Zyskujące na popularności zjawisko „body leasing” w kontekście ochrony danych osobowych dostarcza wielu wątpliwości interpretacyjnych w zakresie określenia ról dostawcy usług outsourcingu kadrowego oraz podmiotu korzystającego z takich usług w procesie przetwarzania danych osobowych. Istotne jest również odpowiednie zabezpieczenie danych, do których delegowany personel będzie miał dostęp. Usunięcie tych wątpliwości jest niezbędne do tego, by dobrać właściwe instrumenty prawne służące zapewnieniu zgodności działania przedsiębiorców z wymogami RODO.
Zjawisko „body leasing” (zwane także leasingiem pracowniczym) to nic innego jak udostępnienie członków personelu (pracowników lub współpracowników) jednego przedsiębiorcy innemu w zamian za określone wynagrodzenie. W tej konfiguracji mamy zatem: przedsiębiorców, którzy na podstawie umowy outsourcingowej zapewniają sobie w określonym ujęciu czasowym wsparcie kadrowe, doświadczonych i sprawdzonych specjalistów (pracowników czy tzw. „kontraktorów”), którzy mogą świadczyć usługi stacjonarnie u klienta korzystającego z outsourcingu, w siedzibie swego pracodawcy (usługodawcy) bądź całkowicie zdalnie oraz przedsiębiorców, którzy dysponują zasobami kadrowymi odpowiednimi do zaspokojenia zapotrzebowania kadrowego swego klienta. Ów „najem personelu" robi furorę dzięki oferowanej przez wyspecjalizowanych przedsiębiorców możliwości szybkiego uzupełniania braków kadrowych swych klientów, zwłaszcza na potrzeby konkretnego projektu. Ten model współpracy szczególną popularnością cieszy się w branży IT, gdzie zapotrzebowanie na usługi wysoko wykwalifikowanych specjalistów stale rośnie.
W kontekście przetwarzania danych osobowych na gruncie relacji zachodzących pomiędzy pracodawcą outsourcującym personel oraz odbiorcą usługi body leasing zachodzi konieczność określenia ról pełnionych przez te podmioty, a tematyka ta jest złożona o tyle, iż przy tej okazji należy wyróżnić dwa aspekty:
- przetwarzanie danych osobowych oddelegowanego członka personelu, którego dane przetwarzane są zarówno przez podmiot, który go delegował jak i podmiot korzystający z jego usług;
- przetwarzanie danych osobowych znajdujących się w zasobach odbiorcy usługi body leasing (najczęściej jego klientów) przez oddelegowanego członka personelu.
Ochrona danych konsultantów
Zauważyć należy, iż pole do rozmaitej interpretacji ról, jakie dostawca i odbiorca outsourcingu kadrowego mogą pełnić na gruncie ochrony danych delegowanego personelu, wynika przede wszystkim z braku uregulowania zjawiska body leasing w przepisach prawa, zatem żaden przepis nie rozstrzyga jednoznacznie tej kwestii. Bez wątpienia podmiot delegujący personel (jako pracodawca lub zleceniodawca) jest administratorem jego danych osobowych, przetwarzając te dane w celach i w sposób samodzielnie przez siebie określanych. Bardziej kłopotliwe pytanie dotyczy tego w jakiej roli dane osobowe członka personelu będą przetwarzane przez odbiorcę usługi body leasing (najczęściej będą to imię, nazwisko, adres e-mail, numer telefonu konsultanta, dane z CV konsultanta). W naszej ocenie będziemy mówić najczęściej o niezależnym administrowaniu danymi, gdyż cele i sposób przetwarzania określa najczęściej niezależnie odbiorca usługi body leasing. Najczęściej celami takiego przetwarzania są onboarding, realizacja projektów wewnętrznych lub zewnętrznych, rozliczenie się z dostawcą body leasingu, zadbanie o bezpieczeństwo informacji, itp. Nie będzie tu więc miała zastosowania instytucja powierzenia przetwarzania danych osobowych personelu, chyba że podmiot delegujący zechce przenieść część swych obowiązków spoczywających na nim względem personelu (np. z zakresu BHP) na odbiorcę usługi. Co do zasady jednak będziemy mieli do czynienia z udostępnieniem tych danych w relacji administrator-dostawca (ADO nr 1) – administrator-odbiorca (ADO nr 2). Odbiorca usługi winien spełnić względem personelu obowiązek informacyjny zgodnie z art. 14 RODO i podstawy prawnej przetwarzania winien upatrywać najczęściej w prawnie uzasadnionym interesie realizowanym przez administratora (art. 6 ust. 1 lit. f RODO). Niemniej, samo udostępnienie danych personelu przez ADO nr 1 musi mieć podstawę prawną, którą zazwyczaj będzie uprzednia zgoda podmiotu danych (wówczas ADO nr 2 ma prawo domagać się od swego dostawcy udokumentowania pozyskanej zgody, by nie narażać się na przetwarzanie danych bez podstawy prawnej), ewentualnie umowa łącząca ADO nr 1 z delegowanym specjalistą przewidująca odpowiednie zapisy w tym zakresie (w umowie zawartej pomiędzy ADO nr 1 a ADO nr 2 winno się z kolei znaleźć odpowiednie odniesienie do tej podstawy ujawnienia danych osobowych podmiotu delegowanego).
Ochrona danych klientów odbiorcy usługi body leasing
Oddelegowany specjalista (zatrudniony przez ADO nr 1) zazwyczaj będzie miał dostęp do danych osobowych należących do ADO nr 2 (np. jego klientów), co wymusza postawienie pytania: na jakich zasadach zapewnić ochronę tych danych? Odpowiedź na to pytanie zależy przede wszystkim od tego z jakiej infrastruktury oddelegowany personel będzie korzystał. Jeżeli specjalista będzie świadczył usługi na infrastrukturze odbiorcy leasingu kadrowego (ADO nr 2), w szczególności w jego siedzibie, według jego procedur oraz na udostępnionym przez niego sprzęcie, wówczas zasadnym środkiem prawnym zabezpieczającym ten proces przetwarzania danych osobowych będzie upoważnienie wydane przez ADO nr 2 dla oddelegowanego personelu (bez umowy powierzenia). Z kolei w sytuacji, w której oddelegowany specjalista świadczyłby usługi przy użyciu infrastruktury ADO nr 1 (czyli z wykorzystaniem jego sprzętu i w pomieszczeniach dostawcy body leasing), w takim wypadku zajdzie konieczność powierzenia przetwarzania danych osobowych w drodze umowy, o której mowa w art. 28 RODO, na mocy której ADO nr 2 jako administrator danych winien powierzyć ADO nr 1, będącemu w tej relacji podmiotem przetwarzającym, przetwarzanie danych osobowych znajdujących się w zasobach ADO nr 2, do których oddelegowany personel będzie mieć dostęp. Dodatkowo nie można zapomnieć o tym, by członek delegowanego personelu uzyskał stosowne upoważnienie do przetwarzania danych osobowych od ADO nr 1. Dopuszczalną będzie również sytuacja, w której pomiędzy ADO nr 2 i ADO nr 1 dojdzie do relacji powierzenia, a pomiędzy ADO nr 1 a delegowanym konsultantem dojdzie do relacji dalszego powierzenia przetwarzania danych osobowych. Będzie tak w szczególności w razie gdy ADO nr 1 będzie miał dostęp do danych osobowych znajdujących się w zasobach ADO nr 1 a następnie powierzać będzie dalej ich przetwarzanie personelowi pracującemu na własnej infrastrukturze.
Jak widać, instytucja body leasing w kontekście RODO wymaga zidentyfikowania ról jakie pełnią podmioty uczestniczące w procesie outsourcingu personelu, a następnie dobrania stosownych instrumentów prawnych legalizujących proces przetwarzania danych osobowych, takich jak zgoda delegowanych specjalistów na udostępnienie ich danych podmiotowi zewnętrznemu, klauzula informacyjna przygotowana zgodnie z art. 14 RODO z którą należy zapoznać delegowany personel, czy upoważnienie do przetwarzania danych, którym delegowany personel będzie się legitymować. Czasem potrzebne będzie również zawarcie umowy/umów powierzenia przetwarzania danych osobowych. Przede wszystkim jednak spójna koncepcja omawianego zagadnienia winna znaleźć swój wyraz w treści umowy outsourcingowej.
Podsumowując, każda sytuacja dot. body leasingu powinna zostać przeanalizowania indywidualnie celem dobrania odpowiednich mechanizmów legalizujących proces przetwarzania danych osobowych i zapewniających zgodność z przepisami prawa zarówno po stronie dostawcy, jak i odbiorcy usługi body leasing.
Równie interesującej kwestii upoważnienia najmowanego pracownika do przetwarzania danych osobowych poświęciliśmy osobny wpis, w którym omówiliśmy również szerzej problem dotyczący tego, przy użyciu czyjej infrastruktury najmowany pracownik realizuje powierzone mu przez usługobiorcę czynności.
Data publikacji: 24.08.2018.