AKTUALNOŚCI

Obowiązek zabezpieczenia akt osobowych pracowników przez biuro rachunkowe

Opublikowano: 22 maja 2018

Sposób prowadzenia akt osobowych pracownika oraz zakres prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy określa rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r.

 

Przepisy tego aktu prawnego, podobnie jak Kodeksu pracy nie regulują sposobu ochrony akt osobowych pracowników. W tym zakresie pracodawca, jako administrator danych osobowych zobowiązany jest stosować przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, a od 25 maja 2018 r. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, zwanym RODO.

 

Przechowywanie akt osobowych zawierających dane osobowe pracowników jest i będzie przetwarzaniem danych osobowych zarówno w rozumieniu ustawy o ochronie danych osobowych, jak i RODO.

 

Obecnie administrator danych, czyli pracodawca może powierzyć przetwarzanie danych innemu podmiotowi, np. biuru rachunkowemu w drodze umowy zawartej na piśmie.

 

Także po wejściu w życie RODO pracodawca będzie mógł powierzyć ich przetwarzanie innemu podmiotowi, którym zgodnie z RODO może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

 

Wybierając podmiot przetwarzający pracodawca musi jednak pamiętać, aby korzystać wyłącznie z usług takich biur rachunkowych, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego

rozporządzenia i chroniło prawa osób, których dane dotyczą.

 

Ogólne zasady zabezpieczenia danych osobowych określone zostały w RODO, które to przepisy nakładają na administratora, ale także na podmiot przetwarzający, np. biuro rachunkowe określone obowiązki.

 

Zgodnie z RODO, w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko.

 

Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność oraz

uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie.

 

Obowiązek zastosowania odpowiednich środków technicznych i administracyjnych zapewniający stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą spoczywa na administratorze oraz podmiocie przetwarzającym dane.

 

Obowiązek zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania jest wymogiem określającym jakie funkcje powinny spełnić systemy i usługi związane z przetwarzaniem danych osobowych, a wymogi te nie są nowością w zakresie bezpieczeństwa, zwłaszcza IT.

 

Zarówno w obecnym, jak i w nowym stanie prawnym osoby wyznaczone w biurze rachunkowym do prowadzenia akt osobowych pracowników zatrudnionych przez danego pracodawcę muszą posiadać stosowne upoważnienie.

 

Upoważnienia mogą wystawić zarówno pracodawca – administrator danych, jak i podmiot przetwarzający – biuro rachunkowe.

 

Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego ma obowiązek prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.

 

Rejestry te mają formę pisemną, w tym formę elektroniczną. Administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego.

 

Z obowiązku prowadzenia rejestru czynności przetwarzania danych zwolnieni są tylko przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, chyba że przetwarzanie, którego dokonują może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.