Poradnik Przedsiębiorcy

Przepisy RODO a umowy cywilnoprawne i pracownicy tymczasowi

Często zdarza się, że przedsiębiorcy zlecają wykonanie zadań w oparciu o umowy inne niż umowy o pracę. Przepisy RODO nie wprowadzają rozróżnienia w odniesieniu do katalogu osób, których dane osobowe podlegają ochronie. Oznacza to, że niezależnie od rodzaju zatrudnienia i rodzaju umowy, którą wybierze przedsiębiorca, będzie on zobowiązany do zapewnienia ochrony danych osobowych swoich zleceniobiorców.

Przedsiębiorca musi chronić dane osobowe niezależnie od nazwy umowy

Przedsiębiorca może zlecać wykonanie zadań na podstawie:

  • umów zlecenia,

  • umów o dzieło,

  • umów o współpracy z osobą samozatrudnioną,

  • innej umowy cywilnoprawnej, w tym również umowy nienazwanej (tj. umowy, która nie została wprost wymieniona w przepisach Kodeksu cywilnego i została stworzona przez strony na potrzeby ich unikatowego stosunku prawnego).

Przedsiębiorca ma obowiązek ochrony danych osób wykonujących zadania w oparciu o umowy inne niż umowa o pracę zgodnie z zasadami RODO.

Przepisy Kodeksu pracy, które znajdują zastosowanie w przypadku umów o pracę, ściśle określają zakres danych osobowych, których podania może domagać się przedsiębiorca w związku z poszukiwaniem i zatrudnianiem pracowników. Nie istnieje żaden przepis, który regulowałby tę kwestię w odniesieniu do umów cywilnoprawnych. W praktyce oznacza to, że przedsiębiorca sam musi zdecydować, o podanie jakich danych poprosi osobę, z którą zamierza zawrzeć umowę.

Art. 5 ust. 1c RODO – Zasada minimalizacji
„Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”)”.

Jedną z najważniejszych zasad RODO jest zasada minimalizacji, zgodnie z którą administrator danych powinien zbierać dane osobowe osób fizycznych wyłącznie w zakresie niezbędnym do spełnienia celów przetwarzania. Z tego powodu, przystępując do zawarcia umowy i następnie do jej wykonania, przedsiębiorca może żądać od osoby wykonującej zlecenie wyłącznie minimalnego zakresu danych, tj. takich, bez których wykonanie umowy nie byłoby możliwe. Przykładowo, jeżeli rozliczenie pomiędzy stronami następuje w formie gotówkowej, przedsiębiorca nie powinien żądać wskazania danych rachunku bankowego zleceniobiorcy. Żądanie wskazania danych innych niż niezbędne może naruszać przepisy RODO i wiązać się z odpowiedzialnością finansową.

Zawarcie umowy cywilnoprawnej z osobą prowadzącą działalność gospodarczą nie wpływa na zakres obowiązków przedsiębiorcy w kontekście zasad ochrony danych osobowych zgodnie z RODO.

Wbrew obiegowej opinii, przepisy RODO nie chronią wyłącznie interesów konsumentów – nawet, jeżeli stroną umowy cywilnoprawnej jest inny przedsiębiorca (w szczególności w przypadku umów o współpracę z osobą samozatrudnioną, tj. osobą prowadząca jednoosobową działalność gospodarczą), nie zwalnia to administratora danych z zastosowania wszystkich przewidzianych prawem środków ochrony danych osobowych zgodnie z wymogami rozporządzenia.

Przepisy RODO - o czym musi poinformować przedsiębiorca?

Przystępując do zawarcia umowy cywilnoprawnej, przedsiębiorca musi zrealizować względem zleceniobiorcy obowiązek informacyjny.

Z tego względu przedsiębiorca musi poinformować drugą stronę umowy o:

  • swoich danych (w tym pełnej nazwie oraz adresie prowadzenia działalności);

  • danych inspektora ochrony danych, jeżeli został wyznaczony;

  • celu przetwarzania danych (tj. zawarciu i wykonaniu umowy);

  • podstawie prawnej przetwarzania, o czym poniżej;

  • odbiorcach danych osobowych zleceniobiorcy;

  • zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, jeśli przedsiębiorca planuje dokonanie takiej czynności;

  • czasie przetwarzania i przechowywania danych;

  • dobrowolności podania danych osobowych oraz skutkach odmowy ich podania;

  • prawie dostępu do zgromadzonych danych osobowych;

  • prawie do żądania sprostowania danych;

  • prawie do żądania usunięcia danych z bazy danych przedsiębiorcy;

  • prawie do żądania ograniczenia przetwarzania danych;

  • prawie do cofnięcia zgody na przetwarzanie i przechowywanie danych osobowych;

  • prawie do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Obowiązek informacyjny przedsiębiorcy może nastąpić w dowolny wybrany przez niego sposób, o ile zleceniobiorca zostanie faktycznie poinformowany o wskazanych powyżej informacjach. Administrator danych może dostosować formę wykonania obowiązku do okoliczności zawarcia umowy, w tym może na przykład wybrać formę elektroniczną czy formę ogłoszenia.

Przepis art. 6 ust. 1c RODO – Podstawa prawna przetwarzania danych osobowych w odniesieniu do umów cywilnoprawnych
„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
c. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”.

Podstawą prawną, którą przedsiębiorca powinien wskazać jako podstawę przetwarzania danych osobowych osoby fizycznej – strony umowy cywilnoprawnej, jest przepis art. 6 ust. 1c rozporządzenia RODO. Zgodnie z tym przepisem przetwarzanie jest dopuszczalne wówczas, gdy jest niezbędne do wykonania umowy zawartej z osobą, której dane dotyczą. Przedsiębiorca nie ma obowiązku pobierania od zleceniobiorcy odrębnej zgody na przetwarzanie jej danych osobowych, wystarczającą podstawą prawną jest bowiem przepis przywołany powyżej. Jednocześnie zachowanie zleceniobiorcy, tj. podanie danych osobowych w celu zawarcia umowy i jej wykonania winno być traktowane jako dorozumiane wyrażenie zgody na ich wykorzystanie przez przedsiębiorcę. 

Wyjątkiem od opisanej powyżej zasady jest przetwarzanie danych osobowych zleceniobiorcy w przyszłości. Co do zasady, administrator danych ma prawo do przechowywania i przetwarzania danych osobowych tak długo, jak jest to niezbędne z uwagi na osiągnięcie celu przetwarzania.

Zgodnie z zasadą ograniczonego przetwarzania administrator danych powinien usunąć dane osobowe osoby – strony umowy cywilnoprawnej po wykonaniu umowy, chyba że strona umowy wyrazi zgodę na przetwarzanie jej danych również w innym celu i przez dłuższy okres.

Z uwagi na zasadę ograniczonego przetwarzania przedsiębiorca powinien usunąć ze swojej bazy danych dane osobowe zleceniobiorcy po wykonaniu umowy, tj. w momencie, w którym przetwarzanie danych zostanie zakończone. Okres przechowywania danych może zostać wydłużony, jeżeli jest to konieczne z uwagi na przepisy szczególne (np. przepisy dotyczące ubezpieczenia zdrowotnego zleceniobiorcy) albo jeśli zleceniobiorca wyrazi odrębną zgodę na przetwarzanie jego danych osobowych po zakończeniu umowy (np. w celu stworzenia bazy kontrahentów przedsiębiorcy).

Przepisy RODO a pracownicy tymczasowi

Przedsiębiorca zatrudniający pracowników tymczasowych ma status administratora danych w odniesieniu do danych osobowych tych osób. Pracownicy tymczasowi zazwyczaj zatrudniani są za pośrednictwem agencji pracy tymczasowej – pracownik tymczasowy zawiera umowę nie z pracodawcą użytkownikiem, lecz z agencją i jest kierowany do pracy u przedsiębiorcy w oparciu o umowę zawartą pomiędzy agencją a przedsiębiorcą. Przedsiębiorca powinien zawrzeć z agencją pracy tymczasowej umowę o powierzenie przetwarzania danych osób świadczących pracę tymczasową i w oparciu o tę umowę będzie on zobowiązany do zastosowania przepisów RODO względem danych osobowych pracowników tymczasowych. Pracodawca użytkownik rozpoczyna przetwarzanie danych osobowych pracownika tymczasowego od momentu ich pozyskania od agencji.