Firmy często powierzają prowadzenie obsługi księgowej podmiotom zewnętrznym. Tym samym dane osobowe pracowników takiej firmy są przekazywane na zewnątrz.
Oczywiście nie ma w tym jeszcze niczego złego. W myśl art. 31 ust. 1 [link=http://akty-prawne.rp.pl/Dokumenty/Ustawy/2002/DU2002Nr101poz%20926.asp]ustawy o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.)[/link] administrator danych może powierzyć innemu podmiotowi ich przetwarzanie. Co jednak istotne, może to zrobić wyłącznie w drodze umowy zawartej na piśmie.
Jeżeli więc firma udzieliła pełnomocnictwa np. księgowemu – osobie prowadzącej działalność gospodarczą, do reprezentowania jej przed urzędem skarbowym i/lub Zakładem Ubezpieczeń Społecznych we wszystkich sprawach związanych z prowadzeniem księgowości, nie jest to wystarczająca przesłanka stwierdzenia prawidłowości procesu przetwarzania danych.
Tak przynajmniej wynika z jednej z [b]decyzji generalnego inspektora danych osobowych (DIS-K-421/141/09). [/b]
[ramka][b]Zobacz: [link=http://www.rp.pl/artykul/592209.html]Wyjaśnienia GIODO dotyczące możliwości uzyskania i przetwarzania danych osobowych pracownika[/link][/b][/ramka]
Czytamy w niej, że takie pełnomocnictwo nie stanowi podstawy powierzenia przetwarzania danych, ponieważ ustawa dopuszczając możliwość powierzenia takiej czynności, jako podstawę w sposób jednoznaczny wskazuje zawarcie umowy w tym zakresie.
Ponadto w myśl art. 31 ust. 2 wymienionej ustawy podmiot, któremu administrator powierzył przetwarzanie informacji, może to czynić wyłącznie w zakresie i celu przewidzianym w umowie. Wobec tego tylko umowa zawarta na piśmie, zawierająca zakres i cel, w jakim dane będą przetwarzane, może być podstawą powierzenia innemu podmiotowi ich przetwarzania.
Warto zaznaczyć, że podmiot, któremu powierzono przetwarzanie danych, musi zadbać o ich ochronę na takich samych zasadach jak przekazujący te uprawnienia (administrator). W szczególności stosują się do niego przepisy rozdziału piątego ustawy – zabezpieczenie danych osobowych (art. 36 – 39).