Freelancer i jego dane osobowe - jak je chronić?

Uniwersalne zasady ochrony danych osobowych w firmie, omówiłem w artykule RODO a wycieki danych pracowników - jak się zabezpieczyć?, we fragmencie „Na co zwracać uwagę na codziennie?”. Jednak dodatkowo w branży IT popularne jest również, świadczenie usług dla kilka dużych klientów lub realizowanie zleceń przy okazji większych projektów, a  wymagających zaangażowania kogoś z zewnątrz, które nie wpisują się w dotychczas opisywane modele.

Czym różni się freelancer od osoby samozatrudnionej (B2B) w kontekście RODO?

Dla potrzeb naszego artykułu najłatwiej przyjąć, że freelancerem będzie osoba, która:

• Działa na własnym sprzęcie...
• lub współpracuje zdalnie poza środowiskiem firmy.

Nie jest to co do zasady osoba, która stale współpracuje w firmą, na jej sprzęcie i w jej biurze, gdzie jedynym wyróżnikiem od zwykłych pracowników byłoby wystawienie faktury na koniec miesiąca (wtedy raczej mówimy o osobie na B2B/samozatrudnionej).

Jako freelancerów, faktycznie nie obowiązują nas więc pewne rygory, co wiąże się jednak z tym, że my sami musimy ustalić zasady bezpieczeństwa danych naszych klientów – dobór odpowiedniego sprzętu, oprogramowania antywirusowego, czy nawet, wydawałoby się tak nieistotnych elementów jak wybór miejsca, gdzie zostawiamy nasz komputer, by nie był dostępny dla osób postronnych.

O jakie dane zostaniemy poproszeni?

Katalog danych osobowych, jakie może pozyskiwać od nas firma na samym początku współpracy, będzie określała umowa. Co do zasady, podstawą prawną będzie tu niezbędność do wykonania umowy, której jesteśmy stroną, a nie nasza zgoda (art. 6 ust. 1 lit b RODO), więc analogicznie, jak ma to miejsce w przypadku osób samozatrudnionych. 

Do katalogu typowych danych, jakie będą przetwarzane w związku ze świadczeniem przez nas usług, będą należały najczęściej: dane kontaktowe oraz dane rozliczeniowe wskazane na fakturze (nazwa firmy, adres siedziby, NIP). Jeśli proponowane są nam jakieś dodatkowe bonusy (np. karta MultiSport), wymagające innych danych – firmy mogą wymagać dodatkowo naszej zgody. 

Z czym wiąże się nasza niezależność od firmy?

Nasza niezależność od firm jako freelancerów wiąże się z kilkoma obowiązkami odnośnie danych osobowych Klienta, które są nam powierzane:

1. Powinniśmy w umowie, którą podpisujemy, dołączyć klauzulę informującą w jakim celu i na jakich zasadach będziemy przetwarzali dane osobowe.

Ważne!
Wydaje się to może mało istotny wymóg, ale pierwsza kara pieniężna nałożona w Polsce za złamanie zasad ochrony danych osobowych nałożona została w związku z niespełnieniem obowiązku informacyjnego – co prawda w skali daleko większej niż w zwykłej umowie, ale jednak.

2. Powinniśmy oprócz umowy o świadczenie usług podpisać dodatkowo umowę powierzenia danych w której klient powierza nam dane, które będziemy przetwarzali w jego imieniu w celu prawidłowej realizacji umowy.

Ważne!
Z naszego punktu widzenia bardzo ważne jest to, żeby umowa powierzenia szczegółowo zawierała opis środków technicznych i organizacyjnych, jakich wymaga od nas klient (administrator danych) w celu zabezpieczenia danych – brak takiego opisu lub lakoniczność może w praktyce przerzucać na nas część odpowiedzialności, np. poprzez wskazanie, że nie zastosowaliśmy powszechnie obowiązującego standardu X, co spowodowało wyciek danych.

Mając na uwadze coraz powszechniejszą praktykę rynkową, limit naszej odpowiedzialności w umowie głównej warto również rozszerzyć na postanowienia dot. umowy powierzenia danych.

Na co zwrócić uwagę, podpisując umowę powierzenia?

Podpisując umowę powierzenia danych, warto zwrócić uwagę na kilka postanowień, które umieszczane są w nich standardowo, a które powinniśmy zawsze zweryfikować przed podpisaniem:

1. Zakaz przekazywania danych do Państwa trzecich– w przypadku wykorzystania infrastruktury oferowanej przez firmę Google w ramach komunikacji z klientem możemy wybrać w warunkach usług, czy nasze dane będą przetwarzane w ramach EOG czy na serwerach w USA (państwo trzecie). Przy części usług Google – nie mamy jednak takiego wyboru i warto w podpisywanej z klientem Umowie powierzenia zaznaczyć to narzędzie, ze wskazaniem iż spełnia ono warunki bezpiecznego transferu danych do tzw. państwa trzeciego, 
2. Zakaz używania subprocesorów– może się okazać, że korzystamy np. z poczty email lub innych funkcjonalności zewnętrznych firm w ramach których przetwarzane są dane Klienta – warto wskazać to narzędzie w ramach Umowy, w celu uniknięcia wątpliwości lub konieczności późniejszego uzyskiwania zgody na wykorzystanie tego narzędzia. 
3. Warunki dot. przekazywania informacji o żądaniach podmiotów danych incydentach– w przypadku incydentów standardem rynkowym jest przekazanie informacji do klienta niezwłocznie do 24 godzin od wykrycia, w przypadku próśb o przekazanie danych osobowych klienta od innych osób, wskazujących że są to dane które ich dotyczą – przekazujemy stosowną informację do klienta w terminie ustalonym w umowie powierzenia (rynkowy termin do 5- 7 dni),

Jak wskazałem na wstępie, warto również w ramach umowy powierzenia wprowadzić ograniczenie odpowiedzialności do określonej wynegocjowanej wysokości. Warto mieć jednak na uwadze, że to ograniczenie może być nieskuteczne, jeśli celowo zaniedbaliśmy np. stosowanie ustalonych umownie zabezpieczeń.

Warto zwrócić również uwagę na kary umowne dot. ewentualnych naruszeń zasad ochrony danych osobowych – powinny jak najbardziej szczegółowo opisywać zasady ich nakładania.

Przykład
W przypadku ramowego jedynie określenia, iż kara umowna może zostać za naruszenie zabezpieczeń technicznych lub organizacyjnych wskazanych w umowie, w praktyce nawet drobne naruszenie może wiązać się z naszą odpowiedzialnością, która przewyższałaby szkodę.

Co jeszcze powinniśmy zawrzeć w umowie powierzenia?

Umowa powierzenia powinna co najmniej spełniać warunki szczegółowo opisane w art. 28 – 29 (określenie zasad powierzenia) oraz art. 32-34 RODO (określenie zasad bezpieczeństwa). W celu uniknięcia wątpliwości, w umowie powierzenia zawsze warto zawrzeć informacje o sposobie przekazywania informacji o zdarzeniach nagłych po godzinach pracy. Dobrym rozwiązaniem jest tu np. określenie telefonu kontaktowego do administracji IT firmy czynnego w ramach wsparcia 24/7 lub telefonu prywatnego do osoby decyzyjnej.

Czy są jeszcze jakieś obowiązki związane z RODO dla freelancerów?

Tak, w przypadku jeśli prowadzisz własną działalność, poza faktem że w stosunku do firm, które powierzają Ci dane osobowe swoich klientów, jesteś procesorem, decydujesz jednocześnie o celach i środkach przetwarzania danych osobowych swoich klientów (np. pracownicy klienta – kontaktujący się w ramach wykonywania umowy). 

Przepisy ochrony danych osobowych nie nakładają formalistycznych zasad prowadzenia dokumentacji – warto jednak zauważyć, że dobrze spisana polityka prywatności oraz prowadzenie rejestru czynności przetwarzania danych (nawet jeśli nie jesteśmy prawnie zobligowani do jego prowadzenia), pomogą nam nie tylko w sprawnym zarządzaniu danymi, ale również w budowaniu wizerunku profesjonalisty.

Warto też mieć spisane używane przez nas klauzule informacyjne, które mamy obowiązek, jako przedsiębiorcy, przedstawić osobom fizycznym, których dane osobowe będziemy zbierali w ramach realizacji naszych usług.

Ważne!
W przypadku współpracy, głównie z klientami korporacyjnymi, dobrą praktyką i metodą na przedstawienie klauzuli informacyjnej może być dołączenie stosownej informacji do stopki naszego emaila.


W przypadku, jeżeli przetwarzamy bardzo duże ilości danych na zlecenie naszych klientów, np. mając dostęp do repozytoriów danych ich klientów (kilkanaście – kilkadziesiąt tysięcy osób – wzwyż), może być konieczne wyznaczenie przez nas Inspektora Ochrony Danych Osobowych, co powinniśmy zweryfikować przy okazji zawierania umów z nowymi klientami.

Na co zwracać uwagę na co dzień?

Nawet jeśli u Klienta nie przyjęto spisanych zasad ochrony danych osobowych, istnieją  pewne fundamentalne zasady, których zawsze należy przestrzegać. Skrzętnie spisałem je już w artykule RODO a wycieki danych pracowników - jak się zabezpieczyć?, we fragmencie „Na co zwracać uwagę na codziennie?”

Jaką odpowiedzialność ponoszę z tytułu naruszenia zasad ochrony danych osobowych?

W przeciwieństwie do pracowników zatrudnionych na podstawie umowy o pracę, w przypadku kontraktów B2B nie ma limitów odpowiedzialności. Z uwagi na możliwe nałożenie kary w przypadku naruszenia przez nas zasad bezpieczeństwa, w odniesieniu do przychodu naszego klienta (nawet do 4% jego obrotu lub równowartości 20 milionów euro), w celu zapewnienia nam bezpieczeństwa prawnego, warto w umowie współpracy oraz w umowie powierzenia określić zakres naszej odpowiedzialności ograniczając ją np. do określonej wielokrotności naszego wynagrodzenia. 

Mając na uwadze chęć uniknięcia ewentualnych sporów, warto sygnalizować zauważone luki w standardach bezpieczeństwa oraz archiwizować tego rodzaju korespondencje na wypadek ewentualnych przyszłych sporów.