08 lis

Zgoda zleceniobiorcy na przetwarzanie danych osobowych

Jesień jest dla mnie okresem audytowym, kiedy zbieram i weryfikuję informacje o zasadach przetwarzania danych u moich klientów, dlatego ostatnio tak cicho na blogu. Zresztą u Was też jest aktywnie, bo dosłownie zasypaliście mnie we wrześniu i w październiku mailami. Niektóre z nich dotyczyły umów zleceń i kwestii legalności przetwarzania danych zleceniobiorcy.

Wasze wątpliwości w większości wynikały z faktu, że w darmowych wzorach pobranych przez Was z Internetu, pojawia się „zgoda na przetwarzanie danych w celu zawarcia umowy”. Zadawaliście sobie i mi pytanie: a co jeżeli ta osoba odwoła zgodę? Zgodnie z art. 7 RODO, w takim wypadku należy dane zleceniobiorcy zebrane w celu, w jakim wyraził zgodę (zatem w celu realizacji umowy) usunąć. Ale to przecież nie ma sensu. Nie ma. Jeżeli w Waszym wzorze umowy zlecenia lub rachunku zleceniobiorcy widnieje zgoda zleceniobiorcy na przetwarzanie jego danych w celu realizacji umowy lub w celu rozliczeń lub w celu odprowadzenia podatku dochodowego – jest to szkodliwy błąd. O tym jak bardzo może taki błąd być bolesny przekonała się grecka spółka PWC, która prosiła swoich pracowników o wyrażenie zgody na „przetwarzanie danych w celach związanych z zatrudnieniem”. Zgoda oczywiście była niezbędna, do zawarcia umowy (!). W związku z przyjętym rozwiązaniem, pracownicy po zakończeniu stosunku pracy, cofali swoją zgodę na przetwarzanie danych i spotykali się z odmową zrealizowania żądania, gdyż na pracodawcy ciążyły obowiązki wynikające z przepisów prawa pracy. Grecki organ nadzorczy (odpowiednik polskiego UODO), po zapoznaniu się ze skargami byłych pracowników spółki, uznał że uzyskiwanie zgody na przetwarzanie w tym wypadku wprowadzało osoby, których dane dotyczą w błąd, gdyż obiecywano im prawa przysługujące z RODO, które im nie przysługiwały.

Cofając się do absolutnych podstaw: zgoda nie zawsze jest potrzebna. Najlepiej sięgać po nią jak najrzadziej i tylko wtedy, gdy nie ma innej przesłanki legalizującej przetwarzanie. Dla danych zwykłych podstawą przetwarzania poza zgodą mogą być:

  • umowa zawarta z tą osobą lub działania podejmowane przed zawarciem tej umowy, na żądanie tej osoby (np. umowa zlecenie, umowa o dzieło);
  • przepisy prawa (np. kodeks pracy, ustawa o ZFŚŚ);
  • żywotny interes osoby, której dane dotyczą, szczególnie gdy nie jest w stanie wyrazić zgody na przetwarzanie danych;
  • interes publiczny lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • prawnie uzasadniony interes admintratora.

Dane zleceniobiorcy, które są niezbędne do zawarcia i realizacji umowy, zlecający przetwarza nie w oparciu o zgodę zlecebiobiorcy, a w oparciu o fakt zawarcia lub zmierzania do zawarcia tej umowy. Zatem zamiast zgody, w umowie zleceniu powinna być zawarta klauzula informacyjna zgodna z art. 13 RODO.

A zgoda zleceniobiorcy w rachunku i oświadczeniach do umowy zlecenia/umowy o dzieło? Ponownie błąd, na fali „dodajmy coś, aby było zgodnie z RODO”. Te dane zlecający ma obowiązek przetwarzać na podstawie przepisów o podatku od osób fizycznych oraz przepisów o ubezpieczeniu społecznym. Zlecający ma obowiązek odprowadzić należne składki do odpowiednich urzędów, więc podstawą do uzyskania od zleceniobiorcy /wykonawcy dzieła nie może być jego zgoda, która mogłaby być odwołana w dowolnym momencie. Poza tym sama idea zgody stoi w sprzeczności ze wskazanym celem – zgoda jest dobrowolna, a przecież zleceniobiorca jest zobowiązany przepisami prawa do podania tych danych. Ponownie do zgodności z RODO potrzebna jest jedynie klauzula informacyjna (najlepiej od razu w umowie zleceniu klauzula obejmująca oba cele i podstawy przetwarzania danych).

Kiedy zleceniobiorca może być proszony o zgodę? Gdy zlecający chciałby przetwarzać dane w szerszym zakresie, niż niezbędny do realizacji i rozliczenia umowy.


Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


Data aktualizacji: 8 listopada 2021