Wiadomości
Udostępnianie danych osobowych pracowników podmiotom zewnętrznym
27 marca 2014
TAGI: ochrona danych osobowych
Outsourcing spraw pracowniczych jest popularnym rozwiązaniem organizacyjnym. Pracodawcy zlecają sprawy kadrowe i księgowe wyspecjalizowanym biurom, sprawy z zakresu bezpieczeństwa i higieny pracy są w mniejszych zakładach pracy prowadzone przez specjalistów spoza zakładu. Jakie warunki należy spełnić z punktu widzenia ochrony danych osobowych?
Administrator danych osobowych, osoby upoważnione
Administratorem danych osobowych jest podmiot decydujący o celach i środkach przetwarzania danych osobowych mający siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej (art. 7 pkt 4 w zw. z art. 3 ustawy). Są to np.:
Administratorem danych osobowych jest podmiot decydujący o celach i środkach przetwarzania danych osobowych mający siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej (art. 7 pkt 4 w zw. z art. 3 ustawy). Są to np.:
- organy państwowe, organy samorządu terytorialnego oraz państwowe i komunalne jednostki organizacyjne,
- podmioty niepubliczne realizujące zadania publiczne,
- osoba fizyczna i osoba prawna oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
Do przetwarzania danych w zakładzie pracy mogą być natomiast dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Stanowi o tym art. 37 ustawy o ochronie danych osobowych.
Podmioty zewnętrzne przetwarzające dane osobowe
Jak wynika z art. 31 ust. 1 ustawy administrator danych może powierzyć przetwarzanie danych innemu podmiotowi w drodze umowy zawartej na piśmie. Kolejne przepisy stanowią, iż podmiot, któremu powierzono dane osobowe może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (art. 31 ust. 2 ustawy). Z chwilą „przejęcia” danych osobowych pracowników na podmiocie zewnętrznym spoczywają takie obowiązki, jakie musi wypełnić pracodawca jako administrator, a mianowicie: zabezpieczenie techniczne i organizacyjne danych osobowych (art. 36 – 39 ustawy), w tym:
Podmioty zewnętrzne przetwarzające dane osobowe
Jak wynika z art. 31 ust. 1 ustawy administrator danych może powierzyć przetwarzanie danych innemu podmiotowi w drodze umowy zawartej na piśmie. Kolejne przepisy stanowią, iż podmiot, któremu powierzono dane osobowe może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (art. 31 ust. 2 ustawy). Z chwilą „przejęcia” danych osobowych pracowników na podmiocie zewnętrznym spoczywają takie obowiązki, jakie musi wypełnić pracodawca jako administrator, a mianowicie: zabezpieczenie techniczne i organizacyjne danych osobowych (art. 36 – 39 ustawy), w tym:
- upoważnienie swoich pracowników do przetwarzania danych,
- zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
- założenie i prowadzenie ewidencji osób upoważnionych czy też
- kontrola przetwarzanych danych osobowych.
Zdaniem GIODO…
W jednym ze swoich stanowisk GIODO wypowiedział się na temat obowiązku zawarcia przez pracodawcę zlecającemu podmiotowi zewnętrznemu prowadzenie obsługi księgowej umowy powierzenia przetwarzania danych osobowych. Ze stanowiska wynika, iż „(…) obowiązek ten wynika z ustawy o ochronie danych osobowych, a prowadzenie dokumentacji księgowej wiąże się nierozerwalnie z przetwarzaniem danych osobowych pracowników”. W uzasadnieniu GIODO odwołał się właśnie do art. 31 ustawy o ochronie danych osobowych. Podkreślił, iż „(…) podmiot, któremu administrator danych powierzył ich przetwarzanie, odpowiada wobec administratora danych, za przetwarzanie danych niezgodnie z zawartą umową (…)”.
Podsumowując GIODO uznał, iż „(…) tylko umowa zawarta na piśmie, zawierająca zakres i cel w jakim dane osobowe będą przetwarzane, może być podstawą powierzenia przez pracodawcę innemu podmiotowi przetwarzania danych osobowych pracowników w celu prowadzenia obsługi księgowej”.
W jednym ze swoich stanowisk GIODO wypowiedział się na temat obowiązku zawarcia przez pracodawcę zlecającemu podmiotowi zewnętrznemu prowadzenie obsługi księgowej umowy powierzenia przetwarzania danych osobowych. Ze stanowiska wynika, iż „(…) obowiązek ten wynika z ustawy o ochronie danych osobowych, a prowadzenie dokumentacji księgowej wiąże się nierozerwalnie z przetwarzaniem danych osobowych pracowników”. W uzasadnieniu GIODO odwołał się właśnie do art. 31 ustawy o ochronie danych osobowych. Podkreślił, iż „(…) podmiot, któremu administrator danych powierzył ich przetwarzanie, odpowiada wobec administratora danych, za przetwarzanie danych niezgodnie z zawartą umową (…)”.
Podsumowując GIODO uznał, iż „(…) tylko umowa zawarta na piśmie, zawierająca zakres i cel w jakim dane osobowe będą przetwarzane, może być podstawą powierzenia przez pracodawcę innemu podmiotowi przetwarzania danych osobowych pracowników w celu prowadzenia obsługi księgowej”.
Zobacz także:
- Nie będzie zakazu pracy w handlu w niedzielę
- Zwolnienie z obowiązku świadczenia pracy w okresie wypowiedzenia
- Czy wydanie świadectwa pracy jest równoznaczne z rozwiązaniem stosunku pracy?
Jeśli powyższy artykuł okazał się interesujący i chcieliby Państwo na bieżąco otrzymywać najnowsze aktualności branżowe na swój telefon komórkowy, wystarczy pobrać i zainstalować naszą APLIKACJĘ MOBILNĄ.
All rights reserved PCKP Data aktualizacji: 2023-03-06