumenty do wielu odbiorców spoza firmy i zapomniałeś o skorzystaniu z opcji UDW? Mam dla Ciebie złą wiadomość – najprawdopodobniej doszło do naruszenia ochrony danych osobowych. Taki incydent wymaga dogłębnej analizy, ponieważ na przedsiębiorcy ciąży szereg obowiązków związanych z […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki