04 wrz

Zleceniobiorca – upoważnienie czy umowa powierzenia?

Dość często spotykam się z dylematem, czy osoby realizujące zadania w oparciu o umowy cywilnoprawne powinny mieć dostęp do danych osobowych na podstawie umowy powierzenia, czy na podstawie upoważnienia. Szczególnie, że czasami mogą to być osoby fizyczne, które realizują zlecenie w ramach prowadzonej działalności gospodarczej.

Stoję na stanowisku, że jeżeli zleceniobiorca realizuje zadania osobiście, wystarczy upoważnienie do przetwarzania danych. W przypadku przedsiębiorcy istotne dla mnie też jest to, czy korzysta on z infrastruktury administratora, czy z własnej (swoje biuro, komputer, własny e-mail). Jeżeli jest zupełnie niezależny, np. firma szkoleniowa, która obsługuje kilka firm i korzysta z własnych narzędzi, właściwsze może być zawarcie umowy powierzenia. Szczególnie, gdy korzysta ona tylko ze swoich narzędzi i swojej poczty e-mail.

Ja sama najczęściej zawieram umowy powierzenia danych, ponieważ jestem zewnętrznym podwykonawcą, który współpracuje z klientami projektowo. Gdy mam urlop, moje zadania przejmuje inna, współpracująca ze mną osoba – takie działanie jest dopuszczalne przy powierzeniu, ale przy upoważnieniu już nie. W nielicznych przypadkach jest tak, że działam na podstawie upoważnienia administratora, dlatego że korzystam z jego systemów informatycznych oraz biura.

Bardzo istotne przy ocenie, czy skorzystamy z powierzenia, czy upoważnienia jest także to, że w przypadku upoważnienia należy zleceniobiorcę zobligować do zachowania poufności, zapoznać z procedurami ochrony danych i zobligować do ich przestrzegania. W przypadku umowy powierzenia, zasady współpracy, w tym ochrony danych reguluje umowa powierzenia. Istotne jest także to, jaki model współpracy, w tym wdrażania nowego zleceniobiorcy przyjmuje administrator. Prezes UODO, w poradniku dotyczącym zatrudnienia wyraził stanowisko, że zleceniobiorcę należy dopuścić do przetwarzania danych na podstawie upoważnienia i jest to dobre oraz wygodne rozwiązanie, chociażby dlatego, że jeżeli zleceniobiorców dopuści się do przetwarzania danych na podstawie umowy powierzenia, to należy ich wskazywać jako podmioty podprzetwarzające dane w umowach powierzenia z klientami. Zatem jeżeli administrator prowadzi swoją działalność główniej jako podwykonawca, czyli podmiot przetwarzający dane na rzecz innych administratorów, to przyjęcie rozwiązania w postaci zawierania umów powierzenia ze zleceniobiorcami będącymi osobami fizycznymi, może skomplikować mu współpracę z klientem i będzie wymagało uzyskania jego zgody na takie podmioty przetwarzające.


Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


Data aktualizacji: 5 września 2020