otwórz artykuł w nowym oknie
drukuj artykuł
następny artykuł
poprzedni artykuł
powrót do spisu treści czasopisma

       Ostatnia aktualizacja: 24.04.2017 r., godz. 11:56
        Ilość wizyt w ciągu ostatnich 30 dni - 87.186
Biuro Obsługi Klienta: tel. 95 720 85 40, Formularz kontaktowy »
2 maja 2017 r. (wtorek) mija termin złożenia do US zeznań: PIT-36, PIT-36L, PIT-37, PIT-38, PIT-39 oraz oświadczenia PIT-OP za 2016 r.
Zamknij
Wyszukiwarka - czasopismaksiegowych.pl
Aktualnie jesteś: Czasopisma Księgowych (strona główna)  »  Obowiązek zabezpieczenia akt osobowych przez biuro rachunkowe
UiPP
 
Ubezpieczenia i Prawo Pracy

 
C.PRAWO PRACY
 IX.Wyjaśnienia dotyczące wybranych zagadnień
A A A  
otwórz artykuł w nowym oknie drukuj artykuł poprzedni artykuł   powrót do spisu treści czasopisma  następny artykuł

Obowiązek zabezpieczenia akt osobowych przez biuro rachunkowe

W ramach prowadzonego biura rachunkowego świadczę klientom usługi z zakresu prowadzenia akt osobowych i naliczania wynagrodzeń dla ich pracowników. Jakie dokumenty oraz urządzenia zabezpieczające muszę mieć aby zgodnie z prawem przechowywać teczki akt osobowych pracowników klientów? Czy w ramach zabezpieczeń wystarczy szafa biurowa zamykana na klucz, czy musi ona spełniać jakieś dodatkowe wymogi?

Wypłata pracownikowi wynagrodzenia za wykonaną pracę jest jednym z podstawowych obowiązków pracodawcy. Podobnie jak prowadzenie oraz przechowywanie w warunkach niegrożących uszkodzeniem lub zniszczeniem dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników (art. 94 pkt 5, pkt 9a i 9b K.p.). Obowiązki te pracodawca może przekazać firmie zewnętrznej, która się w tym specjalizuje np. biuru rachunkowemu.

Sposób prowadzenia akt osobowych pracownika oraz zakres prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy reguluje rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w tej sprawie (Dz. U. nr 62, poz. 286 z późn. zm.). Przepisy tego rozporządzania, podobnie jak Kodeksu pracy, nie regulują natomiast sposobu ochrony akt osobowych pracowników. W tym zakresie pracodawca, jako administrator danych osobowych zobowiązany jest stosować ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), dalej ustawę. Przechowywanie akt osobowych zawierających dane osobowe pracowników, jest bowiem przetwarzaniem danych osobowych w rozumieniu tej ustawy. Ilekroć w ustawie o ochronie danych osobowych jest mowa o przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2 ustawy).

Administrator danych, czyli pracodawca może powierzyć przetwarzanie danych innemu podmiotowi (np. biuru rachunkowemu), w drodze umowy zawartej na piśmie (umowa powierzenia przetwarzania danych). Zwykle umowa taka będzie miała formę umowy o świadczenie usług. Powinna ona wskazywać zakres i cel przetwarzania danych osobowych. Należy bowiem podkreślić, że podmiot, któremu powierzono przetwarzanie danych osobowych może je przetwarzać wyłącznie w zakresie i w celu przewidzianym w umowie (art. 31 ust. 2 ustawy). Potwierdza to wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 15 lutego 2006 r. (sygn. akt II SA/Wa 2055/05) zgodnie, z którym: "(...) podmiot przyjmujący od administratora »zlecenie przetwarzania danych« może to przetwarzanie prowadzić wyłącznie w przewidzianym umową zakresie (chodzi tu głównie o rodzaj danych) oraz w określonym umową celu (chodzi tu głównie o przeznaczenie danych). Zakres i cel mogą być doprecyzowane przez wskazówki i polecenia udzielone przez administratora danych (...)".

Zwracamy uwagę! W przypadku obsługi kadrowo-płacowej zakresem przetwarzania objęte będą dane osobowe pracowników, zaś celem będzie realizacja wymienionych w umowie usług.

Ogólne zasady zabezpieczenia danych osobowych określone zostały w art. 36-39 ustawy, które to przepisy nakładają na administratora określone obowiązki. Obowiązki te spoczywają również na podmiocie przetwarzającym dane na jego zlecenie. Zgodnie bowiem z art. 31 ust. 3 ustawy, podmiot taki jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 ustawy, oraz spełnić wymagania określone w przepisach wymienionych w art. 39a tej ustawy. Chodzi tu o rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024), dalej rozporządzenie.

Ważne: Właściciel biura rachunkowego, któremu pracodawca powierzył przetwarzanie danych osobowych pracowników (na podstawie odpowiedniej umowy) musi mieć na uwadze, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych (art. 37 ustawy).

Oznacza to, że osoby wyznaczone w biurze rachunkowym do prowadzenia akt osobowych pracowników zatrudnionych przez danego pracodawcę muszą posiadać stosowne upoważnienie wystawione przez administratora danych, czyli pracodawcę bądź podmiot, któremu pracodawca zlecił przetwarzanie danych osobowych pracowników (na podstawie umowy powierzenia), czyli biuro rachunkowe.

W myśl art. 39 ustawy, administrator danych jest także zobowiązany do prowadzenia ewidencji osób upoważnionych do przetwarzania danych. W przypadku powierzenia przetwarzania danych osobowych biuru rachunkowemu również i ten obowiązek, jak się wydaje, dotyczy tego podmiotu. Ewidencja taka powinna zawierać imiona i nazwiska wszystkich osób upoważnionych do przetwarzania danych osobowych, daty nadania i ustania, zakres upoważnień do przetwarzania tych danych oraz identyfikatory odnośnie tych osób, które dopuszczone zostały do przetwarzania danych w systemach informatycznych.

Stosownie do art. 36 ustawy, podmiot przetwarzający dane osobowe jest także zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Użycie w cytowanym przepisie sformułowania "odpowiednią do zagrożeń" oznacza, że na podmiocie przetwarzającym dane spoczywa obowiązek samodzielnego doboru środków tak, aby cel, jakim jest zapewnienie odpowiedniej ochrony przetwarzanych danych został osiągnięty.

Jeśli chodzi o przechowywanie papierowych akt osobowych, to ustawodawca nie wskazał środków ich zabezpieczenia, ani nie określił wymogów, jakie muszą spełniać szafy, w których akta są przechowywane. Pewne rozwiązania wypracowała praktyka. Przyjmuje się zatem, że akta osobowe powinny być przechowywane w zamykanych szafach, do których dostęp mają tylko wyznaczeni (upoważnieni) pracownicy. Pomieszczenia, w których się one znajdują powinny być odpowiednio zabezpieczone tak, aby nikt nieupoważniony nie miał do nich dostępu. Nie mogą być one narażone na wilgoć czy zalanie, co mogłoby narazić akta na zniszczenie.

Zwracamy uwagę! Obowiązkiem biura rachunkowego jest prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz zastosowane środki techniczne i organizacyjne zapewniające ochronę tych danych (art. 36 ust. 2 ustawy). Jeśli dane osobowe przetwarzane są za pomocą urządzeń i systemów informatycznych, co jak się wydaje jest już powszechną praktyką, to dokumentacja opisująca sposób ich przetwarzania powinna spełniać warunki wskazane w powołanym wyżej rozporządzeniu. Zgodnie z § 3 tego aktu prawnego, na dokumentację taką składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Polityka bezpieczeństwa powinna zawierać w szczególności:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
     
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
     
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
     
  • sposób przepływu danych pomiędzy poszczególnymi systemami,
     
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Natomiast instrukcja powinna zawierać w szczególności:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
     
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
     
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
     
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
     
  • sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe i kopii zapasowych,
     
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
     
  • sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia (odnotowania w systemie informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia),
     
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Dokumentacja ochrony danych osobowych powinna być prowadzona w formie pisemnej.

 
C.PRAWO PRACY
 IX.Wyjaśnienia dotyczące wybranych zagadnień
A A A  
otwórz artykuł w nowym oknie drukuj artykuł poprzedni artykuł   powrót do spisu treści czasopisma  następny artykuł
Sklep internetowy - sklep.gofin.pl

Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60