Body leasing a RODO

„Body leasing” to model współpracy polegający na udostępnianiu pracowników lub współpracowników innemu przedsiębiorcy, w zamian za określone wynagrodzenie. Body leasingu nie należy mylić z pracą tymczasową, która regulowana jest Ustawą o zatrudnianiu pracowników tymczasowych, określającą relację pomiędzy agencją pracy tymczasowej a pracodawcą-użytkownikiem. Tymczasem instytucja body leasingu nie została sprecyzowana w żadnych przepisach.

Rozważając kwestię konieczności zawarcia umowy powierzenia pomiędzy ADO 1 (pracodawca outsourcujący) i ADO 2 (odbiorca usługi leasingu pracowniczego), należy wyróżnić przetwarzanie danych na dwóch płaszczyznach. Pierwsza to przetwarzanie danych należących do ADO 2 przez oddelegowanego pracownika zatrudnionego przez ADO 1. Druga – przetwarzanie danych oddelegowanego pracownika, którego dane przetwarzane są zarówno przez ADO 1 , jak i ADO 2.

Body Leasing

Upoważnienie dla oddelegowanego pracownika czy umowa powierzenia pomiędzy ADO 1 i ADO 2?

Należy podkreślić, że umowa body leasingu zawierana pomiędzy przedsiębiorcami (ADO 1 i ADO 2) dotyczy przede wszystkim wynajmu pracowników/współpracowników, a nie przetwarzania danych osobowych. Jednakże przetwarzanie danych bardzo często będzie nierozerwalnie związane z realizacją tej umowy.

Czy w takiej sytuacji ADO 1 i ADO 2 powinni podpisać umowę powierzenia?

Po pierwsze, wszystko zależy od tego, czy przy realizacji swoich obowiązków na rzecz ADO 2 oddelegowany pracownik będzie uczestniczył w przetwarzaniu danych osobowych – zakładamy, że odpowiedź jest twierdząca.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Po drugie, musimy wiedzieć, z jakiej infrastruktury oddelegowany pracownik będzie korzystał. Jeżeli oddelegowany pracownik będzie świadczył usługi w ramach infrastruktury odbiorcy usług i leasingu pracowniczego, czyli ADO 2 (w szczególności w jego siedzibie, na sprzęcie stanowiącym jego własność, według jego procedur), to nie będzie konieczności zawarcia umowy powierzenia, lecz zajdzie konieczność upoważnienia oddelegowanego pracownika do przetwarzania danych osobowych. Upoważnienie,  z którego wynikałoby polecenie przetwarzania danych, powinien nadać odbiorca usług i leasingu pracowniczego, czyli ADO 2.

Natomiast w sytuacji, w której oddelegowany pracownik świadczyłby usługi przy użyciu infrastruktury pracodawcy outsourcującego, tj. ADO 1 (w jego pomieszczeniach lub na jego sprzęcie), zajdzie konieczność zawarcia pomiędzy ADO 1 i ADO 2 umowy powierzenia danych, o której mowa w art. 28 RODO – jej przedmiotem byłyby wówczas dane osobowe przetwarzane przez ADO 2, do których dostęp uzyska oddelegowany pracownik. W takiej umowie ADO 2 powinien być wskazany jako administrator, a ADO 1 jako podmiot przetwarzający. Zawarcie umowy powierzenia nie oznacza, że pracownik oddelegowany nie powinien otrzymać upoważnienia do przetwarzania danych osobowych, jednak w takim modelu upoważnienie powinno zostać nadane przez podmiot przetwarzający, tj. ADO 1.

Przepływ danych pracownika oddelegowanego – umowa powierzenia pomiędzy ADO 1 i ADO 2?

Warto przypomnieć, że body leasingu nie reguluje żadna ustawa, a tym samym przepisy prawa w żaden sposób nie rozstrzygają kwestii relacji w zakresie przetwarzania danych oddelegowanego pracownika pomiędzy pracodawcą outsourcującym (ADO 1) a odbiorcą usługi leasingu pracowniczego (ADO 2). Jeżeli ADO 1 podpisał z pracownikiem umowę o pracę, to na ADO 1 spoczywają wszystkie obowiązki wynikające z przepisów z zakresu prawa pracy, w tym z Kodeksu pracy. Dużą część tych obowiązków w przypadku body leasingu będzie wykonywał co do zasady ADO 2 jako odbiorca usługi leasingu pracowniczego, w imieniu pracodawcy outsourcującego (ADO 1) – oczywiście zakres tych obowiązków powinna określać umowa pomiędzy ADO 1 i ADO 2 dotycząca body leasingu.

W związku z powyższym należy wskazać, że pracodawca, który podpisał umowę o pracę (ADO 1), jako administrator powierza przetwarzanie danych osobowych swojego pracownika podmiotowi, który jest jego klientem, czyli odbiorcą usługi leasingu pracowniczego (ADO 2), a na rzecz którego ten pracownik będzie faktycznie świadczyć usługi.

Administrator danych (ADO 1), może powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu (ADO 2) w zakresie czynności niezbędnych do:

  • zapewnienia bezpiecznych i higienicznych warunków pracy w miejscu wyznaczonym do wykonywania pracy tymczasowej,
  • przeprowadzenia szkolenia w zakresie bezpieczeństwa i higieny pracy,
  • ustalenia okoliczności  i przyczyn wypadku przy pracy,
  • przeprowadzenia oceny ryzyka zawodowego oraz poinformowania o tym ryzyku,
  • dostarczenia pracownikowi odzieży i obuwia roboczego oraz środków ochrony indywidualnej,
  • prowadzenia ewidencji czasu pracy pracownika w zakresie i na zasadach obowiązujących w stosunku do pracowników,
  • wykonania obowiązków  i korzystania z praw przysługujących pracodawcy, w zakresie niezbędnym do organizowania pracy z udziałem osoby oddelegowanej.

Z powyższego wynika, że relacja między wskazanymi podmiotami ADO 1 i ADO 2 w zakresie przetwarzania danych delegowanego pracownika to relacja administrator (ADO 1) i podmiot przetwarzający (ADO 2), co implikuje konieczność zawarcia umowy powierzenia spełniającej wymagania wskazane w art. 28 RODO.

Czytaj także:

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".