Rozważając kwestię konieczności zawarcia umowy powierzenia pomiędzy ADO 1 (pracodawca outsourcujący) i ADO 2 (odbiorca usługi leasingu pracowniczego), należy wyróżnić przetwarzanie danych na dwóch płaszczyznach. Pierwsza to przetwarzanie danych należących do ADO 2 przez oddelegowanego pracownika zatrudnionego przez ADO 1. Druga – przetwarzanie danych oddelegowanego pracownika, którego dane przetwarzane są zarówno przez ADO 1 , jak i ADO 2.
Upoważnienie dla oddelegowanego pracownika czy umowa powierzenia pomiędzy ADO 1 i ADO 2?
Należy podkreślić, że umowa body leasingu zawierana pomiędzy przedsiębiorcami (ADO 1 i ADO 2) dotyczy przede wszystkim wynajmu pracowników/współpracowników, a nie przetwarzania danych osobowych. Jednakże przetwarzanie danych bardzo często będzie nierozerwalnie związane z realizacją tej umowy.
Czy w takiej sytuacji ADO 1 i ADO 2 powinni podpisać umowę powierzenia?
Po pierwsze, wszystko zależy od tego, czy przy realizacji swoich obowiązków na rzecz ADO 2 oddelegowany pracownik będzie uczestniczył w przetwarzaniu danych osobowych – zakładamy, że odpowiedź jest twierdząca.
Po drugie, musimy wiedzieć, z jakiej infrastruktury oddelegowany pracownik będzie korzystał. Jeżeli oddelegowany pracownik będzie świadczył usługi w ramach infrastruktury odbiorcy usług i leasingu pracowniczego, czyli ADO 2 (w szczególności w jego siedzibie, na sprzęcie stanowiącym jego własność, według jego procedur), to nie będzie konieczności zawarcia umowy powierzenia, lecz zajdzie konieczność upoważnienia oddelegowanego pracownika do przetwarzania danych osobowych. Upoważnienie, z którego wynikałoby polecenie przetwarzania danych, powinien nadać odbiorca usług i leasingu pracowniczego, czyli ADO 2.
Natomiast w sytuacji, w której oddelegowany pracownik świadczyłby usługi przy użyciu infrastruktury pracodawcy outsourcującego, tj. ADO 1 (w jego pomieszczeniach lub na jego sprzęcie), zajdzie konieczność zawarcia pomiędzy ADO 1 i ADO 2 umowy powierzenia danych, o której mowa w art. 28 RODO – jej przedmiotem byłyby wówczas dane osobowe przetwarzane przez ADO 2, do których dostęp uzyska oddelegowany pracownik. W takiej umowie ADO 2 powinien być wskazany jako administrator, a ADO 1 jako podmiot przetwarzający. Zawarcie umowy powierzenia nie oznacza, że pracownik oddelegowany nie powinien otrzymać upoważnienia do przetwarzania danych osobowych, jednak w takim modelu upoważnienie powinno zostać nadane przez podmiot przetwarzający, tj. ADO 1.
Przepływ danych pracownika oddelegowanego – umowa powierzenia pomiędzy ADO 1 i ADO 2?
Warto przypomnieć, że body leasingu nie reguluje żadna ustawa, a tym samym przepisy prawa w żaden sposób nie rozstrzygają kwestii relacji w zakresie przetwarzania danych oddelegowanego pracownika pomiędzy pracodawcą outsourcującym (ADO 1) a odbiorcą usługi leasingu pracowniczego (ADO 2). Jeżeli ADO 1 podpisał z pracownikiem umowę o pracę, to na ADO 1 spoczywają wszystkie obowiązki wynikające z przepisów z zakresu prawa pracy, w tym z Kodeksu pracy. Dużą część tych obowiązków w przypadku body leasingu będzie wykonywał co do zasady ADO 2 jako odbiorca usługi leasingu pracowniczego, w imieniu pracodawcy outsourcującego (ADO 1) – oczywiście zakres tych obowiązków powinna określać umowa pomiędzy ADO 1 i ADO 2 dotycząca body leasingu.
W związku z powyższym należy wskazać, że pracodawca, który podpisał umowę o pracę (ADO 1), jako administrator powierza przetwarzanie danych osobowych swojego pracownika podmiotowi, który jest jego klientem, czyli odbiorcą usługi leasingu pracowniczego (ADO 2), a na rzecz którego ten pracownik będzie faktycznie świadczyć usługi.
Administrator danych (ADO 1), może powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu (ADO 2) w zakresie czynności niezbędnych do:
- zapewnienia bezpiecznych i higienicznych warunków pracy w miejscu wyznaczonym do wykonywania pracy tymczasowej,
- przeprowadzenia szkolenia w zakresie bezpieczeństwa i higieny pracy,
- ustalenia okoliczności i przyczyn wypadku przy pracy,
- przeprowadzenia oceny ryzyka zawodowego oraz poinformowania o tym ryzyku,
- dostarczenia pracownikowi odzieży i obuwia roboczego oraz środków ochrony indywidualnej,
- prowadzenia ewidencji czasu pracy pracownika w zakresie i na zasadach obowiązujących w stosunku do pracowników,
- wykonania obowiązków i korzystania z praw przysługujących pracodawcy, w zakresie niezbędnym do organizowania pracy z udziałem osoby oddelegowanej.
Z powyższego wynika, że relacja między wskazanymi podmiotami ADO 1 i ADO 2 w zakresie przetwarzania danych delegowanego pracownika to relacja administrator (ADO 1) i podmiot przetwarzający (ADO 2), co implikuje konieczność zawarcia umowy powierzenia spełniającej wymagania wskazane w art. 28 RODO.