Korzystanie z usług biura księgowego a umowa powierzenia przetwarzania danych osobowych

Wstecz
Kinga Nastałek-Fałowska
2015-09-28

Podpisując z firmą zewnętrzną umowę na obsługę księgową, przedsiębiorcy czasami nie zwracają uwagi na postanowienia regulujące zasady powierzenia przetwarzania danych osobowych lub nie podpisują odrębnych umów w tej sprawie. Tymczasem tylko na takiej podstawie pracodawca może powierzyć przetwarzanie danych osobowych firmie księgowej. 

Prowadzenie dokumentacji księgowej nierozerwalnie wiąże się z przetwarzaniem danych osobowych pracowników zatrudnionych w przedsiębiorstwie. W związku z tym ustawodawca przewidział szereg obostrzeń związanych z powierzeniem przez administratora danych osobowych (pracodawcę) przetwarzania danych innemu podmiotowi.

Zgodnie z art. 31 ust. 1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (dalej jako „u.o.d.o.”) administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Przepis ten oznacza, że pracodawca oraz biuro księgowe, obok umowy określającej zasady współpracy w zakresie prowadzenia ksiąg rachunkowych, zobowiązani są zawrzeć odrębną umowę, której przedmiotem jest powierzenie przetwarzania danych osobowych. Dopuszczalne jest również inkorporowanie do treści umowy podstawowej (o obsługę księgową) zapisów dotyczących powierzenia i zasad przetwarzania przez biuro księgowe danych osobowych bądź ewentualne uzupełnienie podpisanej już umowy o stosowne zapisy poprzez zawarcie aneksu.

Umowa, której zawarcie reguluje art. 31 u.o.d.o. musi przede wszystkim wskazywać zakres i cel przetwarzania danych osobowych. Należy bowiem podkreślić, że podmiot, któremu powierzono przetwarzanie danych osobowych może je przetwarzać wyłącznie w zakresie i w celu przewidzianym w umowie. W przypadku obsługi księgowej zakresem przetwarzania objęte będą dane osobowe pracowników, zaś celem będzie realizacja usług księgowych.

W interesie pracodawcy leży również to, by przetwarzanie danych osobowych zostało powierzone podmiotowi zapewniającemu minimalne, tj. określone przepisami ustawy, środki zabezpieczające przekazany zbiór danych (art. 31 ust. 3 u.o.d.o.). Warto zatem, by w umowie o powierzeniu danych osobowych do przetwarzania znalazło się zobowiązanie po stronie przetwarzającego do wdrożenia odpowiednich środków ochrony. Obowiązek w tym zakresie polega przede wszystkim na zastosowaniu środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. System zabezpieczeń ma być tak skonstruowany, by chronić dane m.in. przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Podmiot przetwarzający powinien również zadbać o to, by przetwarzanie danych osobowych dokonywane było wyłącznie przez osoby specjalnie do tego upoważnione i wpisane do specjalnej ewidencji osób upoważnionych do przetwarzania danych osobowych. Przetwarzający powinien również stosować wewnętrzne środki kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są one przekazywane w zakresie działań podejmowanych na danych osobowych.

Na podmiocie przetwarzającym dane osobowe, podobnie jak na każdym administratorze danych osobowych, spoczywa również obowiązek sporządzenia i prowadzenia dokumentacji opisującej sposób przetwarzania danych w jego firmie oraz podjęte środki ochrony. Podstawowe przepisy wewnętrzne z zakresu ochrony danych osobowych w firmie to „Polityka bezpieczeństwa”, „Instrukcja zarządzania systemem informatycznych służącym do przetwarzania danych osobowych” oraz „Ewidencja osób upoważnionych do przetwarzania danych osobowych”.

Najistotniejszą w procesie powierzenia danych osobowych do przetwarzania jest jednak kwestia określenia zasad odpowiedzialności za przestrzeganie przepisów ustawy.

Należy wskazać, że to administrator danych, mimo iż sam nie przetwarza danych, a jedynie zleca tę czynność podmiotowi zewnętrznemu, ponosi odpowiedzialność za naruszenie przepisów ustawy przez zleceniobiorcę. Będą to z pewnością przypadki przetwarzania danych niezgodnie z celem, w którym dane zostały zebrane, czy też naruszenia praw osób, których dane dotyczą.

Mimo, że administrator danych (przedsiębiorca) nie będzie się mógł uwolnić od odpowiedzialności wskazanej w poprzednim akapicie, to będzie uprawniony do domagania się od podmiotu, któremu powierzył przetwarzanie danych naprawienia szkody, którą poniósł z tytułu przetwarzania danych niezgodnie z zawartą umową.

W związku z powyższym oraz zgodnie z prezentowanym przez GIODO stanowiskiem, tylko umowa zawarta na piśmie, zawierająca zakres i cel, w jakim dane osobowe będą przetwarzane, może być podstawą powierzenia przez pracodawcę innemu podmiotowi przetwarzania danych osobowych pracowników w celu prowadzenia obsługi księgowej.

Kinga Nastałek-Fałowska
Radca prawny