Ochrona danych osobowych w biurach rachunkowych
Ochrona danych osobowych w biurach rachunkowych to jeden z obowiązków w ramach prowadzenia spraw kadrowych. Biura rachunkowe zajmują się przetwarzaniem danych osobowych pracowników firm, z którymi mają podpisane umowy o obsługę kadrową. Pracownicy biura, którzy z racji pełnionych obowiązków służbowych, mają dostęp do danych osobowych, powinni posiadać pisemne upoważnienie do ich przetwarzania, wystawione przez administratora danych.
Ochrona danych osobowych w biurach rachunkowych – kto jest administratorem?
Administratorem danych jest m.in. pracodawca, który gromadzi dane o kandydatach do zatrudnienia, pracownikach i byłych pracownikach. Zgodnie z art. 37 ustawy o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 ze zm.), musi on wystawić pisemne upoważnienie dla osób, nie mających statusu administratora danych, ale mają do nich dostęp. W związku z tym, jeżeli pracodawcą jest biuro rachunkowe i zatrudnia pracowników prowadzących sprawy kadrowe, wówczas musi udzielić im upoważnienia do takich czynności. Przekazanie upoważnienia do przetwarzania danych biuru rachunkowemu, jako podmiotowi realizującemu określone usługi, następuje natomiast na mocy umowy, zawartej między daną firmą a biurem (art. 31 ustawy).
Przetwarzanie danych osobowych a obowiązek powołania administratora
Odnośnie powołania administratora bezpieczeństwa informacji (ABI), to zgodnie z przepisami prawa, obowiązującymi od 1 stycznia 2015 r., biuro rachunkowe może to uczynić, ale nie musi. Przed wskazaną datą na pracodawcy ciążył taki wymóg, chyba że sam wykonywał obowiązki administratora bezpieczeństwa informacji. Przepis art. 36 ust. 3 ustawy, który o tym stanowił, został jednak uchylony z dniem 1 stycznia 2015 r. Zamiast niego wprowadzono nowy – art. 36a, który przewiduje dobrowolność wyznaczenia administratora bezpieczeństwa informacji. Przy czym, jeżeli biuro rachunkowe nie wyznaczy ABI, to musi samo wykonywać jego zadania, z wyłączeniem obowiązku sporządzania sprawozdania i prowadzenia wewnętrznego rejestru zbiorów danych, przetwarzanych przez administratora danych (art. 36b ustawy).
Wspomnieć należy również, że biuro rachunkowe musi wprowadzić fizyczne, techniczne i organizacyjne procedury, zabezpieczające dane osobowe swoich klientów. Musi m.in. opracować i wdrożyć Politykę bezpieczeństwa ochrony danych osobowych a także Instrukcję zarządzania systemem informatycznym. Obowiązkiem biura rachunkowego jest również odpowiednie zabezpieczenie systemów komputerowych oraz papierowych baz danych przed nieuprawnionym dostępem.
Treść komentarza
Czyli w sumie to nie za wiele się zmieniło, skoro wcześniej musiał z konieczności powoływać ABI chyba, że sam pracodawca sam sprawował tą funkcje. Teraz jest tak samo tyle znieśli obowiązek sporządzania sprawozdania i prowadzenia wewnętrznego rejestru zbiorów danych. Tylko odwrócili kota ogonem :/