Kto powinien upoważnić pracowników biura rachunkowego do przetwarzania danych osobowych powierzonych przez klienta

PROBLEM

Nasze biuro rachunkowe zawarło umowę na prowadzenie akt osobowych i naliczanie wynagrodzeń dla pracowników klienta. Czy możemy sami upoważniać naszych pracowników do przetwarzania przekazanych nam danych osobowych? Czy pracownika pracującego z domu możemy upoważnić za pośrednictwem e-maila?

RADA

Do przetwarzania danych osobowych tych pracowników mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych osobowych (tu: pracodawca). Właściciel biura rachunkowego może wydać upoważnienie swoim pracownikom do przetwarzania danych osobowych, tylko jeżeli jest do tego uprawniony przez pracodawcę, który mu zlecił prowadzenie dokumentacji kadrowej. Dopuszczalne jest upoważnienie przesłane e-mailem. Szczegóły - w uzasadnieniu.

UZASADNIENIE

Państwa klient ma obowiązek zabezpieczenia danych osobowych pracowników, jest bowiem tzw. administratorem tych danych. Ma jednak pełne prawo, aby powierzyć przetwarzanie danych osobowych pracowników Państwa biuru rachunkowemu w drodze umowy zawartej na piśmie - art. 31 ustawy o ochronie danych osobowych (dalej: ustawa). Do powierzenia danych przez ich administratora nie jest wymagana zgoda osoby, której dane dotyczą. Klient powinien jednak powierzyć ich przetwarzanie wyłącznie osobom upoważnionym, które zapoznały się z zasadami ochrony tych danych. Powierzanie danych osobom nieupoważnionym naraża administratora danych (tu pracodawcę) na sankcje karne. Ustawa o ochronie danych przewiduje w takim przypadku grzywnę, karę ograniczenia wolności albo pozbawienia wolności do lat 2 (nieumyślnie - do roku) - art. 51 ust. 1 i 2 ustawy. W praktyce oznacza to konieczność zadbania o to, by dostęp do danych miały tylko osoby pisemnie upoważnione (art. 37 ustawy). Osoby wyznaczone w Państwa biurze rachunkowym do prowadzenia akt osobowych pracowników zatrudnionych przez danego pracodawcę muszą zatem posiadać stosowne upoważnienie wystawione przez:

• administratora danych, czyli pracodawcę osób, których dane są przetwarzane, bądź
• właściciela biura rachunkowego, jeżeli administrator danych zlecił mu przetwarzanie danych osobowych pracowników (na podstawie umowy powierzenia) i uprawnił w tej umowie do wystawiania upoważnień. Postanowieniami umowy powierzenia administrator danych osobowych może bowiem nadać upoważnienie przedstawicielowi podmiotu, któremu dane są powierzane, do nadawania upoważnień jego pracownikom w imieniu pierwotnego administratora

Informacje o udzielonych upoważnieniach powinny zostać umieszczone w ewidencji osób upoważnionych do przetwarzania danych. Ewidencję taką powinien prowadzić administrator danych (art. 39 ustawy). Powinna ona zawierać:

• imiona i nazwiska wszystkich osób upoważnionych do przetwarzania danych osobowych,
• daty nadania i ustania,
• zakres upoważnień do przetwarzania tych danych,
• identyfikatory osób, które zostały dopuszczone do przetwarzania danych w systemach informatycznych. Warto tu zauważyć, że jeśli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas należy zapewnić, aby w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator (login), a dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. System informatyczny musi zatem pozwalać na kontrolę dostępu do danych.

Oczywiście biuro rachunkowe powinno udostępnić klientowi, który powierzył mu przetwarzanie danych osobowych, dane niezbędne do realizacji obowiązku prowadzenia ewidencji. W praktyce dobrym rozwiązaniem jest, by biuro samodzielnie prowadziło taką ewidencję. Obowiązek prowadzenia takiej ewidencji przez biuro może też wynikać z umowy powierzenia.

Forma upoważnienia

Ustawa nie przesądza formy upoważnienia. Dla celów dowodowych wskazane jest jednak, by miało ono formę pisemną. Z przepisów o ewidencji upoważnień wynika, że upoważnienie powinno zawierać m.in. takie dane, jak data nadania, ustania oraz zakres upoważnienia do przetwarzania danych. Nie ma natomiast przeszkód, by upoważnienie było udzielone e-mailem. Warto dodać, że także na stronie Generalnego Inspektora Ochrony Danych Osobowych widnieje informacja że "nie wydaje się, aby upoważnienie nadane w formie e-maila pozostawało w sprzeczności z przepisami ustawy o ochronie danych osobowych, jeśli spełnia wszelkie inne ww. wymogi z tej ustawy" - zob. www.giodo.gov.pl w zakładce Odpowiedzi na pytania.

Podstawa prawna:

• art. 31, art. 37, art. 39 i art. 51 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych - j.t. Dz.U. z 2016 r. poz. 922

Marek Smakuszewski

- doradca podatkowy, właściciel kancelarii podatkowej, autor licznych publikacji z zakresu prawa podatkowego

Czytaj także:

"Obowiązki przedsiębiorców związane z ochroną danych osobowych" - w bazie codziennie aktualizowanych porad i artykułów na www.inforfk.pl