Odpowiedź na pytanie, czy należy zawierać umowę powierzenia przetwarzania danych osobowych ze współpracownikiem nie jest jednoznaczna. W praktyce okazuje się, że wielu administratorów zastanawia się nad prawidłową podstawą uregulowania kwestii ochrony danych osobowych z osobami współpracującymi na podstawie umów cywilnoprawnych, w szczególności współpracowników prowadzących jednoosobowe działalności gospodarcze. Dla administratora istotne jest określnie kilku czynników, które pozwolą zdecydować, czy w konkretnym przypadku konieczne będzie zawarcie umowy powierzenia, czy wystarczające może okazać się wydanie upoważnienia do przetwarzania danych osobowych.
Co wziąć pod uwagę przy podejmowaniu decyzji o podstawie przyznania dostępu do danych?
Przede wszystkim należy zapoznać się z treścią art. 29 RODO. Wskazany przepis stanowi, iż podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora. Istotny jest również art. 32 ust. 4 RODO, zgodnie z którym administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora. Biorąc pod uwagę brzmienie wskazanych przepisów, wskazać należy, że dane osobowe powinny być przetwarzane tylko na polecenie administratora danych.
Można zatem przyjąć, że każdy administrator ma do wyboru dwa modele przekazania samozatrudnionemu dostępu do danych osobowych:
- wydanie upoważnienia do przetwarzania danych osobowych;
- zawarcie umowy powierzenia przetwarzania danych osobowych.
Model oparty na wydaniu upoważnienia jest niewykluczony, gdy samozatrudnionego administrator może traktować jak pracownika zatrudnionego na podstawie umowy o pracę. Aby wydanie upoważnienia było możliwe, konieczna jest realizacja kilku przesłanek, które spełnione łącznie pozwolą na przetwarzanie danych na podstawie art. 29 RODO, m.in. osoba współpracująca na podstawie umowy B2B będzie świadczyła swoje usługi tylko dla jednego podmiotu, a dodatkowo ten podmiot dostarczy całą infrastrukturę – udostępni swoje zasoby, systemy oraz sprzęt do pracy. Dodatkowo, taka osoba w praktyce traktowana jest jako osoba zatrudniona w oparciu o przepisy Kodeksu pracy – obowiązują ją zasady wdrożone u pracodawcy, tj. harmonogram czasu pracy (określone godziny pracy), dostosowanie do polityk i procedur oraz określenie nazwy stanowiska, a także uzyskanie indywidualnego adresu e-mail w domenie pracodawcy. Wydawanie upoważnień może być jednym z wielu stosowanych u administratora środków organizacyjnych, by kontrolować wszelkie procesy przetwarzania danych osobowych i dostępy do nich.
Zastosowanie zaś modelu umowy powierzenia jest możliwe, gdy osoba współpracująca na podstawie umowy B2B świadczy usługi na rzecz kilku, różnych podmiotów. Nie można też takiej osobie przypisać statusu „pracownika”, tzn. traktowana jest inaczej niż pracownik zatrudniony w oparciu o umowę o pracę (może pracować poza siedzibą pracodawcy, korzysta ze swoich rozwiązań, środków technicznych oraz sprzętu). Taka osoba nie jest stricte osadzona w strukturach organizacyjnych administratora danych – wówczas, usługodawca będzie zobligowany do zawarcia umowy powierzenia przetwarzania danych osobowych.
Największy wróg konstrukcji umowy powierzenia
W praktyce, przyjęcie przez administratora danych konstrukcji podpisywania umów powierzenia przetwarzania danych osobowych z samozatrudnionymi powoduje daleko idące konsekwencje i narzuca zarówno na usługodawcę, jak i na usługobiorcę szereg dodatkowych obowiązków niezbędnych do realizacji pod kątem RODO.
Już samo podpisywanie umów na podstawie art. 28 RODO może powodować przerzucenie na samozatrudnionych wiele obowiązków, których w praktyce nie będą w stanie móc spełnić i wykazać ich realizacji przed audytorem zewnętrznym. Umowa powierzenia przetwarzania danych osobowych może generować wobec samozatrudnionego konieczność spełnienia takich standardów, które będą niemożliwe do realizacji przez jedną osobę. Okazuje się, że takie działanie może być iluzoryczne, ponieważ jednoosobowe działalności gospodarcze rzadko mają środki i możliwości do pełnej realizacji wymagań stawianych przez przepisy RODO, jak i przez administratorów danych. A zatem, zabezpieczenia, wdrożone środki organizacyjne czy techniczne mogą być okazać się jedynie pozorne, a co za tym idzie, same stosowane sposoby zabezpieczenia nie będą gwarantowały, że przekazane do przetwarzania dane będą w pełni bezpieczne.
Kolejnym, istotnym problemem może okazać się uzyskiwanie przez administratora zgód od swoich klientów na dalsze przetwarzanie danych osobowych przez inne podmioty. Klienci administratora prawdopodobnie będą oczekiwać, że podmioty, z którymi administrator współpracuje spełniają i realizują wszelkie obowiązki wskazane w RODO, co z uwagi na powyższe stwierdzenia, może okazać się dość problematyczne.
Co na to PUODO?
Prezes Urzędu Ochrony Danych Osobowych bardzo konkretnie i zdecydowanie wypowiedział się na temat zawierania umów powierzenia w przypadku stosowania formy samozatrudnienia w Poradniku dla pracodawców wydanym w październiku 2018 r. PUODO wskazał wówczas, w jaki sposób dopuszczalne jest uzyskanie przez osoby współpracujące na zasadzie zawartych umów cywilnoprawnych dostępu do danych osobowych znajdujących się w zasobach administratora. PUODO jednoznacznie stwierdził, że uzyskanie możliwości przetwarzania danych osobowych na polecenie administratora powinno opierać się na upoważnieniu, jeśli tylko osoba samozatrudniona korzysta ze środków i rozwiązań organizacyjnych administratora oraz ściśle współpracuje z administratorem w zgodzie z jego poleceniami:
„Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego, mająca dostęp do danych osobowych, przetwarzają je wyłącznie na polecenie administratora, chyba, że inne przepisy przewidują od tego wyjątek. W razie pozostawania przez pracownika z pracodawcą w stosunku pracy, może on przetwarzać dane osobowe administrowane przez pracodawcę na podstawie udzielonego upoważnienia. W sytuacji, gdy administrator korzysta również z cywilnoprawnych form zatrudnienia (w tym także samozatrudnienia), gdzie tak zatrudnione osoby w efekcie przy przetwarzaniu danych osobowych korzystają ze środków i rozwiązań organizacyjnych administratora (np. systemów, pomieszczeń), a ponadto robią to na polecenie administratora, również należy uznać upoważnienie, jako warunek dopuszczający przetwarzanie danych. Administrator, zgodnie z zasadą rozliczalności, powinien móc udowodnić fakt udzielenia upoważnienia do przetwarzania danych. W takich sytuacjach, co do zasady nie dochodzi więc do powierzenia przetwarzania danych.”
Z powyższego wynika, że przy realizacji odpowiednich przesłanek, jak najbardziej możliwe jest przetwarzanie danych osobowych na podstawie upoważnienia bez konieczności zawierania umowy powierzenia przetwarzania danych osobowych z osobą samozatrudnioną. Co istotne, PUODO podkreślił, że dla spełnienia wszystkich obowiązków, niezbędna jest realizacja zasady rozliczalności, by w momencie ewentualnych kontroli czy audytów, administrator mógł wykazać, iż stosowana przez niego podstawa polecenia przetwarzania jest właściwa i adekwatna w konkretnym przypadku.
Podsumowanie
Każdy przypadek przyznania przez administratora dostępu do danych osobowych powinien być rozpatrywany w sposób ściśle indywidulany. Z uwagi na to, że osoby samozatrudnione często podejmują się wykonywania zleceń na rzecz innych podmiotów, korzystają ze swoich zasobów, własnego sprzętu oraz stosują indywidualne formy zabezpieczeń, konieczne może okazać się zawarcie umowy powierzenia przetwarzania danych osobowych. Administrator musi jednak liczyć się z konsekwencjami podjęcia współpracy z takim podmiotem, choćby w kontekście uzyskania zgód od swoich klientów na dalsze przetwarzanie danych przez współpracowników.
W przypadku świadczenia usług na rzecz jednego administratora, bardziej naturalną konstrukcją byłoby zastosowanie upoważnień do przetwarzania danych osobowych z zachowaniem odpowiednich, powyżej wskazanych zasad. Zastosowanie modelu z zawarciem umowy powierzenia nakłada na podmiot przetwarzający, ale również na administratora danych, szereg obowiązków wymagających realizacji zgodnie z przepisami RODO. Jednakże w części przypadków, zawarcie umowy powierzenia będzie po prostu nieuniknione i konieczne do spełnienia fundamentalnych zasad ochrony danych osobowych wskazanych w powszechnie obowiązujących przepisach prawnych.