Aktualny

Rekrutacja zleceniobiorców – sprawdź, na jakiej podstawie przetwarzać ich dane

Maciej Lipka

Autor: Maciej Lipka

Dodano: 20 listopada 2018
Rekrutacja pracownika
Pytanie:  Na jakiej podstawie można przetwarzać dane osobowe kandydata do zatrudnienia na podstawie umowy cywilnoprawnej? Jakie obowiązki w zakresie RODO należy zrealizować względem potencjalnego zleceniobiorcy?
Odpowiedź: 

Podstawa prawna przetwarzania danych zleceniobiorcy zależy od okoliczności danego przypadku.

Brak regulacji odnośnie zakresu pozyskiwanych danych

Podstawowym aktem prawnym regulującym przetwarzanie danych osobowych w przypadku zatrudniania w oparciu o tego umowę cywilnoprawną są przepisy RODO oraz Kodeksu cywilnego. Art.  353Kodeksu cywilnego wyraża zasadę swobody umów. Zgodnie z nią strony zawierające umowę mogą ułożyć stosunek prawny według swego uznania, byleby jego treść lub cel nie sprzeciwiały się właściwości (naturze) stosunku, ustawie ani zasadom współżycia społecznego. Przepisy prawa cywilnego nie określają jednak wprost zakresu danych, które można pozyskiwać przy tego typu niepracowniczych formach zatrudnienia.

Przede wszystkim administrator danych osobowych (dalej: ADO), tj. osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, podlega bezpośrednio przepisom RODO w zakresie przetwarzanych przez siebie danych. Oznacza to, że powinien on przestrzegać ogólnych zasad przetwarzania opisanych w art. 5 ust. 1 RODO. Zgodnie z tym przepisem dane osobowe muszą być m.in.:

  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (zasada ograniczenia celu);
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (zasada minimalizacji danych);
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (zasada ograniczenia przechowywania);
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych (zasada integralności i poufności).

Oznacza to, że przy niepracowniczych formach zatrudnienia ADO nie ma pełnej swobody, jeżeli chodzi o zakres pozyskiwanych danych osobowych. W każdym bowiem indywidualnym przypadku osoba, której dane dotyczą, może przed zawarciem lub po rozwiązaniu umowy cywilnoprawnej zakwestionować zakres przetwarzanych danych osobowych.

To zależy …

Dlatego ADO powinien mieć na uwadze, że ocena przestrzegania powyższych zasad powinna być dokonywana indywidualnie – różny może być bowiem cel zbierania danych osobowych w zależności od zadań osoby, z którą ADO podpisuje umowę cywilnoprawną. Każdorazowo ADO powinien jednak rozważyć, czy pozyskanie konkretnych danych będzie zgodne z celem ich pozyskania, tj. zawarciem umowy cywilnoprawnej na świadczenie konkretnych usług.

Przykład

Dopuszczalne obecnym brzmieniem Kodeksu pracy jest pozyskiwanie imion rodziców kandydata do pracy. W przypadku natomiast umowy cywilnoprawnej zasadność pozyskiwania tej informacji jest dyskusyjna – ADO powinien wówczas być w stanie właściwie uzasadnić, do czego przy tego typu umowie potrzebne mu są takie dane.

Główną przesłanką przetwarzania danych osoby, z którą ADO zawiera umowę cywilnoprawną będzie zazwyczaj art. 6 ust. 1 pkt b RODO, zgodnie z którym możemy przetwarzać dane osobowe, jeśli przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem tej umowy.

Niemniej jednak, każdą sytuację ADO powinien w takim wypadku oceniać indywidualnie. Często bowiem, w odniesieniu do konkretnych danych osobowych, dodatkową przesłanką będzie art. 6 ust. 1 pkt c RODO (dopuszczalność przetwarzania danych, w sytuacji gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na ADO), co ma miejsce zwłaszcza w przypadku konieczności zgłoszenia zatrudnianej osoby do ubezpieczeń zdrowotnych.

Obowiązek informacyjny względem potencjalnego zleceniobiorcy

ADO musi się również wywiązywać wobec osób zatrudnianych w ramach niepracowniczych form zatrudnienia z innych obowiązków, które RODO nakłada na niego w związku z wszystkimi czynnościami przetwarzania danych, jakich na co dzień on dokonuje. Przede wszystkim ADO powinien wobec tych osób wypełnić obowiązek informacyjny w sposób opisany w art. 13 i 14 RODO.

Konieczna umowa powierzenia przetwarzania danych

Należy również pamiętać, że zgodnie z art. 29 RODO podmiot przetwarzający oraz każda osoba działająca z upoważnienia ADO lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzać je może wyłącznie na polecenie ADO, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Oznacza to, że ADO powinien upoważnić osobę zatrudnioną na podstawie umowy cywilnoprawnej do przetwarzania danych osobowych w swojej firmie, w przypadku gdy zamierza on dopuścić ją do takiego przetwarzania.

Uwaga

Jak wskazuje Poradnik Urzędu Ochrony Danych Osobowych: „w sytuacji typowego zlecania części operacji przetwarzania danych osobowych (gałęzi – np. danych kadrowych, płacowych) innym podmiotom, które są wyodrębnione od jednostki organizacyjnej administratora, dokonują one przetwarzania w swoich własnych systemach, przekazując administratorowi ewentualnie efekt swoich działań. W konsekwencji należy uznać, że takie podmioty nie stanowią szeroko rozumianego personelu administratora, co oznacza, iż przetwarzają one dane na zasadach powierzenia”. Oznacza to, że ADO powinien zawrzeć wówczas dodatkowo z takimi osobami umowę powierzenia danych osobowych w sposób opisany w art. 28 RODO. Obowiązek ten dotyczy np. sytuacji, w której ADO zawarł umowę cywilnoprawną dotyczącą prowadzenia księgowości, świadczenia usług hostingu, czy też prowadzenia działań szkoleniowych realizowanych przez daną osobę poza strukturą ADO.

Maciej Lipka

Autor: Maciej Lipka

Jest ekspertem ds. ochrony danych osobowych. Specjalizuje się w problemach związanych z wdrażaniem obowiązujących przepisów w organizacji, wskazując zarówno na wymogi formalne, jak i na praktyczne rozwiązania ułatwiające przestrzeganie prawa.

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x