14 maj

Czy z osobą samozatrudnioną należy podpisać umowę powierzenia?

Upoważnienie, czy powierzenie danych? Ten temat od pewnego czasu przewija się w moich rozmowach z klientami. Biorąc pod uwagę aktualny rynek pracy oraz to, że w wielu firmach dostęp do danych mają osoby prowadzące jednoosobowe działalności gospodarcze, a zatem nie będące pracownikami, należy w firmie przyjąć jednolitą procedurę postępowania. Osobiście jestem zwolenniczką umowy powierzenia i co do zasady takie rozwiązanie stosuję w relacjach biznesowych z moimi klientami, jednakże dla wielu administratorów to rozwiązanie jest dość problematyczne. Tym bardziej, że osoby samozatrudnione bardzo niechętnie podchodzą do kwestii zawarcia powierzenia, czasami stwierdzając wprost, że nie zgadzają się na takie rozwiązanie.

I naprawdę w wielu przypadkach jest to uzasadnione.

Punktem wyjścia są obowiązki podmiotu przetwarzającego dane, wynikające z art. 28 RODO. Ma on zapewnić odpowiednie środki techniczne i organizacyjne służące do przetwarzania danych. Czasami wprost w umowie są wskazane konkretne, minimalne wymagania. I jest to właściwe oraz sensowne.

Ale. Właśnie, ale… Bardzo często jest tak, że osoba samozatrudniona współpracuje z administratorem danych korzystając z jego infrastruktury, tzn. biuro, sprzęt komputerowy, oprogramowanie, dostęp do Internetu. Co więcej musi przestrzegać wewnętrznych polityk bezpieczeństwa informacji obowiązujących w tej organizacji. Jaki zatem ma sens wymaganie od niej zapewnienia we własnym zakresie odpowiednich środków technicznych i organizacyjnych? I czym różni się sposób wykonywania przez nią zadań od tych realizowanych przez pracownika? Nie chcę wchodzić w meandry prawa pracy, bo to w tym wypadku nie powinno mieć wpływu na sposób postrzegania osoby samozatrudnionej w organizowaniu systemu bezpieczeństwa informacji. W mojej ocenie, jeżeli samozatrudniony realizuje swoje zadania w taki sposób, to jak najbardziej zasadne będzie upoważnienie go do przetwarzania danych osobowych, tak jak innych pracowników. I jest to sensowne. Jako osoba upoważniona musi przestrzegać wewnętrznych zasad ochrony danych, przechodzić szkolenia z RODO i działać zgodnie z poleceniami administratora. Podobne stanowisko można znaleźć w literaturze przedmiotu, szczególnie w bardzo lubianym przeze mnie Poradniku dla radców prawnych i adwokatów: Ogólne rozporządzenie o ochronie danych osobowych (RODO), którego autorami są adw. Xawery Konarski, adw. dr Grzegorz Sibiga, r.pr. Dominika Nowak, adw. Katarzyna Syska, Iga Małobęcka. Podobnie do zagadnienia odniósł się także Prezes UODO w swoim Poradniku dotyczącym zatrudnienia, w odniesieniu do zleceniobiorców.

Jednakże na początku powiedziałam, że jestem zwolenniczką umowy powierzenia z osobą samozatrudnioną. Odnoszę to stwierdzenie do sposobu prowadzenia przeze mnie działalności na rzecz klientów. Realizuję ją w oparciu o własne narzędzia i najczęściej z własnego biura. W biurach klientów jestem, co prawda mile widzianym, ale jednak gościem. Na podobnych zasadach podpisałabym umowę powierzenia z zewnętrznym helpdeskiem, który świadczy usługi zdalnie, korzystając ze swojego komputera lub księgową, która prowadzi rozliczenia ze swojego biura, wprowadzając dane klientów do swojego systemu księgowego.


Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


Data aktualizacji: 14 maja 2020