Agencje zatrudnienia oprócz zadań omówionych w zeszłotygodniowym artykule podejmują jeszcze działania jakim jest outsourcing pracownika czy zatrudnianie pracowników tymczasowych. I jak to wszystko ma się do przepisów o ochronie danych osobowych?
Do mało popularnych form zatrudnienia należy niewątpliwie zatrudnianie na podstawie umowy o pracę tymczasową za pomocą pośrednictwa pracy tymczasowej. W działaniu tym uczestniczą nie dwie a trzy strony – agencja pracy tymczasowej, pracownik tymczasowy oraz pracodawca, u którego będzie pracował pracownik. I jak to wszystko wygląda od kuchni? Na jakiej podstawie agencja pracy tymczasowej przekazuje dane pracodawcy użytkownikowi? Czy należy to uregulować umową?
Agencja pracy jako pracodawca (na linii agencja-pracownik) żądać może tylko takich danych jakie zostały ujęte w Kodeksie Pracy po 4 maja 2019 r., na wszystkie dane, które wykraczają poza ramy określone w katalogu Kodeksu Pracy agencja powinna uzyskać zgodę na przetwarzanie danych, chyba że przepisy szczególne stanowią inaczej. Więcej o pozyskiwaniu danych osobowych osoby ubiegającej się o zatrudnienie i pracownika na podstawie Kodeksu Pracy w artykule (tu przekierowanie do 1. artykułu). Oczywiście już na etapie zlecenia potencjalny pracodawca (użytkownik) musi określić czy wymaga kwalifikacji i przebiegu dotychczasowej pracy. Agencja zatrudniając pracownika tymczasowego staje się administratorem danych pracownika i to na niej spoczywa obowiązek przetwarzania danych zgodnie z obowiązującymi przepisami.
Na jakiej podstawie dane pracowników tymczasowych są przekazywane? Dane pracowników tymczasowych udostępniane są na podstawie art. 6 ust. 1 lit. f – jako niezbędne do realizacji celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
Praca tymczasowa, polega na zatrudnieniu pracownika tymczasowego oraz osób, niebędących pracownikami do wykonywania pracy tymczasowej na rzecz i pod kierownictwem pracodawcy (użytkownika). W pierwszej kolejności odwołamy się do poradnika opublikowanego przez Prezesa Urzędu Ochrony Danych Osobowych w którym czytamy „zasadniczo (…) administratorem danych osobowych pracowników tymczasowych jest agencja pracy tymczasowej. Jednocześnie stosunek pracy tymczasowej wymaga, aby agencja zawarła z pracodawcą (użytkownikiem) umowę powierzenia przetwarzania danych osób świadczących pracę tymczasową, która określałaby zakres i cel przetwarzania przez niego danych. Jednakże konieczność wykonywania przez pracodawcę (użytkownika) niektórych wymienionych w ustawie o zatrudnieniu i pracy tymczasowej, uprawnień i obowiązków pracodawcy (np. dotyczący prowadzenia ewidencji czasu pracy pracownika tymczasowego w zakresie i na zasadach obowiązujących w stosunku do jego pracowników), powoduje, że w tym zakresie będzie mu przysługiwał status administratora danych osobowych osób świadczących u niego pracę tymczasową.” Jak to często zdarza się prawie, powyższy pogląd nie jest podzielany przez niektórych przedstawicieli doktryny, co więcej jest odmienna od praktyki w innych państwach UE i zakłada, że relacja pomiędzy pracodawcą (użytkownikiem) a agencją pracy tymczasowej to dwaj osobni administratorzy. Dlaczego takie stanowisko?
- niewielki zakres przekazywania dych pracodawcy użytkownikowi,
- ustawa o zatrudnianiu pracowników tymczasowych wskazuje jakie obowiązki zostają nałożone na pracodawcę (użytkownika),
- fakt, że pracodawca (użytkownik) w niektórych przypadkach nie może usunąć danych pracownika tymczasowego, które idą w ślad za wykonywaniem obowiązków – kolidowałoby to z zasadą rozliczalności.
W chwili skierowania pracownika agencji tymczasowej do wykonywania pracy u pracodawcy (użytkownika), administratorem nie jest agencja, ale tylko w teorii, w praktyce, staj się nim już w momencie przekazania listy kandydatów pracowników tymczasowych, którzy po akceptacji pracodawcy użytkownika zostają skierowani do wykonywania u niego pracy tymczasowej. Pracodawca (użytkownik) od momentu udostępnienia mu danych potencjalnego pracownika tymczasowego staje się administratorem odpowiedzialnym za odpowiednie zabezpieczenie danych osobowych przed naruszeniem ich ochrony.
Ustawa o zatrudnianiu pracowników tymczasowych nakłada na agencję obowiązek sprawdzenia, czy pracownik tymczasowy nie pracował już u pracodawcy (użytkownika). W tym celu niezbędne jest aby agencja udostępniła dane pracodawcy (użytkownikowi). Relacja ta sprawia, że agencja i pracodawca stają się osobnymi administratorami. Do weryfikacji należy przekazać tylko te dane, dzięki którym jesteśmy w stanie zweryfikować ww. sytuację tj.: imię i nazwisko, datę urodzenia (jest to kandydat więc nie posiadamy jeszcze jego nr PESEL) oraz daty rozpoczęcia i zakończenia pracy tymczasowej z ostatnich 36 miesięcy. Zgodnie z art. 11b ww. ustawy osoba, której ma być powierzone wykonywanie pracy na podstawię umowy o pracę albo umowy prawa cywilnego ma obowiązek przedłożyć agencji pracy tymczasowej świadectwa pracy lub inne dokumenty potwierdzające okresy wykonywania pracy tymczasowej na rzecz danego pracodawcy użytkownika na podstawie umowy o pracę oraz składa oświadczenie w formie pisemnej lub przedkłada zaświadczenia potwierdzające okresy wykonywania pracy tymczasowej na rzecz danego pracodawczy użytkownika podstawie umowy prawa cywilnego z okresu 36 miesięcy.
I ostatnim z punktów, dla których zachodzi udostępnianie danych przez agencje jest fakt, że pracodawca (użytkownik) może wybrać z kim podejmie współpracę. Po wybraniu odpowiedniego kandydata należy spełnić szereg obowiązków związanych z bezpieczeństwem i higieną pracy. Jednym z pierwszych kroków jest skierowanie pracownika na badania lekarskie (wstępne/okresowe), z reguły skierowanie wystawia agencja pracy tymczasowej i to ona monitoruje terminowość badań z zakresu medycyny pracy. Natomiast pracodawca użytkownik zobowiązany jest nie dopuścić do pracy pracownika bez aktualnego orzeczenia lekarskiego o braku przeciwskazań w związku z podejmowań pracą. Pracodawca (użytkownik) otrzymuje więc informację od agencji pracy tymczasowej o tym, że pracownik tymczasowy posiada/nie posiada badań lub jest niezdolny do pracy na danym stanowisku. Działania te podejmowane są na zasadzie udostępnienia informacji. Ciekawą i wartą zwrócenia uwagi sprawą jest sytuacja dotycząca protokołu powypadkowego, który sporządzany jest przez pracodawcę (użytkownika), a przekazywany do agencji pracy tymczasowej w celu podpisania w miejscu przeznaczonym dla pracodawcy. Sytuacja taka ma miejsce, ponieważ to agencja jest pracodawcą pracownika tymczasowego i mimo tego, że wypadek miał miejsce u pracodawcy (użytkownika) to agencja podpisuje protokół powypadkowy i prowadzi rejestr wypadków oraz wypełnia statystyczną kartę wypadku. Choć wydawać by się mogło, że skoro na pracodawcy (użytkowniku) ciąży obowiązek ustalenia okoliczności i przyczyn wypadku to on powinien spełnić wyżej wymienione wymagania.
Jak wygląd kwestia outsourcingu pracownika? Czy w tym przypadku należy zawierać umowę powierzenia? Klienci, którzy współpracują z nami w związku z zleceniem pełnienia funkcji Inspektora Ochrony Danych doskonale znają odpowiedź na to pytanie, która brzmi – to zależy 😊 Dookreślić trzeba jak bardzo outsourcer jest zaangażowany w przetwarzanie danych osobowych, których administratorem jest klient?
Jeżeli dane będą przetwarzane w ramach struktury organizacyjnej outsourcera, a zlecenie będzie wykonywane na polecenie i w imieniu klienta, należy zawrzeć umowę powierzenia. Tak jak ma to miejsce w przypadku świadczenia usługi Inspektora Ochrony Danych dla klientów, którzy zdecydowali się wyprowadzić usługę na zewnątrz. Natomiast jeżeli zadania wykonywane są za pomocą narzędzi udostępnionych przez Zleceniodawcę zasadnym jest stwierdzenie, że działanie takiej osoby na podstawie upoważnienia jest wystarczające.
Podsumowując przy przetwarzaniu danych przez agencję pracy tymczasowej należy zwrócić uwagę, że pracodawca (użytkownik) i agencja są dwoma niezależnymi, równorzędnymi administratorami danych osobowych, każdy z nich przetwarza te dane samodzielnie i samodzielnie ustala cele i sposoby ich przetwarzania. Na każdym z podmiotów jako administratorze ciąży na nich obowiązek aby dane były należycie zabezpieczone. Dane przekazywane pomiędzy tymi podmiotami na zasadzie udostępnienia danych, udostępnienie danych wynika najczęściej z przepisów prawa. Podejmując działania opisane wyżej należy przede wszystkim mieć na uwadze proces projektowania tak aby role każdej ze stron zostały jasno i konkretnie określone oraz uregulowane odpowiednimi instrumentami prawnymi.
Monika Jędro | Kierownik Projektu w CompNet Sp. z o.o.