Slajd nr 1 Slajd nr 1
Tło strzałki Strzałka
Header na wersje mobilna
Header na wersje tabletową Header na wersje laptopową
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Kadrowy
  3. Prawo pracy
  4. RODO w biurze rachunkowym a dane o pracownikach klienta

RODO w biurze rachunkowym a dane o pracownikach klienta

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Działalność biur rachunkowych jest ściśle związana z przetwarzaniem danych osobowych powierzonych przez klienta. W tym kontekście szczególne znaczenie ma odpowiednie zabezpieczenie informacji udostępnionych przez przedsiębiorcę, w tym takich, które dotyczą pracowników firmy. Jaką zatem rolę odgrywają unormowania tzw. RODO w biurze rachunkowym w odniesieniu do danych o pracownikach klienta? Omawiamy te zagadnienia poniżej w artykule.

Ochrona danych osobowych – podstawa prawna

Odpowiedź na postawione na wstępie pytanie o rolę przepisów RODO w przypadku danych o pracownikach klienta przekazanych do biura rachunkowego jest jednoznaczna – regulacje te mają zasadnicze znaczenie w tym zakresie. Pora w tym miejscu przypomnieć, co rozumiemy przez pojęcie „RODO”.

Ilekroć używamy skrótu „RODO”, należy przez to rozumieć unormowania zawarte w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).

Status prawny RODO charakteryzuje się tym, że postanowienia w nim zawarte mają bezpośrednie zastosowanie do podmiotów zajmujących się przetwarzaniem danych osobowych.

Dane osobowe – podstawowe definicje zawarte w RODO

Przedstawienie problematyki ochrony danych pracowników klienta przekazanych do biura rachunkowego wymaga przytoczenia kilku podstawowych pojęć zdefiniowanych w RODO. Oznacza to, że przez:

  • dane osobowe – należy rozumieć informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

  • przetwarzanie – rozumie się operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

  • pseudonimizację – rozumie się przetworzenie danych osobowych w ten sposób, aby nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i objęto je środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

  • zbiór danych – należy rozumieć uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

  • administratora – rozumie się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;

  • podmiot przetwarzający – należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

RODO w biurze rachunkowym a dane o pracownikach klienta  

Możliwość przetwarzania danych osobowych przez podmiot zewnętrzny jest uwarunkowana spełnieniem jednego z wymogów określonych w art. 6 ust. 1 RODO. W przypadku usług księgowych i kadrowych zleconych przez pracodawcę podmiotowi będącemu biurem rachunkowym podstawę prawną stanowić będzie art. 6 ust. 1 ppkt b) i c). 

Przetwarzanie jest zgodne z prawem wyłącznie wówczas, gdy jest niezbędne do wykonania umowy lub do wypełnienia obowiązku prawnego ciążącego na administratorze.

Wybór podmiotu odpowiedniego do przetwarzania danych osobowych pracowników klienta

Jeżeli pracodawca zamierza powierzyć określone czynności w zakresie obsługi kadrowej zewnętrznemu podmiotowi (dotyczy to z reguły biura rachunkowego), powinien wybrać taki podmiot, który gwarantuje spełnienie kryteriów wskazanych w RODO w obszarze ochrony danych osobowych.

W motywie 81 Preambuły do RODO podkreślono, że w celu zapewnienia wymogów RODO w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien – powierzając temu podmiotowi czynności przetwarzania – korzystać z usług wyłącznie tych podmiotów, które zapewniają wystarczające gwarancje wdrożenia środków technicznych i organizacyjnych odpowiadających wspomnianym wymogom, w tym dotyczącym bezpieczeństwa przetwarzania.

Stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji może posłużyć za element wykazujący wywiązywanie się z obowiązków administratora.

Przetwarzanie przez biuro rachunkowe powinno być regulowane umową lub innym instrumentem prawnym, które podlegają prawu Unii Europejskiej (UE) lub prawu państwa członkowskiego.

Administrator (pracodawca) i podmiot przetwarzający (biuro rachunkowe mające realizować zlecenie pracodawcy) mogą postanowić skorzystać z umowy indywidualnej lub ze standardowych klauzul umownych, które zostały przyjęte bezpośrednio przez Komisję albo przez organ nadzorczy zgodnie z mechanizmem spójności, a następnie zaakceptowane przez Komisję.

W art. 28 ust. 1 RODO doprecyzowano, że w przypadku gdy przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Ponadto biuro rachunkowe nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora (czyli pracodawcy zlecającego usługę). W przypadku ogólnej pisemnej zgody biuro rachunkowe informuje pracodawcę o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich modyfikacji.

Umowa lub inny akt prawny stanowiący podstawę zlecenia określonych czynności przez administratora (pracodawcę) podmiotowi przetwarzającemu (biuru rachunkowemu) powinna mieć formę pisemną lub elektroniczną.

Zasady dotyczące bezpieczeństwa przetwarzania danych

Biuro rachunkowe, podejmując się obsługi kadrowej zleconej przez klienta, jest zobligowane stosować generalne zasady dotyczące bezpieczeństwa przetwarzania danych osobowych. Zobowiązania w tym obszarze ciążą również na administratorze, czyli na pracodawcy. Jak zatem wynika z art. 32 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, zarówno administrator, jak i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

  • pseudonimizację oraz szyfrowanie danych osobowych; 

  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Dokonując oceny poziomu zabezpieczeń, wymagane jest uwzględnienie w szczególności ryzyka wiążącego się z przetwarzaniem, zwłaszcza wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych bądź przetwarzanych w inny sposób.

Wdrożenie odpowiednich środków technicznych i organizacyjnych można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji, które to dokumenty zostały opisane w RODO.

Pracodawca oraz współpracujące z nim biuro rachunkowe podejmują działania w celu zapewnienia, aby każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, posiadająca dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo UE lub prawo państwa członkowskiego.

Obowiązek rejestrowania czynności przetwarzania

Biuro rachunkowe, które wykonuje czynności zlecone przez administratora danych (pracodawcę), jest zobligowane – w ramach ochrony danych osobowych pracowników klienta – prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, dalej jako „rejestr”. Obowiązek prowadzenia wskazanego rejestru dotyczy każdego podmiotu przetwarzającego oraz – gdy ma to zastosowanie – przedstawiciela podmiotu przetwarzającego.

W rejestrze należy zawrzeć następujące informacje:

  • imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów, czyli w przypadku biura rachunkowego będą to czynności o charakterze obsługi kadrowej oraz płacowo-księgowej;

  • gdy ma to zastosowanie – przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentację odpowiednich zabezpieczeń;

  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, np. sposoby pseudonimizacji i szyfrowania danych, metody zapewnienia szybkiego przywrócenia dostępności danych w razie awarii, mechanizmy zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.

Rejestry są prowadzone w formie pisemnej, w tym również w postaci elektronicznej. Jak wynika z art. 30 ust. 5 RODO, obowiązek prowadzenia rejestru nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób. Zwolnienie to nie dotyczy jednak przypadków, w których przetwarzanie danych:

  1. może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;

  2. nie ma charakteru sporadycznego;

  3. obejmuje szczególne kategorie danych osobowych;

  4. obejmuje dane dotyczące wyroków skazujących i czynów zabronionych.

W odniesieniu do biur rachunkowych zwolnienie z prowadzenia rejestru nie będzie mogło mieć zastosowania, bowiem przetwarzanie danych ma systematyczny charakter, który wynika ze specyfiki działalności w tym zakresie. Ponadto biuro rachunkowe może także przetwarzać dane osobowe szczególnych kategorii.

RODO w biurze rachunkowym a dane o pracownikach klienta – podsumowanie

Pracodawca może zlecić, na podstawie umowy powierzenia, obsługę kadrową innemu podmiotowi – zwykle jest to biuro rachunkowe. Mimo przekazania realizacji wspomnianych zadań jednostce zewnętrznej pracodawca nadal pozostaje administratorem danych osobowych pracowników, którzy są u niego zatrudnieni. Tym większa odpowiedzialność ciąży na nim w kwestii wyboru biura spełniającego wszystkie wymogi wynikające z RODO. Pseudonimizacja i szyfrowanie danych oraz regularne testowanie i ocena środków technicznych, jak również rejestracja czynności przetwarzania, to podstawowe działania, jakich należy oczekiwać od biura rachunkowego.

Polecamy:

Schemat podatkowy - na czym polega i kogo dotyczy raportowanie?

Zwolnienie pracownika z przyczyn ekonomicznych
Doba pracownicza – pojęcie, konsekwencje jej narus...
Kwiecień 2024
19
Piątek
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 28
  • PIT 36
  • PIT 36L
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Okres wypowiedzenia umowy o pracę - ustalenie jego daty początkowej i końcowej
  2. Umowa zlecenie w 2024 r. jako częsta forma zatrudnienia - podstawowe informacje
  3. Praca na emeryturze w 2024 r. – jakie ulgi czekają emeryta, który dorabia na emeryturze?
  4. Ile wynosi minimalna stawka godzinowa na umowie zlecenie w 2024 roku?
  5. Jaki wymiar urlopu wypoczynkowego przysługuje pracownikowi w 2024 roku?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Prawo pracy

Liczba godzin pracy w miesiącu - jak ją prawidłowo ustalić?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Ochrona danych osobowych 2018-2024 - wyzwania w cyfrowej rzeczywistości
XVIII Kongres ICV POLSKA (Controlling Intelligence Adventure 2024)
Open Source Day już 18 kwietnia w Warszawie!
Świat nieruchomości na wysokich obcasach: Jubileuszowe Forum Inwestorek 2024
SEO Vibes Poland - największa konferencja WhitePress z międzynarodowymi ekspertami Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów