Zatrudniam 14 pracowników. Czy jestem zobowiązany do wprowadzenia zabezpieczeń wynikających z przepisów o ochronie danych osobowych?

Mateusz Nowak
05.09.2015

TAK.
W myśl art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych, na pracodawcy występującym w roli administratora danych nie ciąży obowiązek rejestracji zbioru danych osobowych przetwarzanych w związku z zatrudnieniem.

Pracodawca nie musi sporządzać i składać zgłoszenia rejestracyjnego, np. akt osobowych.

Nie oznacza to, że pracodawca zwolniony jest z obowiązku zabezpieczenia danych osobowych, w tym zawartych w aktach osobowych oraz innej dokumentacji. Artykuł 36 ust. 1 ustawy o ochronie danych osobowych zobowiązuje administratora danych (pracodawcę) do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Jednak niedopuszczalne jest odstąpienie od stosowania środków technicznych i organizacyjnych w celu zabezpieczenia danych osobowych, ze względu na przyczyny natury organizacyjno-finansowej (por. wyrok NSA z 4 marca 2002 r., II SA 3144/01, Monitor Prawniczy z 2002 r. nr 8, s. 340).
Administrator danych zobowiązany jest wdrożyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (par. 3 ust. 1 rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Dz.U. nr 100, poz. 1024). Przez "wdrożenie" należy rozumieć ich opublikowanie i zapoznanie z dokumentami osób upoważnionych do przetwarzania danych osobowych, zatrudnionych, wolontariuszy, itp., których zachowania mogą mieć wpływ na zabezpieczenie danych osobowych. Celowe jest przekazanie kopii tych dokumentów przynajmniej do wglądu. W razie stosowania przez pracodawcę programów kadrowo-płacowych czy przekazywania danych z pomocą programu Płatnik, system informatyczny służący do przetwarzania danych osobowych powinien spełniać wszystkie wymogi, o których mowa w rozporządzeniu z dnia 29 kwietnia 2004 r. System informatyczny powinien m.in. zapewniać odnotowanie dla każdej osoby: daty pierwszego wprowadzenia danych do systemu, identyfikatora użytkownika wprowadzającego dane oraz informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy o ochronie danych osobowych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia. Ponadto pracodawca ma obowiązek prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych.

Omówione obowiązki obciążają każdego pracodawcę, niezależnie od liczby zatrudnionych. Pracodawca musi dostosować system informatyczny do wskazanych wymagań, jeżeli wykorzystuje taki system do przetwarzania danych osobowych.

Zgłoś swój pomysł na artykuł

Więcej w tym dziale Zobacz wszystkie

Ważne: Użytkowanie Witryny oznacza zgodę na wykorzystywanie plików cookie. Szczegółowe informacje w Polityce prywatności.