04 Wrz

Zleceniobiorca – upoważnienie czy umowa powierzenia?

Dość często spotykam się z dylematem, czy osoby realizujące zadania w oparciu o umowy cywilnoprawne powinny mieć dostęp do danych osobowych na podstawie umowy powierzenia, czy na podstawie upoważnienia. Szczególnie, że czasami mogą to być osoby fizyczne, które realizują zlecenie w ramach prowadzonej działalności gospodarczej.

Stoję na stanowisku, że jeżeli zleceniobiorca realizuje zadania osobiście, wystarczy upoważnienie do przetwarzania danych. W przypadku przedsiębiorcy istotne dla mnie też jest to, czy korzysta on z infrastruktury administratora, czy z własnej (swoje biuro, komputer, własny e-mail). Jeżeli jest zupełnie niezależny, np. firma szkoleniowa, która obsługuje kilka firm i korzysta z własnych narzędzi, właściwsze może być zawarcie umowy powierzenia. Szczególnie, gdy korzysta ona tylko ze swoich narzędzi i swojej poczty e-mail.

Ja sama najczęściej zawieram umowy powierzenia danych, ponieważ jestem zewnętrznym podwykonawcą, który współpracuje z klientami projektowo. Gdy mam urlop, moje zadania przejmuje inna, współpracująca ze mną osoba – takie działanie jest dopuszczalne przy powierzeniu, ale przy upoważnieniu już nie. W nielicznych przypadkach jest tak, że działam na podstawie upoważnienia administratora, dlatego że korzystam z jego systemów informatycznych oraz biura.

Bardzo istotne przy ocenie, czy skorzystamy z powierzenia, czy upoważnienia jest także to, że w przypadku upoważnienia należy zleceniobiorcę zobligować do zachowania poufności, zapoznać z procedurami ochrony danych i zobligować do ich przestrzegania. W przypadku umowy powierzenia, zasady współpracy, w tym ochrony danych reguluje umowa powierzenia. Istotne jest także to, jaki model współpracy, w tym wdrażania nowego zleceniobiorcy przyjmuje administrator. Prezes UODO, w poradniku dotyczącym zatrudnienia wyraził stanowisko, że zleceniobiorcę należy dopuścić do przetwarzania danych na podstawie upoważnienia i jest to dobre oraz wygodne rozwiązanie, chociażby dlatego, że jeżeli zleceniobiorców dopuści się do przetwarzania danych na podstawie umowy powierzenia, to należy ich wskazywać jako podmioty podprzetwarzające dane w umowach powierzenia z klientami. Zatem jeżeli administrator prowadzi swoją działalność główniej jako podwykonawca, czyli podmiot przetwarzający dane na rzecz innych administratorów, to przyjęcie rozwiązania w postaci zawierania umów powierzenia ze zleceniobiorcami będącymi osobami fizycznymi, może skomplikować mu współpracę z klientem i będzie wymagało uzyskania jego zgody na takie podmioty przetwarzające.


Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie


Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia: Akredytowane szkolenia z ochrony danych osobowych.

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


Data aktualizacji: 5 września 2020