RODO przy oddelegowaniu – ochrona danych osobowych pracowników delegowanych do UE

Delegowanie polskich pracowników w celu świadczenia przez nich pracy (usług) w innych Państwach Członkowskich UE wiąże się z przekazywaniem danych osobowych tych pracowników do innych odbiorców (kontrahentów, przedsiębiorców zagranicznych, urzędów, itp.). Przetwarzanie danych osobowych pracowników delegowanych nie może być dowolne i musi uwzględniać w szczególności zarówno przepisy unijnego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku (dalej „RODO”), przepisy krajowe, jak również przepisy kraju delegowania. RODO przy oddelegowaniu – zobacz, jak prawidłowo delegować pracowników za granicę pod kątem RODO..

Przykładowo: polski przedsiębiorca, który zamierza delegować swoich pracowników do czasowego wykonywania pracy na terytorium Niemiec (np. w celu realizacji kontraktu budowlanego lub montażowego) poza kwestiami dotyczącymi prawa pracy, podatków czy ubezpieczenia społecznego, musi zmierzyć się dodatkowo z niezwykle ważnym aspektem dotyczącym ochrony danych osobowych swoich pracowników. Szczegółowe informacje na temat aspektów podatkowych można znaleźć <<TUTAJ>>, a dot. ubezpieczenia społecznego pracowników delegowanych do Niemiec i innych kwestii prawnych związanych z oddelegowaniem pracownika za granicę możesz znaleźć <<TUTAJ>>.

Ochrona danych osobowych pracowników delegowanych powinna być potraktowana poważnie i z takim samym angażowaniem jak inne aspekty prawne czy podatkowe. W tym miejscu warto zaznaczyć, że kary za naruszenie przepisów z zakresu ochrony danych osobowych liczone są w milionach euro, a podstawę do ich naliczenia stanowi roczny obrót przedsiębiorcy. Takie kary za naruszenie RODO przy oddelegowaniu mogą nałożyć zarówno polskie jak i zagraniczne władze kraju oddelegowania.

Przekazywanie danych osobowych w ramach UE należy traktować tak, jakby dane te były przetwarzane na terenie Polski. Powyższe wynika z art. 1 ust. 3 RODO, który wskazuje, że nie ogranicza się ani nie zakazuje swobodnego przepływu danych osobowych w UE z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

Delegowanie czy podróż służbowa?

Podróż służbowa pracownika ma miejsce wtedy, gdy pracownik na polecenie pracodawcy wykonuje zadanie służbowe poza miejscowością, w której znajduje się siedziba pracodawcy lub poza stałym miejscem pracy. Zagraniczną podróżą służbową jest zatem wykonywanie przez pracownika na polecenie pracodawcy zadań służbowych poza granicami kraju, jeżeli siedziba pracodawcy lub stałe miejsce pracy określone jest w Polsce.

W niniejszym artykule skupimy się jednak na kwestii delegowania pracowników za granicę, czyli wysyłaniu przez polskiego przedsiębiorcę pracowników w celu tymczasowego świadczenia pracy (usług) w przedsiębiorstwie mającym siedzibę w innym Państwie Członkowskim UE (państwo przyjmujące). W takim przypadku, pracownicy delegowani pozostają zatrudnieni w kraju wysyłającym (tj. w Polsce) i w rzeczywistości nie są włączani do rynku pracy państwa przyjmującego – co nie wyłącza stosowania do takich pracowników przepisów o ochronie danych osobowych zarówno tych krajowych, jak i tych obowiązujących w państwie przyjmującym. Delegowanie pracownika za granicę może przybrać dwie podstawowe formy, tj.:

1. wysyłanie pracowników bezpośrednio przez pracodawcę, gdzie pracownicy czasowo świadczą pracę u zagranicznego kontrahenta pracodawcy (np. w ramach obsługi konkretnego projektu), lub:
2. wysyłanie pracowników tymczasowych świadczących pracę na rzecz i pod kierownictwem zagranicznego pracodawcy użytkownika

Decyzja o delegowaniu pracowników i co dalej?

Polski przedsiębiorca podejmujący decyzję o delegowaniu swoich pracowników do innego Państwa Członkowskiego UE, powinien w pierwszej kolejności dokonać przeglądu posiadanej dokumentacji pracowniczej.

Akta pracownicze – jakie dane może przetwarzać pracodawca?

Zgodnie z obowiązującym stanem prawnym (przepisy Kodeku Pracy), pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie danych osobowych obejmujących: imię (imiona) i nazwisko, datę urodzenia, dane kontaktowe wskazane przez taką osobę, a jeśli jest to niezbędne do wykonywania pracy określonego rodzaju na określonym stanowisku to ma prawo także żądać danych osobowych obejmujących wykształcenie, kwalifikacje zawodowe oraz przebieg dotychczasowego zatrudnienia. Z kolei już od samego pracownika, pracodawca poza powyższymi danymi żąda dodatkowo danych osobowych obejmujących adres zamieszkania, numer PESEL (a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość), inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny (jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy), wykształcenie i przebieg dotychczasowego zatrudnienia) jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie) oraz numer rachunku bankowego (jeżeli pracownik nie złożył wniosku o wypłatę do rąk własnych).

Powyższe dane osobowe mogą być przez pracodawcę przetwarzane w okresie trwania stosunku pracy, a tym samy mogą być przedmiotem dalszego przekazania (udostępnienia lub powierzenia do przetwarzania) podczas procesu oddelegowania.

Jeśli w posiadanej dokumentacji pracowniczej (sporządzanej jeszcze przed wejściem w życie RODO – tj. 25 maja 2018 roku lub przed wejściem w życie zmian do Kodeksu Pracy – tj. 04 maja 2019 roku), pracodawca zgromadził inne dane osobowe pracowników, to należy je bezwzględnie usunąć w sposób trwały. Są to bowiem dane nadmiarowe, których przetwarzanie jest bezcelowe i niezgodne z obecnie obowiązującymi przepisami prawa. Najczęstsze dane posiadane obecnie przez pracodawców, które są danymi nadmiarowymi to: nazwisko panieńskie matki pracownika, czy też kserokopia całego dowodu osobistego, paszportu, prawa jazdy, itp.

Klauzula informacyjna

Jeśli pracownik delegowany nie otrzymał wcześniej od pracodawcy klauzuli informacyjnej lub jeśli przekazana klauzula informacyjna nie zawierała informacji na temat odbiorców danych osobowych w przypadku delegowania (ponieważ pracodawca w chwili jej przekazywania nie planował jeszcze przyszłego delegowania pracowników), to należy dokonać stosownego uzupełnienia tego obowiązku pracodawcy. Klauzula informacyjna powinna być jasna oraz zrozumiała dla pracownika. W celu uniknięcia ewentualnych wątpliwości, sugerujemy aby przekazanie pracownikowi klauzuli informacyjnej zostało potwierdzone przez niego własnoręcznym podpisem.

Umowa o pracę

W przeciwieństwie do podróży służbowej, w przypadku delegowania konieczne jest zawarcie z pracownikiem w formie pisemnej odpowiedniego aneksu (porozumienia) do umowy o pracę. Aneks powinien regulować w szczególności takie kwestie jak: czas i miejsce delegowania oraz zakres wykonywanej pracy.

Udostępnienie czy powierzenie przetwarzania danych osobowych?

Po podjęciu decyzji o delegowaniu pracownika i przygotowaniu (dostosowaniu) do tego odpowiedniej dokumentacji wewnętrznej, tj. akta pracownicze, klauzula informacyjna, aneks do umowy o pracę, przedsiębiorca powinien ustalić komu, w jakim celu i w jakim zakresie będzie przekazywał dane osobowe swoich pracowników.

Polski przedsiębiorca, jako pracodawca jest Administratorem Danych Osobowych (dalej „ADO”) swoich pracowników delegowanych za granicę. Celem ADO jest zatrudnianie pracownika i skierowanie go do świadczenia pracy w państwie członkowskim na rzecz podmiotu będącego odbiorcą usługi. Odbiorca takiej usługi czyli kontrahent pracodawcy, także występuje w roli ADO delegowanych pracowników. W takim przypadku nie ma potrzeby zawierania odrębnej umowy powierzenia przetwarzania danych osobowych albowiem przekazanie danych osobowych następuje na podstawie udostępnienia, ponieważ zarówno polski przedsiębiorca, jak i jego zagraniczny kontrahent realizują swoje własne cele względem pracownika delegowanego. W przypadku delegowania pracownika za granicę zleceniodawca oczekuje od swojego podwykonawcy udostępniania danych zawierających dane osobowe pracownika. Chodzi tutaj o umowy o pracę, dowody osobiste, listy obecności, listy płac itd. Są to na tyle istotne dane osobowe delegowanego pracownika, że zalecanym jest uzyskanie pisemnej zgody pracownika na udostępnienie tych danych oraz zawarcie porozumienia z zagranicznym kontrahentem regulującym kwestie RODO delegowanego pracownika. Przy przygotowaniu treści takiej zgody i porozumienia warto skorzystać z pomocy profesjonalisty.

Udostępnienie danych innemu podmiotowi nie musi przybierać formy pisemnej, jednakże nie będzie błędem jeśli strony (administratorzy danych osobowych) spiszą umowę czy porozumienie określające wzajemne prawa i obowiązki związane z udostępnianiem danych osobowych.

Inaczej sprawa wygląda w przypadku przekazywania danych osobowych pracownika do podmiotu obsługującego w jakimś zakresie przedsiębiorcę, np. świadczenie usług organizacji delegacji, usług hotelarskich czy zakupu biletów lotniczych. W takiej sytuacji zachodzi już konieczność zawarcia umowy powierzenia przetwarzania danych.

Jeśli zatem dane osobowe są przekazywane Podmiotowi Przetwarzającemu (dalej „Procesor”) to występuje konieczność zawarcia pomiędzy ADO a Procesorem umowy powierzenia przetwarzania danych osobowych. Umowa powierzenia przetwarzania danych osobowych powinna w szczególności zawierać następujące elementy: przedmiot przetwarzania, czas przetwarzania, charakter przetwarzania, cel przetwarzania oraz rodzaj powierzanych danych. Poza powyższym, ADO powinien sobie zagwarantować w umowie powierzenia inne ważne zapisy, w szczególności te dotyczące niezwłocznego zgłaszania przez Procesora wszelkich naruszeń, zwrotu danych po zakończeniu współpracy czy też możliwości przeprowadzania okresowych audytów Procesora. Prawidłowo skonstruowana umowa powierzenia przetwarzania danych osobowych gwarantuje nie tylko zgodność ochrony danych osobowych z RODO, ale przede wszystkim pomaga ADO w skutecznej kontroli Procesora.

Legalne podstawy przetwarzania danych osobowych

Aby prawidłowo określić podstawy przetwarzania danych osobowych pracowników należy także uwzględnić przepisy kraju delegowania i wymogi, jakie musi spełniać pracownik kierowany do pracy w danym kraju. Obowiązkiem pracodawcy delegującego jest identyfikacja i udokumentowanie przepisów kraju delegowanego oraz uzasadnienie potrzeby zastosowania tych przepisów, w szczególności w zakresie przetwarzania danych osobowych wrażliwych. Jeżeli zakres przetwarzania danych osobowych według przepisów kraju delegowania jest szerszy niż wynikający z krajowych przepisów, zakres ten przetwarzany będzie na podstawie art. 6 ust. 1 lit. f) RODO – czyli uzasadniony interes pracodawcy delegującego. W przypadku, gdyby ten dodatkowy zakres danych dotyczył dodatkowo danych szczególnych kategorii danych (np. dane genetyczne czy biometryczne), to wtedy podstawą prawną do przetwarzania takich danych będzie art. 9 ust. 2 lit. b) ROOO – czyli przetwarzanie niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw ADO lub osoby, której dane dotyczą.

Inne aspekty delegowania w kontekście ochrony danych osobowych

Przy delegowaniu pracownika do pracy za granicę powstaje także konieczność przeprowadzenia z udziałem pracodawcy postępowania o wydanie dokumentu A1 (w celu potwierdzenia podlegania pod krajowy system zabezpieczeń społecznych). ZUS ma prawo żądać od pracodawcy danych pracownika, które wykraczają poza standardowy zakres określony w Kodeksie Pracy. W przypadkach dotyczących rezydencji podatkowej delegowanej osoby, odpowiednie organy mogą żądać od pracodawcy danych dotyczących sytuacji rodzinnej pracownika w celu ustalenia tzw. ośrodka interesów życiowych. Z kolei zagraniczne systemy (platformy) dotyczące zgłaszania i ewidencjonowania pracowników delegowanych (np. SIPSI we Francji) także wymagają danych spoza standardowego katalogu (np. zdjęcie pracownika delegowanego).

Dlatego też, nawet jeśli polski przedsiębiorca (pracodawca) posiada w pełni uregulowany status danych osobowych swojego pracownika, tj. przetwarza jedynie dopuszczalne przez krajowe przepisy dane osobowe pracownika, wypełnił wobec pracownika obowiązek informacyjny czy też zawarł z pracownikiem aneks do umowy o pracę (regulujący kwestie dotyczące delegowania), to w związku z faktem, że na innych etapach delegowania oraz w zależności od kraju delegowania, może powstać konieczność przekazania innych i niestandardowych danych pracownika, rekomendujemy aby pracodawca uzyskał uprzednią pisemną zgodę pracownika obejmującą swym zakresem także te dodatkowe dane osobowe. Zapewni nam to bezpieczeństwo w kwestii RODO przy oddelegowaniu.

W czym możemy pomóc?

Kancelaria JLT wspiera firmy przy oddelegowaniu pracowników za granicę. Specjalizujemy się w oddelegowaniu do Niemiec, choć wspieramy naszych klientów także w przypadku innych krajów. Zapewniamy profesjonalne wsparcie w zakresie dostosowania dokumentacji pracowniczej do wymogów RODO, w szczególności klauzul informacyjnych, aneksów do umów o pracę, zgód, umów powierzenia przetwarzania danych osobowych czy innych koniecznych procedur wewnętrznych oraz polityk przedsiębiorcy związanych z ochroną danych osobowych. Warto zadbać o profesjonalną dokumentację RODO przy oddelegowaniu.

Przeczytaj popularne artykuły:

• Windykacja w Niemczech
• Rejestracja firmy w Niemczech
• Polska firma w Niemczech
• VAT w Niemczech
• Rejestracja VAT w Niemczech
• Delegowanie pracowników do Niemiec
• Polska firma jako podwykonawca w Niemczech
• Usługi budowlane w Niemczech
• Windykacja w Niemczech
• Jak uzyskać freistellung
• Weryfikacja Niemieckiego kontrahenta
• NIP w Niemczech
• Podatek budowlany w Niemczech
• Klasy podatkowe w Niemczech