Rozważając kwestię konieczności zawarcia umowy powierzenia pomiędzy ADO 1 (pracodawca outsourcujący) i ADO 2 (odbiorca usługi leasingu pracowniczego), należy wyróżnić przetwarzanie danych na dwóch płaszczyznach. Pierwsza płaszczyzna to przetwarzanie danych należących do ADO 2 przez oddelegowanego pracownika zatrudnionego przez ADO 1. Druga - przetwarzanie danych oddelegowanego pracownika, którego dane przetwarzane są zarówno przez ADO 1, jak i ADO 2.
Należy podkreślić, że umowa body leasingu zawierana pomiędzy przedsiębiorcami (ADO 1 i ADO 2) dotyczy przede wszystkim wynajmu (współ)pracowników, a nie przetwarzania danych osobowych. Jednakże przetwarzanie danych bardzo często będzie nierozerwalnie związane z realizacją tej umowy.
Po pierwsze wszystko zależy od tego, czy przy realizacji swoich obowiązków na rzecz ADO 2 oddelegowany pracownik będzie uczestniczył w przetwarzaniu danych osobowych – zakładamy, że odpowiedź jest twierdząca.
Po drugie musimy wiedzieć z jakiej infrastruktury oddelegowany pracownik będzie korzystał. Jeżeli oddelegowany pracownik będzie świadczył usługi w ramach infrastruktury odbiorcy usług i leasingu pracowniczego, czyli ADO 2 (w szczególności w jego siedzibie, na sprzęcie stanowiącym jego własność, według jego procedur), to nie będzie konieczności zawarcia umowy powierzenia, a zajdzie konieczność upoważnienia oddelegowanego pracownika do przetwarzania danych osobowych. Upoważnienie (z którego wynikałoby polecenie przetwarzania danych) powinien nadać odbiorca usług i leasingu pracowniczego, czyli ADO 2.
Natomiast w sytuacji, w której oddelegowany pracownik świadczyłby usługi przy użyciu infrastruktury pracodawcy outsourcującego, tj. ADO 1 (w jego pomieszczeniach lub na jego sprzęcie), zajdzie konieczność zawarcia pomiędzy ADO 1 i ADO 2 umowy powierzenia danych, o której mowa w art. 28 RODO - jej przedmiotem byłyby wówczas dane osobowe przetwarzane przez ADO 2, do których dostęp uzyska oddelegowany pracownik. W takiej umowie ADO 2 powinien być wskazany jako administrator, a ADO 1 jako podmiot przetwarzający. Zawarcie umowy powierzenia nie oznacza, że pracownik oddelegowany nie powinien otrzymać upoważnienia do przetwarzania danych osobowych, jednak w takim modelu upoważnienie powinno zostać nadane przez podmiot przetwarzający, tj. ADO 1.
Warto przypomnieć, że body leasingu nie reguluje żadna ustawa, a tym samym przepisy prawa w żaden sposób nie rozstrzygają kwestii relacji w zakresie przetwarzania danych oddelegowanego pracownika pomiędzy pracodawcą outsourcującym (ADO 1) a odbiorcą usługi leasingu pracowniczego (ADO 2). Jeżeli ADO 1 podpisał z pracownikiem umowę o pracę, to na ADO 1 spoczywają wszystkie obowiązki wynikające z przepisów z zakresu prawa pracy, w tym z Kodeksu pracy. Dużą część tych obowiązków w przypadku body leasingu będzie wykonywał co do zasady ADO 2 jako odbiorca usługi leasingu pracowniczego, w imieniu pracodawcy outsourcującego (ADO 1) – oczywiście zakres tych obowiązków powinna określać umowa pomiędzy ADO 1 i ADO 2 dotycząca body leasingu.
W związku z powyższym należy wskazać, że pracodawca, który podpisał umowę o pracę (ADO 1), jako administrator powierza przetwarzanie danych osobowych swojego pracownika podmiotowi, który jest jego klientem, czyli odbiorcą usługi leasingu pracowniczego (ADO 2), a na rzecz którego ten pracownik będzie faktycznie świadczyć usługi.
Administrator danych (ADO 1), może powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu (ADO 2) w zakresie czynności niezbędnych do:
Z powyższego wynika, że relacja między wskazanymi podmiotami ADO 1 i ADO 2 w zakresie przetwarzania danych delegowanego pracownika to relacja administrator (ADO 1) i podmiot przetwarzający (ADO 2), co implikuje konieczność zawarcia umowy powierzenia spełniającej wymagania wskazane w art. 28 RODO.
-
Interaktywny tekst RODO oraz polskiej ustawy wzbogacony
