Ochrona danych osobowych przez biuro rachunkowe.

Biura rachunkowe, które świadczą klientom usługi z zakresu prowadzenia akt osobowych i naliczania wynagrodzeń zobowiązane są do przestrzegania przepisów ustawa z dnia 29-08-1997 r. o ochronie danych osobowych.

Przetwarzanie danych osobowych przez inne podmioty

Pracodawca może powierzyć przetwarzanie danych osobowych innemu podmiotowi (np. biuru rachunkowemu), w drodze umowy zawartej na piśmie. Umowa powinna wskazywać zakres i cel przetwarzania danych osobowych. Należy podkreślić, że biuro rachunkowe, któremu powierzono przetwarzanie danych osobowych może je przetwarzać wyłącznie w zakresie i w celu przewidzianym w umowie. Potwierdza to wyrok WSA w Warszawie z 15 lutego 2006 r., z którego wynika, że: „..podmiot przyjmujący od administratora zlecenie przetwarzania danych może to przetwarzanie prowadzić wyłącznie w przewidzianym umową zakresie oraz w określonym umową celu. Zakres i cel mogą być doprecyzowane przez wskazówki i polecenia udzielone przez administratora danych (...)”.

Ustawa o ochronie danych osobowych nakłada na administratora danych, czyli organ, jednostkę organizacyjną, podmiot lub osobę decydują o celach i środkach przetwarzania danych osobowych określone obowiązki. Obowiązki te spoczywają również na podmiocie przetwarzającym dane na jego zlecenie – biurze rachunkowym.

Właściciel biura rachunkowego, któremu na podstawie umowy powierzono przetwarzanie danych osobowych pracowników musi pamiętać, że zgodnie z art. 37 ww. ustawy, do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Oznacza to, że pracownicy biura rachunkowego wyznaczeni do prowadzenia akt osobowych pracowników zatrudnionych przez danego pracodawcę muszą posiadać stosowne upoważnienie wystawione przez administratora danych, czyli pracodawcę bądź podmiot, któremu pracodawca zlecił przetwarzanie danych osobowych pracowników, czyli biuro rachunkowe.

ochrona danych osobowych w biurze rachunkowym

Obowiązki biura rachunkowego a ochrona danych osobowych

Zgodnie z artykułem art. 39 ustawy, biuro rachunkowe świadczące usługi kadrowo-płacowe jest zobowiązane do prowadzenia ewidencji osób upoważnionych do przetwarzania danych. Ewidencja taka powinna zawierać imiona i nazwiska wszystkich osób upoważnionych do przetwarzania danych osobowych, daty nadania i ustania, zakres upoważnień do przetwarzania tych danych oraz identyfikatory odnośnie tych osób, które dopuszczone zostały do przetwarzania danych w systemach informatycznych.
Stosownie zaś do art. 36 ustawy, biuro rachunkowe przetwarzające dane osobowe jest także zobowiązane zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinno zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Ustawodawca nie określił jakie środki zabezpieczenia należy stosować przy przechowywaniu papierowych akt osobowych. Rozwiązania podpowiada stosowana w biurach rachunkowych praktyka: akta osobowe powinny być przechowywane w zamykanych szafach, do których dostęp mają tylko wyznaczeni pracownicy biura rachunkowego.

Zasady przetwarzania danych osobowych przez biuro rachunkowe

Dodatkowym obowiązkiem biura rachunkowego wynikającym z art. 36 ust. 2 ustawy o ochronie danych osobowych jest prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz zastosowane środki techniczne i organizacyjne zapewniające ochronę tych danych. Jeśli dane osobowe przetwarzane są w biurze rachunkowym za pomocą systemów informatycznych, to dokumentacja opisująca sposób ich przetwarzania powinna spełniać warunki wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zgodnie z przepisami rozporządzenia, na dokumentację taką składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Polityka bezpieczeństwa danych osobowych powinna zawierać w szczególności:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
  • sposób przepływu danych pomiędzy poszczególnymi systemami,
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Natomiast instrukcja bezpieczeństwa danych osobowych powinna zawierać w szczególności:

  • procedury nadawania uprawnień do przetwarzania danych osobowych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
  • sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe i kopii zapasowych,
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Wróć do listy