0 0
dni
0 0
godz
0 0
min
0 0
sek

Zatrudnienie pracownika na B2B – zasady przetwarzania danych osobowych

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Temat ochrony danych osobowych nieustannie przewija się od momentu wejścia w życie przepisów dotyczących tzw. RODO i obowiązków z tym związanych. Celem ochrony danych osobowych jest zharmonizowanie ochrony podstawowych praw i wolności osób fizycznych w związku z czynnościami przetwarzania oraz zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi. Pierwszym ogniwem, które chroni i przetwarza dane, jest administrator. Inne osoby/podmioty działają na podstawie upoważnienia do przetwarzania danych osobowych lub umowy powierzenia danych osobowych. Jak będzie wyglądała sytuacja, jeśli ma miejsce zatrudnienie pracownika na B2B? Czy wystarczy upoważnienie, czy już konieczne będzie zawarcie umowy powierzenia? Odpowiedź poniżej.

Czym są dane osobowe? 

Zgodnie z art. 4 pkt 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2019 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [dalej: RODO], dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Natomiast przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

 Dane osobowe są w pierwszej kolejności gromadzone przez administratora, którym może być np. sklep internetowy, bank, urząd.

Zatrudnienie pracownika na B2B i inne formy zatrudnienia

W przypadku pracowników forma ich zatrudnienia może przybrać różną postać. Pracownik może być zatrudniony:

  1. na podstawie umowy o pracę;
  2. na podstawie umowy cywilnoprawnej, np. umowa zlecenia, umowa o dzieło;
  3. na podstawie samozatrudnienia, tzw. zatrudnienie pracownika na B2B.

 Niezależnie od tej formy w każdym przypadku należy rozważyć, jakie dane są przetwarzane przez pracowników, w jakim miejscu są przetwarzane przez pracowników, przy użyciu jakiego sprzętu.

 Zgodnie z art. 22 § 1 Kodeksu pracy przez nawiązanie stosunku pracy pracownik zobowiązuje się do wykonywania pracy określonego rodzaju na rzecz pracodawcy i pod jego kierownictwem oraz w miejscu i czasie wyznaczonym przez pracodawcę, a pracodawca – do zatrudniania pracownika za wynagrodzeniem.

 W tym przypadku należy uznać, że pracownik, wykonując pracę na podstawie umowy o pracę, przetwarza dane osobowe udostępnione mu przez pracodawcę-administratora na podstawie upoważnienia.

 Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Przykład 1.

Pan Jan jest zatrudniony na podstawie umowy o pracę w sp. z o.o. zajmującej się sprzedażą internetową towarów. Pracuje w siedzibie spółki przy użyciu sprzętu komputerowego pracodawcy. W tym przypadku pan Jan będzie mógł przetwarzać dane osobowe na podstawie upoważnienia.

 Inaczej sytuacja będzie się miała w przypadku pracownika „zatrudnionego” na podstawie umowy B2B. Tutaj rozważyć należy dwie sytuacje:

  1. pracownik wykonuje czynności w siedzibie podmiotu, z którym ma zawartą umowę B2B, i przy użyciu sprzętu przekazanego mu przez ten podmiot;
  2. pracownik wykonuje czynności w siedzibie swojej działalności gospodarczej i przy wykorzystaniu własnych narzędzi i pracowników.

 W pierwszym przypadku wystarczające będzie upoważnienie takiego „pracownika”/współpracownika do przetwarzania danych osobowych, ponieważ pracodawca jako administrator będzie miał kontrolę nad ich przetwarzaniem.

 W drugim przypadku sytuacja jest bardziej skomplikowana. Skoro „pracownik” będzie przetwarzał dane przy użyciu własnych narzędzi i pracowników, wówczas konieczne będzie zawarcie umowy powierzenia danych.

 Zgodnie z art. 28 ust. 1 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Zatrudnienie pracownika na B2B a umowa powierzenia przetwarzania danych osobowych

 Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot oraz czas trwania przetwarzania, jego charakter i cel, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

  1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
  2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  3. podejmuje wszelkie środki wymagane na mocy art. 32;
  4. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 RODO;
  5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
  6. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO;
  7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  8. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

 Przykład 2.

Pan Jan prowadzi działalność gospodarczą w zakresie call center. Rozpoczął współpracę ze sklepem internetowym na podstawie umowy B2B. Będzie realizował umowę w miejscu swojej siedziby przy wykorzystywaniu własnych narzędzi oraz pracowników. W tym przypadku konieczne będzie zawarcie z panem Janem umowy powierzenia danych.

 Forma powierzenia czy też upoważnienia do przetwarzania danych osobowych przy umowie B2B zależy przede wszystkim od sposobu przetwarzania danych osobowych i narzędzi używanych przy przetwarzaniu. Każdorazowo należy w tym przypadku badać stan faktyczny sprawy i dostosować odpowiednie rozwiązanie oraz konstrukcję przetwarzania danych osobowych.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów