Podstawa prawna przetwarzania danych zleceniobiorcy zależy od okoliczności danego przypadku.
Podstawowym aktem prawnym regulującym przetwarzanie danych osobowych w przypadku zatrudniania w oparciu o tego umowę cywilnoprawną są przepisy RODO oraz Kodeksu cywilnego. Art. 3531 Kodeksu cywilnego wyraża zasadę swobody umów. Zgodnie z nią strony zawierające umowę mogą ułożyć stosunek prawny według swego uznania, byleby jego treść lub cel nie sprzeciwiały się właściwości (naturze) stosunku, ustawie ani zasadom współżycia społecznego. Przepisy prawa cywilnego nie określają jednak wprost zakresu danych, które można pozyskiwać przy tego typu niepracowniczych formach zatrudnienia.
Przede wszystkim administrator danych osobowych (dalej: ADO), tj. osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, podlega bezpośrednio przepisom RODO w zakresie przetwarzanych przez siebie danych. Oznacza to, że powinien on przestrzegać ogólnych zasad przetwarzania opisanych w art. 5 ust. 1 RODO. Zgodnie z tym przepisem dane osobowe muszą być m.in.:
Oznacza to, że przy niepracowniczych formach zatrudnienia ADO nie ma pełnej swobody, jeżeli chodzi o zakres pozyskiwanych danych osobowych. W każdym bowiem indywidualnym przypadku osoba, której dane dotyczą, może przed zawarciem lub po rozwiązaniu umowy cywilnoprawnej zakwestionować zakres przetwarzanych danych osobowych.
Dlatego ADO powinien mieć na uwadze, że ocena przestrzegania powyższych zasad powinna być dokonywana indywidualnie – różny może być bowiem cel zbierania danych osobowych w zależności od zadań osoby, z którą ADO podpisuje umowę cywilnoprawną. Każdorazowo ADO powinien jednak rozważyć, czy pozyskanie konkretnych danych będzie zgodne z celem ich pozyskania, tj. zawarciem umowy cywilnoprawnej na świadczenie konkretnych usług.
Dopuszczalne obecnym brzmieniem Kodeksu pracy jest pozyskiwanie imion rodziców kandydata do pracy. W przypadku natomiast umowy cywilnoprawnej zasadność pozyskiwania tej informacji jest dyskusyjna – ADO powinien wówczas być w stanie właściwie uzasadnić, do czego przy tego typu umowie potrzebne mu są takie dane.
Główną przesłanką przetwarzania danych osoby, z którą ADO zawiera umowę cywilnoprawną będzie zazwyczaj art. 6 ust. 1 pkt b RODO, zgodnie z którym możemy przetwarzać dane osobowe, jeśli przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem tej umowy.
Niemniej jednak, każdą sytuację ADO powinien w takim wypadku oceniać indywidualnie. Często bowiem, w odniesieniu do konkretnych danych osobowych, dodatkową przesłanką będzie art. 6 ust. 1 pkt c RODO (dopuszczalność przetwarzania danych, w sytuacji gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na ADO), co ma miejsce zwłaszcza w przypadku konieczności zgłoszenia zatrudnianej osoby do ubezpieczeń zdrowotnych.
ADO musi się również wywiązywać wobec osób zatrudnianych w ramach niepracowniczych form zatrudnienia z innych obowiązków, które RODO nakłada na niego w związku z wszystkimi czynnościami przetwarzania danych, jakich na co dzień on dokonuje. Przede wszystkim ADO powinien wobec tych osób wypełnić obowiązek informacyjny w sposób opisany w art. 13 i 14 RODO.
Należy również pamiętać, że zgodnie z art. 29 RODO podmiot przetwarzający oraz każda osoba działająca z upoważnienia ADO lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzać je może wyłącznie na polecenie ADO, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Oznacza to, że ADO powinien upoważnić osobę zatrudnioną na podstawie umowy cywilnoprawnej do przetwarzania danych osobowych w swojej firmie, w przypadku gdy zamierza on dopuścić ją do takiego przetwarzania.
Jak wskazuje Poradnik Urzędu Ochrony Danych Osobowych: „w sytuacji typowego zlecania części operacji przetwarzania danych osobowych (gałęzi – np. danych kadrowych, płacowych) innym podmiotom, które są wyodrębnione od jednostki organizacyjnej administratora, dokonują one przetwarzania w swoich własnych systemach, przekazując administratorowi ewentualnie efekt swoich działań. W konsekwencji należy uznać, że takie podmioty nie stanowią szeroko rozumianego personelu administratora, co oznacza, iż przetwarzają one dane na zasadach powierzenia”. Oznacza to, że ADO powinien zawrzeć wówczas dodatkowo z takimi osobami umowę powierzenia danych osobowych w sposób opisany w art. 28 RODO. Obowiązek ten dotyczy np. sytuacji, w której ADO zawarł umowę cywilnoprawną dotyczącą prowadzenia księgowości, świadczenia usług hostingu, czy też prowadzenia działań szkoleniowych realizowanych przez daną osobę poza strukturą ADO.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
