CORE CONSULTING

Tag: Umowa

Spełnianie obowiązku informacyjnego wobec stron umowy

Zaktualizowanie się obowiązku przedłożenia klauzuli informacyjnej (czyli spełnienia obowiązku informacyjnego) stronie umowy zależy od rodzaju podmiotu, z którym placówka nawiązuje współpracę. RODO swym zakresem, bowiem obejmuje tylko osoby fizyczne. W niniejszym artykule znajdują się informacje o tym, wobec jakich konkretnie podmiotów administrator powinien ten obowiązek spełnić.

Kiedy klauzula informacyjna jest konieczna…

Administrator danych powinien spełnić obowiązek informacyjny wobec:

1. osoby fizycznej – czyli w każdym przypadku kiedy stroną umowy jest konkretna osoba np. Jan Kowalski i to z tą osobą placówka zawiera umowę (a nie przykładowo z firmą, którą Jan Kowalski reprezentuje).

2. osoby fizycznej prowadzącej jednoosobową działalność gospodarczą (przedsiębiorcy) – zgodnie z przepisami Kodeksu cywilnego (art. 43k.c.) firmą osoby fizycznej jest jej imię i nazwisko. Aby ustalić, czy stroną umowy jest przedsiębiorca wystarczy przeanalizować nazwę firmy – przykładowo: Przedsiębiorstwo usługowe ABC Jan Kowalski wskazuje, iż kontrahent Placówki przedsiębiorcą, ergo, należy spełnić wobec niego obowiązek informacyjny.

3. wspólników spółki cywilnej – spółka cywilna (skrót: s.c.) jest umową pomiędzy wspólnikami. W wyniku jej zawarcia nie powstaje nowy podmiot prawa (wspólników łączy stosunek zobowiązaniowy). Reprezentujący ją wspólnicy powinni być więc traktowani jak wskazane wyżej podmioty: osoby fizyczne albo przedsiębiorcy.

… a kiedy jest zbędna

Klauzuli informacyjnej nie przekazujemy pozostałym podmiotom – firmom, które są spółkami prawa handlowego (wskazuje na to element nazwy: sp. z o.o., S.A., sp.j., sp.p., sp.k., S.K.A.), stowarzyszeniom, fundacjom, spółdzielniom, urzędom (uściślając: osobom prawnym oraz tak zwanym jednostkom organizacyjnym niebędącym osobami prawnymi, którym ustawa przyznaje zdolność prawną).

Czy jeśli placówka podpisuje cyklicznie umowę najmu z tym samym przedsiębiorcą, to za każdym razem należy spełniać obowiązek informacyjny?

Nie, w takim przypadku wystarczy, że obowiązek został spełniony za pierwszym razem. Zgodnie z art. 13 ust 4 RODO jeśli osoba, której dane przetwarzamy dysponuje już informacjami zawartymi w klauzuli – nie ma konieczności przedkładać jej po raz kolejny. Administrator powinien jednak móc wykazać, iż obowiązek ten został pierwotnie spełniony (zgodnie z zasadą rozliczalności).

Placówka zawiera umowę z fundacją ale w jej imieniu występuje osoba fizyczna – czy wobec tej osoby należy spełnić obowiązek informacyjny?

Nie, ponieważ stroną umowy jest osoba prawna jaką jest fundacja. Nie ma w tym przypadku znaczenia, że umowa podpisywana jest przez osobę fizyczną. Osoba ta, bowiem działa i wykonuje czynności służbowe w ramach organizacji, którą reprezentuje.

Obowiązek informacyjny należy spełnić wobec: osób fizycznych, przedsiębiorców oraz wspólników spółek cywilnych.

Proces przetwarzania danych osobowych

W kontekście ochrony danych osobowych często pojawia się pojęcie procesu przetwarzania. RODO definiuje „przetwarzanie” jako operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany (…).  Szukając  definicji „procesu” warto sięgnąć do normy ISO 27000, która definiuje go jako: „zbiór działań wzajemnie powiązanych lub wzajemnie oddziałujących, które przekształcają wejścia w wyjścia”.

Rezultatem (wyjściem) procesu przetwarzania danych osobowych jest osiągnięcie celu przetwarzania. Informacjami wejściowymi są natomiast dane osobowe. Zmiennymi, które kształtują ten proces, oprócz danych wejścia i wyjścia jest między innymi kategoria podmiotów, których dane dotyczą; sposób przetwarzania – w szczególności użyta technologia; zakres i zasięg przetwarzania, podmioty zaangażowane oraz otoczenie prawne.

Otoczenie prawne procesu

Myśląc o ochronie danych osobowych w organizacji należy brać pod uwagę nie tylko przepisy RODO oraz krajowych ustaw dotyczących ochrony danych osobowych, ale także inne obowiązujące akty prawne.

Jako przykład posłużyć może proces rekrutacji. Zakres danych osobowych, których pracodawca może żądać od kandydatów jest wskazany wprost przepisami Kodeksu pracy (art. 22k.p.). Planując więc ten proces, należy zaimplementować do niego ograniczenia, które narzucił na administratora ustawodawca. Oczywiście, kandydaci bardzo często podają dane, które wychodzą poza ten katalog – w takim przypadku jednak robią to z własnej inicjatywy, a przetwarzanie odbywa się na podstawie zgody. Po zakończeniu rekrutacji i wyborze pracownika, pracodawca rozpoczyna nowy proces przetwarzania danych, jakim jest zatrudnienie. Po raz kolejny proces ten powinien zostać „dopasowany” do przepisów prawa (przykładowo w zakresie 10. letniego okresu przechowywania teczek osobowych). Dlatego też ważne jest zaplanowanie procesu niejako „z góry”.

Planowanie i budowa procesu

Zasady planowania i budowy procesu przetwarzania danych osobowych wynikają z Rozporządzenia – w szczególności administrator powinien kierować się ujętymi w art. 5 RODO zasadami: rzetelności, przejrzystości, minimalizacji, prawidłowości, integralności i poufności oraz zgodności z prawem, ograniczenia celu i ograniczenia przechowywania danych. Zasady te są równoważne – oznacza to, że administrator nie może dowolnie wybrać, które z nich będą miały zastosowanie do danego procesu. Budując proces należy również uwzględnić wskazane z art. 25 RODO privacy by design oraz privacy by default (ochrona danych w fazie projektowania oraz domyślna ochrona danych).

W praktyce dane wejścia bardzo często będą służyć różnym celom, a więc będą przetwarzane w kilku procesach. Przykładem jest zawieranie umowy pomiędzy stronami (np. umowa sprzedaży w sklepie internetowym). Przetwarzanie danych osobowych na potrzeby zawarcia lub realizacji umowy znajduje podstawę prawną w art. 6 ust. 1 lit b RODO. Jednak  administrator może zdecydować o przetwarzaniu pozyskanych danych również na potrzeby marketingu własnych produktów, w oparciu o swój prawnie uzasadniony interes (art. 6 ust 1 lit f RODO). O takiej decyzji należy jednak poinformować podmiot danych w treści klauzuli informacyjnej. 

Istotną cechą procesu przetwarzania danych osobowych jest jego zmienność. Procesy zmieniają się wraz z rozwojem organizacji, co często umyka uwadze administratorów. Wdrożenie nowej technologii w firmie, wymiana sprzętu IT, korzystanie z nowego rodzaju usług, a czasem także zmiany personalne wpływają na sposób przetwarzania danych, a co za tym idzie, zmieniają się elementy procesu – pomimo, że dane wejścia i wyjścia pozostają niezmienne. Wracając ponownie do procesu rekrutacji – zmiana sposobu zbierania CV od kandydatów (np. rezygnacja z przesyłania CV na adres e-mail pracodawcy na rzecz korzystania z dedykowanej aplikacji, która zapisuje dane w chmurze) będzie istotną zmianą procesu przetwarzania i powinna znaleźć swoje odbicie w analizie ryzyka (lub konieczności przeprowadzenia DPIA). W pewnych przypadkach zmiana taka pociągnie za sobą konieczność spełnienia na nowo (aktualizacji) obowiązku informacyjnego.

Rola klauzuli informacyjnej w procesie przetwarzania danych

Administrowanie danymi osobowymi wiąże się z obowiązkiem przekazania podmiotom danych informacji na temat dokonywanego procesu przetwarzania –  jej minimalny zakres określają art. 13 i 14 RODO. Klauzula informacyjna jest więc swoistą „metryczką” procesu przetwarzania dla osób, których dane dotyczą. Na jej podstawie osoba ta, powinna być w stanie podjąć świadomą decyzję dotyczącą przekazania administratorowi swoich danych osobowych oraz wiedzieć, jakie prawa jej w związku z tym przetwarzaniem przysługują i jak je egzekwować.

Ponowne spełnianie (aktualizacja) obowiązku informacyjnego

Wspomniane zmiany procesu mogą powodować zmianę treści i zakresu klauzuli informacyjnej, co pociąga za sobą konieczność powtórnego spełnienia obowiązku informacyjnego. Konieczność tą zawsze trzeba zbadać pod kątem przesłanek art. 13 i 14 RODO oraz wpływu zmiany procesu na prawa i wolności osób, których dane są przetwarzane w ramach procesu.

Przykładowo – jeśli administrator wykorzystuje rozwiązanie chmurowe i w związku z tym, przesyła dane do państwa trzeciego, jakim są Stany Zjednoczone i zawarł tę informację w klauzuli informacyjnej, to sama zmiana dostawcy oprogramowania w ramach tego państwa trzeciego nie wpłynie na aktualizację obowiązku informacyjnego. Wynika to między innymi z tego, iż po pierwsze w myśl art. 13 i 14 RODO administrator nie ma konieczności wskazywać jakim konkretnym podmiotom dane będą udostępniane – istotną informacją dla podmiotu danych jest natomiast sam fakt przesyłania danych poza Europejski Obszar Gospodarczy do konkretnego państwa oraz informacja na temat poziomu ochrony danych osobowych na jego terytorium. Po drugie zaś, zmiana ta nie powinna wpływać na prawa i wolności podmiotów danych, bowiem każdy z tych dostawców powinien spełniać te same warunki dotyczące ochrony danych. W takim przypadku więc, obowiązek aktualizacji klauzuli informacyjnej zrodziłby się, gdyby nowy dostawca oprogramowania pochodził z innego państwa trzeciego.

Kolejnym przykładem, tym razem ilustrującym konieczność dokonania aktualizacji obowiązku informacyjnego jest sytuacja, w której administrator, w ramach rozwoju organizacji zaczyna korzystać z programu dokonującego profilowania klientów w sposób zautomatyzowany. W takim przypadku na gruncie art. 13 i 14 RODO administrator ma obowiązek poinformować o takim przetwarzaniu osobę, której dane dotyczą. Zmiana przetwarzania ma również istotny wspływ na prawa i wolności, osób których dane dotyczą – decyzja bowiem pozbawiona jest czynnika ludzkiego i oparta jedynie na zmiennych przetworzonych przez algorytm. Co więcej, w związku z profilowaniem, osobie która mu podlega, przysługują szersze uprawnienia wynikające z art. 22 RODO. Z analizy tego przypadku wynika, iż administrator powinien zaktualizować obowiązek informacyjny.


Podstawa prawna:

art. 5, 6, 13, 14, 22, 15 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

art. 22ustawy z dnia 26 czerwca 1974 r. Kodeks pracy.

Czy osoby “samozatrudnione” i pracujące w oparciu o umowę zlecenie powinny zawrzeć umowę o przetwarzaniu danych?

Jak traktować osoby pracujące na podstawie umowy zlecenia lub tzw. „samozatrudnione”? Czy z takimi osobami trzeba zawrzeć umowę dotyczącą przetwarzania danych czy po prostu je upoważnić do przetwarzania? 

Z punktu widzenia przepisów RODO, forma prawna zatrudnienia (współpracy) ma znaczenie drugorzędne. Kluczowe jest ustalenie, czy osoba pracująca na podstawie umowy zlecenia lub „samozatrudniona” realizuje czynności związane z przetwarzaniem danych pod kontrolą zatrudniającego oraz na jego pełną odpowiedzialność (np. pracuje tylko w biurze zatrudniającego oraz na sprzęcie służbowym). Jeśli tak – należy taką osobę potraktować jak pracownika i upoważnić do przetwarzania danych. Jeśli jednak taka osoba ma dużą niezależność (pracuje np. na własnym sprzęcie oraz dla innych podmiotów), wówczas należy zawrzeć z nią umowę dotyczącą przetwarzania danych – jak z każdym innym procesorem. 

Photo by Charles 🇵🇭 on Unsplash