Jak szukać?»

Aktualnie jesteś: Gofin.pl (strona główna)  »  Prawo pracy  »  Inne zagadnienia  »   Obowiązek zabezpieczenia akt osobowych pracowników przez biuro rachunkowe
A A A  poleć artykuł   drukuj artykuł

Obowiązek zabezpieczenia akt osobowych pracowników przez biuro rachunkowe

Ubezpieczenia i Prawo Pracy nr 8 (458) z dnia 10.04.2018

W ramach prowadzonego biura rachunkowego świadczymy klientom usługi z zakresu prowadzenia akt osobowych i naliczania wynagrodzeń ich pracowników. Jakie dokumenty oraz urządzenia zabezpieczające musimy posiadać aby zgodnie z prawem przechowywać teczki akt osobowych pracowników klientów po wejściu w życie RODO?

Sposób prowadzenia akt osobowych pracownika oraz zakres prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy określa rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w tej sprawie (Dz. U. z 2017 r. poz. 894). Przepisy tego aktu prawnego, podobnie jak Kodeksu pracy nie regulują sposobu ochrony akt osobowych pracowników. W tym zakresie pracodawca, jako administrator danych osobowych zobowiązany jest stosować przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), a od 25 maja 2018 r. - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych... (Dz. Urz. UE L 119/1 z 4.5.2016 r.), dalej RODO. Przechowywanie akt osobowych zawierających dane osobowe pracowników jest/będzie bowiem przetwarzaniem danych osobowych zarówno w rozumieniu ustawy o ochronie danych, jak i RODO.

Zwracamy uwagę! RODO będzie aktem bezpośrednio stosowanym od 25 maja 2018 r., natomiast nowa ustawa o ochronie danych osobowych, nad którą jeszcze trwają prace zawierać ma wyłącznie przepisy, które zostały przez prawodawcę unijnego wprost przekazane do uregulowania w prawie krajowym oraz takie, w których RODO pozostawiło pewną swobodę regulacyjną poszczególnym państwom członkowskim.

Obecnie administrator danych, czyli pracodawca może powierzyć przetwarzanie danych innemu podmiotowi (np. biuru rachunkowemu) w drodze umowy zawartej na piśmie (umowa powierzenia przetwarzania danych). Tak wynika z art. 31 § 1 ustawy o ochronie danych osobowych. Również po wejściu w życie RODO pracodawca będzie mógł powierzyć ich przetwarzanie innemu podmiotowi, którym zgodnie z art. 4 pkt 8 RODO może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Wybierając podmiot przetwarzający pracodawca musi jednak pamiętać, aby korzystać wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO).

Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego, bez wcześniejszej szczegółowej lub ogólnej pisemnej zgody administratora. W tym drugim przypadku podmiot przetwarzający powinien zawsze informować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. Przy czym zgodnie z art. 28 ust. 3 RODO, przetwarzanie przez podmiot przetwarzający będzie dopuszczalne wówczas, gdy odbywać się będzie na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora.

Umowa lub inny akt prawny, wiążący administratora z podmiotem przetwarzającym, powinny mieć formę pisemną, w tym formę elektroniczną (art. 28 ust. 9 RODO).

W porównaniu z regulacjami obecnej ustawy o ochronie danych osobowych, RODO bardziej szczegółowo wskazuje jaka powinna być treść takiej umowy - art. 31 ust. 2 ustawy o ochronie danych osobowych podawał tylko, że powinna ona określać zakres i cel przetwarzania.

Ważne: Jak wskazuje motyw 81 preambuły do RODO, administrator i podmiot przetwarzający mogą postanowić skorzystać z umowy indywidualnej lub ze standardowych klauzul umownych, które zostały przyjęte bezpośrednio przez Komisję albo, które zostały przyjęte przez organ nadzorczy zgodnie z mechanizmem spójności, a następnie przyjęte przez Komisję.

Przepis art. 28 ust. 3 RODO określa też zakres minimalny obowiązków podmiotu przetwarzającego (procesora), który powinien zostać określony w umowie lub innym instrumencie prawnym. Podmiot przetwarzający m.in. będzie niezwłocznie informował administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii albo państwa członkowskiego o ochronie danych osobowych.

Ogólne zasady zabezpieczenia danych osobowych określone zostały w art. 32 i nast. RODO, które to przepisy nakładają na administratora, ale także na podmiot przetwarzający dane określone obowiązki. Zgodnie z motywem 83 preambuły RODO, w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki - takie jak szyfrowanie - minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych - takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych - i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

Obowiązek zastosowania odpowiednich środków technicznych i administracyjnych zapewniający stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą spoczywa na administratorze oraz podmiocie przetwarzającym dane. To im prawodawca europejski pozostawił decyzję w sprawie określenia, jakie środki w danym przypadku będą odpowiednie tak, aby cel jakim jest zapewnienie odpowiedniej ochrony przetwarzanych danych został osiągnięty. Podejmując taką decyzję muszą oni jednak brać pod uwagę: stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Możliwe do zastosowania (przykładowe) środki techniczne i organizacyjne wymienia art. 32 ust. 1 RODO.

Obowiązek zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania jest wymogiem określającym jakie funkcje powinny spełnić systemy i usługi związane z przetwarzaniem danych osobowych. Jak podkreśla się w piśmiennictwie (Ogólne rozporządzenie o ochronie danych osobowych pod red. J.E. Bielak Lex on-line) wymogi te nie są nowością w zakresie bezpieczeństwa, zwłaszcza IT. Poufność, integralność i dostępność są bowiem uznanymi wartościami podstawowymi międzynarodowych norm, były też podstawą budowania systemów zapewnienia bezpieczeństwa przetwarzana zgodnie z art. 17 ust. 1 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. UE L 281/31 z 23.11.1995 r.). Stanowią ponadto realizację zasad przetwarzania danych wskazanych w art. 5 ust. 1 lit. f RODO (zasada poufności i integralności) oraz minimalizacji danych (art. 5 ust. 1 lit. c RODO).

Ważne: Zarówno w obecnym, jak i w nowym stanie prawnym osoby wyznaczone w biurze rachunkowym do prowadzenia akt osobowych pracowników zatrudnionych przez danego pracodawcę muszą posiadać stosowne upoważnienie.

Upoważnienia mogą wystawić zarówno pracodawca (administrator danych), jak i podmiot przetwarzający (biuro rachunkowe). Zgodnie bowiem z art. 32 ust. 4 RODO, administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, aby każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. Należy zauważyć, iż takie upoważnienie muszą posiadać wszystkie osoby mające dostęp do danych, czyli mające możliwość zapoznania się z ich treścią, nawet jeśli nie będą dokonywały na nich żadnych operacji.

Każdy podmiot przetwarzający oraz - gdy ma to zastosowanie - przedstawiciel podmiotu przetwarzającego ma obowiązek prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.

Rejestry te mają formę pisemną, w tym formę elektroniczną. Administrator lub podmiot przetwarzający oraz - gdy ma to zastosowanie - przedstawiciel administratora lub podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego. Z obowiązku prowadzenia rejestru czynności przetwarzania danych zwolnieni są tylko przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, chyba że przetwarzanie, którego dokonują:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
     
  • nie ma charakteru sporadycznego lub
     
  • obejmuje szczególne kategorie danych osobowych (dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Zwracamy uwagę! Jeśli chodzi o przechowywanie papierowych akt osobowych (na razie mogą być one prowadzone tylko w takiej formie) ustawodawca nie wskazał konkretnych technicznych środków ich zabezpieczenia, nie określił też wymogów, jakie muszą spełniać szafy, w których akta są przechowywane. Pewne rozwiązania wypracowała natomiast praktyka. Przyjmuje się zatem, że akta osobowe powinny być przechowywane w zamykanych szafach odpowiednio zabezpieczonych, do których dostęp będą mieć tylko wyznaczeni (upoważnieni) pracownicy. Pomieszczenia, w których one stoją powinny też być zabezpieczone tak, aby nikt nieupoważniony nie miał do nich dostępu. Nie mogą być one narażone na wilgoć czy zalanie, co mogłoby narazić akta na zniszczenie.

Inne zagadnienia - czytaj także:

 
Sklep internetowy - sklep.gofin.pl
 
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • zapewnienia prawidłowego działania serwisów (utrzymania sesji),

  • analizy statystyk ruchu i reklam w serwisach,

  • zbierania i przetwarzania danych osobowych w celu wyświetlenia personalizowanych reklam.

Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z serwisu, w celu administrowania serwisem, dostosowania treści serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania behawioralnego reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o.

Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam jest partner Wydawnictwa Podatkowego GOFIN sp. z o.o., Stroer Digital Operations sp. z o.o. (SDO). Odbiorcą informacji z plików cookies są Netsprint S.A., Google LLC oraz spółki zlecające SDO realizację kampanii reklamowej, a także podmioty badające i zliczające tę kampanię. Dane te mogą ponadto zostać udostępnione na rzecz partnerów handlowych SDO.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych

  • Niezbędność przetwarzania danych w związku z wykonaniem umowy

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora w serwisie internetowym.

  • Dobrowolna zgoda

    Aby móc wyświetlać spersonalizowane reklamy dopasowane do Pani/Pana zainteresowań, partner Wydawnictwa Podatkowego GOFIN sp. z o.o., Stroer Digital Operations sp. z o.o. musi mieć możliwość przetwarzania Pani/Pana danych. Udzielenie takiej zgody jest całkowicie dobrowolne (nie ma obowiązku jej udzielenia).

Zgoda

W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na przetwarzanie Pani/Pana danych osobowych w związku z możliwością wyświetlenia reklam dopasowanych do Pani/Pana zainteresowań poprzez kliknięcie w przycisk „Zgadzam się” lub „Nie teraz” w przypadku braku zgody.