Umowy zlecenia a RODO
Czy zgodnie z RODO należy prosić zleceniobiorcę o wyrażenie zgody na przetwarzanie jego danych osobowych? Jak powinna brzmieć zgoda zleceniobiorcy i gdzie należy ją umieścić? Jak wypełnić obowiązek informacyjny wobec niego?
To tylko kilka wątpliwości, które przewijają się w Waszych mailach do mnie w związku ze zmianami wynikającymi z RODO. Przede wszystkim chciałabym podkreślić, że RODO to nie rewolucja, a ewolucja dotychczasowych zasad ochrony danych osobowych i w zakresie legalności przetwarzania danych osobowych zleceniobiorców nic nie uległo zmianie.Jeżeli dotychczas nie brałeś zgody zleceniobiorcy na przetwarzanie jego danych, to robiłeś wszystko zgodnie z dotychczasową ustawą o ochronie danych i nadal powinieneś tak robić, ponieważ w RODO wyraźnie wskazano, że jeżeli zawierasz z kimś umowę (mam tu na myśli osobę fizyczną) to już zawarcie (lub chęć zawarcia) tej umowy stanowi podstawę do legalnego przetwarzania danych osobowych. Wszelkie zgody są zbędne. Wynika to z art. 6 ust. 1 lit. b RODO: Przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Jeżeli zawierasz z kimś umowę zlecenie (umowę o dzieło) nie potrzebujesz jego zgody na przetwarzanie danych. Co więcej, masz prawny obowiązek wynikający z przepisów podatkowych oraz o opiece społecznej, aby pobrać od tej osoby dane niezbędne do odprowadzenia podatku dochodowego oraz rozliczenia składek ZUS. Czyli prosząc zleceniobiorcę o wypełnienie oświadczenia oraz rachunku do umowy, także nie prosisz go o zgodę na przetwarzanie danych (jest spełniony warunek legalności z art. 6 ust. 1 lit. c RODO).
Tutaj chciałabym podkreślić, że mogą być szczególne sytuacje związane z realizacją umowy zlecenia, gdy pobranie zgody może być konieczne. Dla przykładu, jeżeli chcielibyśmy wykorzystać wizerunek tej osoby do celów promocyjnych naszej działalności. Wizerunek nie jest daną niezbędną do zawarcia umowy, więc jego wykorzystanie będzie wymagało zgody zleceniobiorcy.
Pozostaje jeszcze kwestia wypełnienia obowiązku informacyjnego wobec osoby, której dane dotyczą (zgodnie z art. 13 RODO). Jeżeli osoba, której dane przetwarzamy już ma wiedzę o zasadach przetwarzania jej danych, to zgodnie z art. 13 ust. 4 administrator danych nie musi wypełniać obowiązku informacyjnego. Jednakże w przypadku osób fizycznych, szczególnie takich, dla których jest to jedna z pierwszych umów zleceń, może się okazać, że jest to założenie zbyt daleko idące. Wobec tego zalecałabym wypełnić obowiązek informacyjny wobec zleceniobiorcy. Pamiętaj, że możesz zrobić to w dowolny sposób: w treści umowy, w pierwszym mailu potwierdzającym chęć zawarcia współpracy, w oświadczeniu zleceniobiorcy, dając do ręki kartkę z klauzulą informacyjną do przeczytania.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.