Kto, komu i co powierza?
Z punktu widzenia RODO z tą instytucją może wiązać się szereg problemów. Przede wszystkim, czy trzeba zawrzeć umowę powierzenia pomiędzy pracodawcą outsourcującym a odbiorcą usługi body leasingu? Jeśli tak, to jakie dane powinny stanowić przedmiot powierzenia? Co z upoważnieniami do przetwarzania danych osobowych?
Rozważając kwestię konieczności zawarcia umowy powierzenia pomiędzy ADO 1 (pracodawca outsourcujący) i ADO 2 (odbiorca usługi leasingu pracowniczego), należy wyróżnić przetwarzanie danych na dwóch płaszczyznach. Pierwsza to przetwarzanie danych oddelegowanego pracownika, którego dane przetwarzane są zarówno przez ADO 1 , jak i ADO 2. Druga - przetwarzanie danych należących do ADO 2 przez oddelegowanego pracownika zatrudnionego przez ADO 1.
Przetwarzanie danych body leasingowanego pracownika?
Jeżeli ADO 1 podpisał z pracownikiem umowę o pracę, to na ADO 1 spoczywają wszystkie obowiązki wynikające z przepisów z zakresu prawa pracy, w tym z Kodeksu pracy (analogicznie będzie przy osobie zatrudnionej w oparciu o umowę cywilnoprawną – tylko wówczas już nie na bazie Kodeksu pracy).
Siłą rzeczy ADO 2 - jako odbiorca usługi leasingu pracowniczego - w dużej mierze będzie przetwarzał dane pracownika ADO 1 w takich celach, jak zapewnienie bezpiecznych i higienicznych warunków pracy, ewidencji czasu pracy, monitoringu wizyjnego czy umożliwienia takiemu pracownikowi uczestnictwa w wewnętrznych szkoleniach.
Mimo że obowiązki ciążące na ADO 1 (jako na pracodawcy) i na ADO 2 (jako na podmiocie, na rzecz którego praca faktycznie jest świadczona) w dużej mierze pokrywają się (przecież to pracodawca ewidencjonuje czas pracy, nie podmiot trzeci), nie będzie tu konieczności zawarcia umowy powierzenia.
O ile ADO 1 jako pracodawca faktycznie ma podstawę prawną wynikającą z przepisów prawa, aby przetwarzać niektóre dane zbierane przez ADO 2, o tyle mogą one mu zostać przekazane bez umowy powierzenia, wskazującej na ADO 1 jako na administratora, a ADO 2 na podmiot przetwarzający. Mamy tu do czynienia z dwoma odrębnymi administratorami, którzy w takiej sytuacji mają podstawę prawną do przetwarzania, w tym wzajemnego udostępniania sobie danych pracownika – w zależności od sytuacji może być to przykładowo obowiązek prawny ciążący na administratorze (art. 6 ust. 1 lit. c RODO) lub prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO).
Jak strony umowy leasingu pracowniczego powinny uregulować przetwarzanie danych, których administratorem jest ADO 2, przez oddelegowanego pracownika?
Po pierwsze, wszystko zależy od tego, czy przy realizacji swoich obowiązków na rzecz ADO 2 oddelegowany pracownik będzie uczestniczył w przetwarzaniu danych osobowych – zakładamy, że odpowiedź jest twierdząca.
Po drugie, musimy wiedzieć, z jakiej infrastruktury oddelegowany pracownik będzie korzystał. Jeżeli oddelegowany pracownik będzie świadczył usługi w ramach infrastruktury odbiorcy usług i leasingu pracowniczego, czyli ADO 2 (w szczególności w jego siedzibie, na sprzęcie stanowiącym jego własność, według jego procedur), to nie będzie konieczności zawarcia umowy powierzenia, lecz zajdzie konieczność upoważnienia oddelegowanego pracownika do przetwarzania danych osobowych. Upoważnienie, z którego wynikałoby polecenie przetwarzania danych, powinien nadać odbiorca usług i leasingu pracowniczego, czyli ADO 2.
Natomiast w sytuacji, w której oddelegowany pracownik świadczyłby usługi przy użyciu infrastruktury pracodawcy outsourcującego, tj. ADO 1 (w jego pomieszczeniach lub na jego sprzęcie), zajdzie konieczność zawarcia pomiędzy ADO 1 i ADO 2 umowy powierzenia danych, o której mowa w art. 28 RODO – jej przedmiotem byłyby wówczas dane osobowe przetwarzane przez ADO 2, do których dostęp uzyska oddelegowany pracownik. W takiej umowie ADO 2 powinien być wskazany jako administrator, a ADO 1 jako podmiot przetwarzający. Zawarcie umowy powierzenia nie oznacza, że pracownik oddelegowany nie powinien otrzymać upoważnienia do przetwarzania danych osobowych, jednak w takim modelu upoważnienie powinno zostać nadane przez podmiot przetwarzający, tj. ADO 1.
Wnioski
Na pewno każdorazowo przed ostatecznym rozstrzygnięciem, powinniśmy dokładnie przeanalizować umowę główną i przede wszystkim zwrócić uwagę na takie aspekty, jak to, czy outsourcowany pracownik w ramach wykonywania swoich obowiązków będzie miał dostęp do danych osobowych przetwarzanych przez odbiorcę leasingu i w ramach jakiej infrastruktury będzie świadczył usługi na rzecz ADO 2. I jeszcze jedna uwaga: jeśli ten dostęp będzie dotyczył wyłącznie danych służbowych personelu ADO 2, takich jak imiona, nazwiska, adresy e-mail i służbowe numery telefonu – nie zajdzie konieczność zawarcia umowy powierzenia.