„Body leasing” to model współpracy polegający na udostępnianiu pracowników lub współpracowników innemu przedsiębiorcy, w zamian za określone wynagrodzenie. Body leasingu nie należy mylić z pracą tymczasową, która regulowana jest Ustawą o zatrudnianiu pracowników tymczasowych, określającą relację pomiędzy agencją pracy tymczasowej a pracodawcą-użytkownikiem. Tymczasem instytucja body leasingu nie została sprecyzowana w żadnych przepisach.

Body Leasing

Rozważając kwestię konieczności zawarcia umowy powierzenia pomiędzy ADO 1 (pracodawca outsourcujący) i ADO 2 (odbiorca usługi leasingu pracowniczego), należy wyróżnić przetwarzanie danych na dwóch płaszczyznach. Pierwsza to przetwarzanie danych należących do ADO 2 przez oddelegowanego pracownika zatrudnionego przez ADO 1. Druga – przetwarzanie danych oddelegowanego pracownika, którego dane przetwarzane są zarówno przez ADO 1 , jak i ADO 2.

Body Leasing

Upoważnienie dla oddelegowanego pracownika czy umowa powierzenia pomiędzy ADO 1 i ADO 2?

Należy podkreślić, że umowa body leasingu zawierana pomiędzy przedsiębiorcami (ADO 1 i ADO 2) dotyczy przede wszystkim wynajmu pracowników/współpracowników, a nie przetwarzania danych osobowych. Jednakże przetwarzanie danych bardzo często będzie nierozerwalnie związane z realizacją tej umowy.

Czy w takiej sytuacji ADO 1 i ADO 2 powinni podpisać umowę powierzenia?

Po pierwsze, wszystko zależy od tego, czy przy realizacji swoich obowiązków na rzecz ADO 2 oddelegowany pracownik będzie uczestniczył w przetwarzaniu danych osobowych – zakładamy, że odpowiedź jest twierdząca.

Po drugie, musimy wiedzieć, z jakiej infrastruktury oddelegowany pracownik będzie korzystał. Jeżeli oddelegowany pracownik będzie świadczył usługi w ramach infrastruktury odbiorcy usług i leasingu pracowniczego, czyli ADO 2 (w szczególności w jego siedzibie, na sprzęcie stanowiącym jego własność, według jego procedur), to nie będzie konieczności zawarcia umowy powierzenia, lecz zajdzie konieczność upoważnienia oddelegowanego pracownika do przetwarzania danych osobowych. Upoważnienie,  z którego wynikałoby polecenie przetwarzania danych, powinien nadać odbiorca usług i leasingu pracowniczego, czyli ADO 2.

Natomiast w sytuacji, w której oddelegowany pracownik świadczyłby usługi przy użyciu infrastruktury pracodawcy outsourcującego, tj. ADO 1 (w jego pomieszczeniach lub na jego sprzęcie), zajdzie konieczność zawarcia pomiędzy ADO 1 i ADO 2 umowy powierzenia danych, o której mowa w art. 28 RODO – jej przedmiotem byłyby wówczas dane osobowe przetwarzane przez ADO 2, do których dostęp uzyska oddelegowany pracownik. W takiej umowie ADO 2 powinien być wskazany jako administrator, a ADO 1 jako podmiot przetwarzający. Zawarcie umowy powierzenia nie oznacza, że pracownik oddelegowany nie powinien otrzymać upoważnienia do przetwarzania danych osobowych, jednak w takim modelu upoważnienie powinno zostać nadane przez podmiot przetwarzający, tj. ADO 1.

Przepływ danych pracownika oddelegowanego – umowa powierzenia pomiędzy ADO 1 i ADO 2?

Warto przypomnieć, że body leasingu nie reguluje żadna ustawa, a tym samym przepisy prawa w żaden sposób nie rozstrzygają kwestii relacji w zakresie przetwarzania danych oddelegowanego pracownika pomiędzy pracodawcą outsourcującym (ADO 1) a odbiorcą usługi leasingu pracowniczego (ADO 2). Jeżeli ADO 1 podpisał z pracownikiem umowę o pracę, to na ADO 1 spoczywają wszystkie obowiązki wynikające z przepisów z zakresu prawa pracy, w tym z Kodeksu pracy. Dużą część tych obowiązków w przypadku body leasingu będzie wykonywał co do zasady ADO 2 jako odbiorca usługi leasingu pracowniczego, w imieniu pracodawcy outsourcującego (ADO 1) – oczywiście zakres tych obowiązków powinna określać umowa pomiędzy ADO 1 i ADO 2 dotycząca body leasingu.

RODO w HR

W związku z powyższym należy wskazać, że pracodawca, który podpisał umowę o pracę (ADO 1), jako administrator powierza przetwarzanie danych osobowych swojego pracownika podmiotowi, który jest jego klientem, czyli odbiorcą usługi leasingu pracowniczego (ADO 2), a na rzecz którego ten pracownik będzie faktycznie świadczyć usługi.

Administrator danych (ADO 1), może powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu (ADO 2) w zakresie czynności niezbędnych do:

  • zapewnienia bezpiecznych i higienicznych warunków pracy w miejscu wyznaczonym do wykonywania pracy tymczasowej,
  • przeprowadzenia szkolenia w zakresie bezpieczeństwa i higieny pracy,
  • ustalenia okoliczności  i przyczyn wypadku przy pracy,
  • przeprowadzenia oceny ryzyka zawodowego oraz poinformowania o tym ryzyku,
  • dostarczenia pracownikowi odzieży i obuwia roboczego oraz środków ochrony indywidualnej,
  • prowadzenia ewidencji czasu pracy pracownika w zakresie i na zasadach obowiązujących w stosunku do pracowników,
  • wykonania obowiązków  i korzystania z praw przysługujących pracodawcy, w zakresie niezbędnym do organizowania pracy z udziałem osoby oddelegowanej.

Z powyższego wynika, że relacja między wskazanymi podmiotami ADO 1 i ADO 2 w zakresie przetwarzania danych delegowanego pracownika to relacja administrator (ADO 1) i podmiot przetwarzający (ADO 2), co implikuje konieczność zawarcia umowy powierzenia spełniającej wymagania wskazane w art. 28 RODO.