WORKATION W BRANŻY IT A WYMOGI PRAWNE

Coraz bardziej popularne w branży IT zjawisko workation (ang. work + vacation) czy „pracowakacji” stawia przed podmiotami zatrudniającymi nowe wyzwania natury prawnej. Umożliwienie personelowi pracy z mniej lub bardziej egzotycznych miejsc musi bowiem pozostawać w zgodzie z przepisami prawa. Jest to o tyle trudne, że coraz silniejsza pozycja pracowników na rynku pracy wymusza ustępstwa na ich rzecz – co nie może odbyć się jednak kosztem przestrzegania rygorystycznych przepisów. Każdy software house – mający w perspektywie dłuższe funkcjonowanie w branży – musi bowiem zadbać o ustalenie i egzekwowanie wymogów, które nakładają w szczególności przepisy o ochronie danych osobowych. W niniejszym wpisie zwracamy uwagę na fundamentalne kwestie, o które trzeba zadbać organizując w przedsiębiorstwie workation.

W pierwszej jednak kolejności musimy zwrócić uwagę na personel zatrudniony na podstawie umowy o pracę. W tym bowiem wypadku aktualnie obowiązujące przepisy prawa, w tym prawa podatkowego   oraz prawa pracy i ubezpieczeń społecznych uniemożliwiają pracownikom pracę poza granicami kraju, o czym szerzej pisaliśmy w osobnym artykule. Zatem wpis niniejszy poświęcamy wyłącznie osobom samozatrudnionym (na tzw. B2B), w wypadku których istnieje szersze pole manewru co do objęcia ich modelem workation.

Powierzenie przetwarzania danych osobowych

Pierwszą kwestią o jakiej należy pamiętać jest zawarcie z migrującym członkami personelu umowy powierzenia przetwarzania danych (DPA – Data Processing Agreement). Co do zasady samozatrudnieni pracujący na infrastrukturze swego zleceniodawcy w ramach swych obowiązków przetwarzają dane osobowe na podstawie upoważnienia. W szczególności jest tak, gdy osoba będąca na B2B świadczy usługi na sprzęcie powierzonym jej przez zleceniodawcę, przebywa stacjonarnie w jego biurze lub pracując zdalnie łączy się do systemów teleinformatycznych zleceniodawcy za pośrednictwem łącza VPN. Sytuacja ulega jednak zmianie, gdy samozatrudniony wychodzi poza infrastrukturę technologiczną swego zleceniodawcy, pracując na sprzęcie własnym. Wówczas, niezależnie od faktu przebywania w kraju czy za granicą, zajdzie potrzeba zawarcia umowy powierzenia przetwarzania danych osobowych, która zastąpi upoważnienie. Dzieje się tak, ponieważ zleceniodawca traci wówczas faktyczną kontrolę nad przetwarzaniem danych osobowych przez personel pracujący poza infrastrukturą zleceniodawcy. Z kolei przypadek świadczenia usług w ramach infrastruktury zleceniodawcy (m.in. na jego sprzęcie), ale poza granicami kraju, w tym poza terytorium Europejskiego Obszaru Gospodarczego, wymaga głębszej analizy czy dopuszczalne będzie przetwarzanie danych jeszcze na podstawie upoważnienia czy już na podstawie DPA. Na pewno pomocna okaże się tutaj wytyczna, w myśl której im mniejsza więź łączy zleceniobiorcę ze zleceniodawcą, tym bardziej zasadna będzie opcja zawarcia przez strony umowy powierzenia przetwarzania danych. DPA jest bowiem instrumentem mającym zapewnić kontrolę podmiotu powierzającego nad przetwarzaniem danych osobowych przez ich odbiorcę. Gdy kontrola ta wynika z innych okoliczności – czy to o charakterze prawnym (jak w przypadku umowy o pracę), czy faktycznym (jak w przypadku personelu przetwarzającego dane w ramach infrastruktury administratora), wówczas zawieranie DPA jest niecelowe. W umowie powierzenia przetwarzania danych – gdy już ją zawieramy – należy zwrócić szczególną uwagę na środki zapewniające bezpieczeństwo przetwarzania danych osobowych i pamiętać, że spełniać musi ona wszystkie wymogi przewidziane w art. 28 GDPR.

Workation poza terytorium EOG

Codzienna praktyka pokazuje, że personel z branży IT coraz chętniej świadczy usługi nie tylko spoza granic Polski, ale i spoza terytorium Europejskiego Obszaru Gospodarczego (grupującego państwa członkowskie UE, Islandię, Liechtenstein i Norwegię). Któż bowiem by nie chciał, mając taką możliwość, tworzyć kodu źródłowego na rajskiej wyspie? Takie państwo w nomenklaturze ogólnego rozporządzenia o ochronie danych (RODO) nosi nazwę „państwa trzeciego”, a godząc się na przetwarzanie przez naszego kontraktora danych osobowych w tym państwie, dokonujemy transferu danych do takiego państwa, z czym wiążą się konsekwencje prawne. Zezwalając członkowi personelu na korzystanie z workation poza terytorium EOG należy zadbać nie tylko o zawarcie z nim DPA, ale także ustalić w jakim państwie członek personelu zamierza świadczyć na naszą rzecz usługi. Podmiot powierzający dane osobowe innemu podmiotowi jest odpowiedzialny za to powierzenie i musi mieć pełną kontrolę nad tym procesem, wiedząc komu jakie dane przekazuje oraz jak i gdzie będą one przetwarzane. Wiadomym jest, że różne państwa rozmaicie podchodzą do kwestii ochrony danych osobowych i znaczna ich część stosuje standardy odmienne od tych, które przewiduje RODO.

Istnieje grupa państw, które w ocenie Komisji Europejskiej stosują adekwatne standardy ochrony danych, co znajduje wyraz w stosownej decyzji tego organu. Jeśli nasz kontraktor wybiera się na workation do jednego z tych państw, nie będzie konieczne stosowanie dodatkowych – poza wymogami określonymi w DPA – zabezpieczeń prawnych. Listę tzw. państw bezpiecznych warto sobie przyswoić, a obejmuje ona na dzień sporządzenia niniejszej publikacji następujące kraje:

  • Andora;

  • Argentyna;

  • Guernsey;

  • Izrael;

  • Japonia;

  • Kanada;

  • Nowa Zelandia;

  • Szwajcaria;

  • Urugwaj;

  • Wielka Brytania;

  • Wyspa Man;

  • Wyspy Owcze.

Uwagę zwraca stosunkowo krótki charakter tej listy, a w szczególności brak na niej USA czy Australii, nie mówiąc już o bardziej egzotycznych kierunkach jak Dominikana czy Zanzibar. Zezwalając kontraktorom na świadczenie usług w państwach spoza tej listy należy zadbać o dodatkowe zabezpieczenia, którymi w praktyce najczęściej będą Standardowe Klauzule Umowne, o których mowa poniżej. W tym miejscu zaznaczyć należy, że na stan ochrony danych osobowych w danym państwie ogromny wpływ ma aktualna sytuacja polityczno-społeczna. Może bowiem się zdarzyć, iż przykładowo w Izraelu, wobec którego Komisja Europejska wydała „zielone światło” na przekazanie danych, wybucha kolejna faza konfliktu palestyńskiego, to państwo to przestaje być bezpieczne i powinniśmy zabronić personelowi przetwarzania danych osobowych będących w naszych zasobach. Na dzień dzisiejszy nie zanosi się na specjalne rozszerzenie w/w listy. 16 czerwca 2021 r. Komisja Europejska wszczęła procedurę mającą na celu przyjęcie decyzji o adekwatności ochrony danych osobowych przez Koreę Południową i ten kraj – jako jedyny najprawdopodobniej – dołączy w najbliższym czasie do w/w listy. Zastanawiając się nad poziomem standardów ochrony danych osobowych warto skorzystać z narzędzia udostępnionego przez CNIL (francuski organ nadzorczy) pod adresem: https://www.cnil.fr/en/data-protection-around-the-world. Może ono być pomocne w szybkim ustaleniu destynacji, które można brać pod uwagę przy wdrażaniu workation w przedsiębiorstwie.

Standardowe Klauzule Umowne

Jak wyżej była o tym mowa środkiem zabezpieczającym transfer danych osobowych do państwa trzeciego w sytuacji, gdy nie znajduje się ono na liście tworzonej przez Komisję Europejską będą Standardowe Klauzule Umowne (SKU). Stanowią one często jedyny sposób na dokonanie takiego transferu w sposób zgodny z prawem. Decyzją nr (UE) 2021/914 z 4 czerwca 2021 r. (weszła w życie 27 czerwca) Komisja Europejska przyjęła długo wyczekiwane nowe standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich. Decyzja ta była długo wyczekiwana przez sektor IT, ponieważ standardowe klauzule umowne w dotychczasowym kształcie nie umożliwiały transferu danych poza EOG w relacji pomiędzy podmiotem przetwarzającym i dalszym podmiotem przetwarzającym, czyli gdy software house (będący często procesorem danych powierzonych mu przez klienta) miał zamiar podpowierzyć przetwarzanie tych danych swemu kontraktorowi jako podwykonawcy. Ograniczenie to stało się szczególnie odczuwalne po upadku tzw. Privacy Shield, który to program zapewniał legalny transfer danych do podmiotów z USA. Brakowało również regulacji dla sytuacji, w której to procesor transferuje dane osobowe z Unii Europejskiej do administratora z Państwa Trzeciego (rzadsza w praktyce, ale może również mieć miejsce i dotyczyć np. polskich przedsiębiorców rekrutujących specjalistów IT dla zagranicznych klientów).

Nowe SKU podzielone zostały na 4 następujące moduły:

  • Moduł I: przekazywanie danych pomiędzy administratorami (relacja pozioma);

  • Moduł II: przekazywanie danych przez administratora podmiotowi przetwarzającemu (relacja pionowa w dół: administrator → procesor);

  • Moduł III: przekazywanie danych pomiędzy podmiotami przetwarzającymi – ten moduł stanowi gorąco oczekiwane novum ułatwiające znacząco korzystanie z usług podwykonawców i dostawców spoza EOG (relacja pionowa procesor → dalszy procesor);

  • Moduł IV: przekazywanie danych przez podmiot przetwarzający administratorowi (relacja pionowa odwrócona: administrator danych ← procesor).

Analiza ryzyka pod względem wyboru miejsca przetwarzania danych

Niezależnie od DPA i SKU należy pamiętać, że nie są to „podkładki” zawsze zapewniające bezpieczne przetwarzanie danych osobowych. Zezwolenie kontraktorom na przetwarzanie danych w ramach workation winno być poprzedzone dwufazową analizą ryzyka (dokonywaną najpierw przez konsultanta będącego przedsiębiorcą, a więc profesjonalistą, a następnie przez software house), z której wynikać będzie, że dane państwo jest w istocie bezpieczne, nie jest objęte konfliktem zbrojnym, stanem wyjątkowym, epidemią, czy inną sytuacją mogącą stawiać pod znakiem zapytania poziom dbałości administracji danego państwa o prywatność jednostki. Im „gorętsza” sytuacja w kraju, tym większe uprawnienia jego służb i większe ryzyko braku poszanowania standardów ochrony danych osobowych. Odpowiednie zapisy w tym przedmiocie winny się znaleźć w umowie DPA, jak również w samej umowie o współpracy.

Rezydencja podatkowa

Kwestia ochrony danych osobowych to nie jedyne zagadnienie prawne wiążące się z workation. Migrujący personel przy wyborze miejsca świadczenia usług rzadko zwraca uwagę na kwestie podatkowe, traktując swój pobyt za granicą mimo wszystko turystycznie. I o ile ten pobyt nie jest specjalnie długi (liczony w dniach, najwyżej tygodniach), o tyle co do zasady nie będzie potrzeby by martwić się konsekwencjami podatkowymi takiego wyjazdu. W przypadku jednak dłuższego pobytu za granicą (zwłaszcza w jednym państwie) zajdzie potrzeba rozważenia konsekwencji podatkowych oraz ubezpieczeniowych. Z punktu widzenia interesów software house ważne są zapisy w umowie z kontraktorem, które będą zabezpieczać zleceniodawcę przed konsekwencjami zmiany rezydencji podatkowej kontraktora. Należy bowiem zobowiązać tego ostatniego do dostarczenia w takim wypadku oryginału Certyfikatu Rezydencji Podatkowej. Z workation może się wiązać konieczność naliczenia i odprowadzenia przez software house podatku u źródła, stąd konsekwencjami ewentualnych zaniedbań w zakresie braku dostarczenia w/w certyfikatu będzie trzeba obarczyć kontraktora – warto aby umowa tę kwestię w sposób jasny precyzowała.

Wpisy powiązane:

Praca zdalna w branży IT

Outsourcing usług IT

Outsourcing personelu IT

Ochrona informacji poufnych w IT

Zatrudnianie cudzoziemców w branży IT

Nearshoring vs offshoring w IT

Obsługa prawna w IT - podstawowe zadania

Test przedsiębiorcy w branży IT

Rekrutacja w IT - dane osobowe

Data publikacji: 13.09.2021.