PROBLEM
Nasze biuro rachunkowe zawarło umowę na prowadzenie akt osobowych i naliczanie wynagrodzeń dla pracowników klienta. Czy możemy sami upoważniać naszych pracowników do przetwarzania przekazanych nam danych osobowych? Czy pracownika pracującego z domu możemy upoważnić za pośrednictwem e-maila?
RADA
Do przetwarzania danych osobowych tych pracowników mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych osobowych (tu: pracodawca). Właściciel biura rachunkowego może wydać upoważnienie swoim pracownikom do przetwarzania danych osobowych, tylko jeżeli jest do tego uprawniony przez pracodawcę, który mu zlecił prowadzenie dokumentacji kadrowej. Dopuszczalne jest upoważnienie przesłane e-mailem. Szczegóły - w uzasadnieniu.
UZASADNIENIE
Państwa klient ma obowiązek zabezpieczenia danych osobowych pracowników, jest bowiem tzw. administratorem tych danych. Ma jednak pełne prawo, aby powierzyć przetwarzanie danych osobowych pracowników Państwa biuru rachunkowemu w drodze umowy zawartej na piśmie - art. 31 ustawy o ochronie danych osobowych (dalej: ustawa). Do powierzenia danych przez ich administratora nie jest wymagana zgoda osoby, której dane dotyczą. Klient powinien jednak powierzyć ich przetwarzanie wyłącznie osobom upoważnionym, które zapoznały się z zasadami ochrony tych danych. Powierzanie danych osobom nieupoważnionym naraża administratora danych (tu pracodawcę) na sankcje karne. Ustawa o ochronie danych przewiduje w takim przypadku grzywnę, karę ograniczenia wolności albo pozbawienia wolności do lat 2 (nieumyślnie - do roku) - art. 51 ust. 1 i 2 ustawy. W praktyce oznacza to konieczność zadbania o to, by dostęp do danych miały tylko osoby pisemnie upoważnione (art. 37 ustawy). Osoby wyznaczone w Państwa biurze rachunkowym do prowadzenia akt osobowych pracowników zatrudnionych przez danego pracodawcę muszą zatem posiadać stosowne upoważnienie wystawione przez:
Informacje o udzielonych upoważnieniach powinny zostać umieszczone w ewidencji osób upoważnionych do przetwarzania danych. Ewidencję taką powinien prowadzić administrator danych (art. 39 ustawy). Powinna ona zawierać:
Oczywiście biuro rachunkowe powinno udostępnić klientowi, który powierzył mu przetwarzanie danych osobowych, dane niezbędne do realizacji obowiązku prowadzenia ewidencji. W praktyce dobrym rozwiązaniem jest, by biuro samodzielnie prowadziło taką ewidencję. Obowiązek prowadzenia takiej ewidencji przez biuro może też wynikać z umowy powierzenia.
Ustawa nie przesądza formy upoważnienia. Dla celów dowodowych wskazane jest jednak, by miało ono formę pisemną. Z przepisów o ewidencji upoważnień wynika, że upoważnienie powinno zawierać m.in. takie dane, jak data nadania, ustania oraz zakres upoważnienia do przetwarzania danych. Nie ma natomiast przeszkód, by upoważnienie było udzielone e-mailem. Warto dodać, że także na stronie Generalnego Inspektora Ochrony Danych Osobowych widnieje informacja że "nie wydaje się, aby upoważnienie nadane w formie e-maila pozostawało w sprzeczności z przepisami ustawy o ochronie danych osobowych, jeśli spełnia wszelkie inne ww. wymogi z tej ustawy" - zob. www.giodo.gov.pl w zakładce Odpowiedzi na pytania.
Podstawa prawna:
art. 31, art. 37, art. 39 i art. 51 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych - j.t. Dz.U. z 2016 r. poz. 922
Marek Smakuszewski
- doradca podatkowy, właściciel kancelarii podatkowej, autor licznych publikacji z zakresu prawa podatkowego
Czytaj także:
"Obowiązki przedsiębiorców związane z ochroną danych osobowych" - w bazie codziennie aktualizowanych porad i artykułów na www.inforfk.pl