Czy pracodawca zlecający podmiotowi zewnętrznemu prowadzenie obsługi księgowej lub kadrowej ma również obowiązek zawarcia z nim umowy powierzenia przetwarzania danych osobowych?

Rafał Andrzejewski | 28.02.2018

Tak, gdyż obo­wią­zek ten wy­ni­ka z usta­wy o ochro­nie da­nych oso­bo­wych, a pro­wa­dze­nie do­ku­men­ta­cji księ­go­wej wią­że się nie­ro­ze­rwal­nie z prze­twa­rza­niem da­nych oso­bo­wych pra­cow­ni­ków.

Na pod­sta­wie art. 31 ust. 1 usta­wy z dnia 29 sierp­nia 1997 r. o ochro­nie da­nych oso­bo­wych, ad­mi­ni­stra­tor da­nych (np. pra­co­daw­ca) mo­że po­wie­rzyć in­ne­mu podmio­to­wi, w dro­dze umo­wy za­war­tej na pi­śmie, prze­twa­rza­nie da­nych. Nie­zbęd­ny­mi ele­men­ta­mi tej umo­wy jest okre­śle­nie ce­lu, w ja­kim podmiot, któ­re­mu po­wie­rzo­no prze­twa­rza­nie da­nych mo­że je prze­twa­rzać oraz za­kre­su po­wie­rzo­nych do prze­twa­rza­nia da­nych. Pod­miot ten mo­że bo­wiem prze­twa­rzać da­ne wy­łącz­nie w za­kre­sie i ce­lu prze­wi­dzia­nym w umo­wie. Po­wie­rze­nie prze­twa­rza­nia da­nych na pod­sta­wie umo­wy, o któ­rej sta­no­wi art. 31 usta­wy, w okre­ślo­nym w niej ce­lu, jest dzia­ła­niem praw­nie do­pusz­czal­nym i nie sta­no­wi nie­upraw­nio­ne­go udo­stęp­nie­nia da­nych przez ich ad­mi­ni­stra­tora in­ne­mu podmio­to­wi. Po­wie­rze­nie prze­twa­rza­nych da­nych nie wy­ma­ga zgo­dy oso­by, któ­rej da­ne do­ty­czą.

Na­le­ży za­uwa­żyć, że, sto­sow­nie do art. 31 ust. 3 oma­wia­nej usta­wy, podmiot po­dej­mu­ją­cy się prze­twa­rza­nia da­nych na pod­sta­wie umo­wy po­wie­rze­nia obo­wią­za­ny jest za­sto­so­wać środ­ki za­bez­pie­cza­ją­ce po­wie­rzo­ny zbiór da­nych, gdyż w za­kre­sie za­bez­pie­cze­nia da­nych oso­bo­wych podmiot ten po­no­si od­po­wie­dzial­ność jak ad­mi­ni­stra­tor da­nych. Mu­si za­tem dbać o to, aby po­wie­rzo­ne mu da­ne oso­bo­we nie do­sta­ły się w rę­ce osób nie­upo­waż­nio­nych, bądź nie zo­sta­ły uszko­dzo­ne lub znisz­czo­ne. Po­nad­to, podmiot, któ­re­mu ad­mi­ni­stra­tor da­nych po­wie­rzył ich prze­twa­rza­nie, od­po­wia­da wo­bec ad­mi­ni­stra­tora da­nych, za prze­twa­rza­nie da­nych nie­zgod­nie z za­war­tą umo­wą.

Pra­co­daw­ca udo­stęp­nia­jąc da­ne oso­bo­we pra­cow­ni­ków podmio­to­wi ze­wnętrz­ne­mu w ce­lu pro­wa­dze­nia ob­słu­gi księ­go­wej swo­jej do­ku­men­ta­cji ma obo­wią­zek za­wrzeć z nim odręb­ną umo­wę po­wie­rze­nia da­nych oso­bo­wych. Czę­sto bo­wiem pra­co­daw­ca myl­nie uwa­ża, że sko­ro udzie­lił  podmio­to­wi ze­wnętrz­ne­mu peł­no­moc­nic­twa do je­go re­pre­zen­to­wa­nia (np. przed Urzę­dem Skar­bo­wym i Za­kła­dem Ubez­pie­czeń Spo­łecz­nych) we wszyst­kich spra­wach zwią­za­nych z pro­wa­dze­niem księ­go­wo­ści, to peł­no­moc­nic­two to sta­no­wi pod­sta­wę po­wie­rze­nia prze­twa­rza­nia da­nych oso­bo­wych. Jest to sprzecz­ne z usta­wą o ochro­nie da­nych oso­bo­wych, gdyż jej prze­pi­sy wy­raź­nie wy­ma­ga­ją, aby umo­wa po­wie­rze­nia prze­twa­rza­nia da­nych oso­bo­wych by­ła odręb­ną umo­wą.

W związ­ku z po­wyż­szym tyl­ko umo­wa za­war­ta na pi­śmie, za­wie­ra­ją­ca za­kres i cel w ja­kim da­ne oso­bo­we bę­dą prze­twa­rza­ne, mo­że być pod­sta­wą po­wie­rze­nia przez pra­co­daw­cę in­ne­mu podmio­to­wi prze­twa­rza­nia da­nych oso­bo­wych pra­cow­ni­ków w ce­lu pro­wa­dze­nia ob­słu­gi księ­go­wej.

Źró­dło:

– Usta­wa z dnia 29 sierp­nia 1997 r. o ochro­nie da­nych oso­bo­wych (Dz.U. z 2016 r. poz 966 z późn. zm.),

– www.gio­do.gov.pl.