[b]Tak.[/b] W stosunkach pracowniczych pracodawca pełni funkcję administratora danych osobowych. Przetwarzanie danych może powierzyć innemu podmiotowi w drodze pisemnej umowy. Tak wynika z art. 31 ustawy o ochronie danych osobowych. Umowa taka powinna określać co najmniej zakres i cel przetwarzania danych osobowych.
Dane mogą być bowiem przetwarzane wyłącznie w zakresie i celu przewidzianym w umowie. Powierzenie przetwarzanych danych nie wymaga zgody osoby, której dane dotyczą. Co więcej, powierzenie przetwarzania danych osobowych na podstawie umowy o ich przetwarzanie nie wymaga uzyskania zgody osoby. Nie jest traktowane jako udostępnianie danych osobowych. Przetwarzający nie jest bowiem odbiorcą danych.
Podmiot podejmujący się przetwarzania danych na podstawie umowy powierzenia musi zastosować środki zabezpieczające powierzony zbiór danych, gdyż w zakresie zabezpieczenia danych osobowych to on ponosi odpowiedzialność jako administrator danych.
Musi zatem dbać o to, aby powierzone mu dane osobowe nie dostały się w ręce osób nieupoważnionych ani nie zostały uszkodzone lub zniszczone. Ponadto podmiot, któremu administrator danych powierzył ich przetwarzanie, odpowiada wobec administratora danych za przetwarzanie danych niezgodnie z zawartą umową.
Zatem [b]pracodawca, udostępniając dane osobowe pracowników podmiotowi zewnętrznemu w celu prowadzenia obsługi księgowej swojej dokumentacji, ma obowiązek zawrzeć z nim odrębną umowę powierzenia danych osobowych[/b].
Takie stanowisko znaleźć można także na stronie internetowej generalnego inspektora ochrony danych osobowych ([link=http://www.giodo.gov.pl]www.giodo.gov.pl[/link]).
Zdarza się, że firmy, udzielając podmiotowi zewnętrznemu pełnomocnictwa do jego reprezentowania (np. przed ZUS) we wszystkich sprawach związanych z prowadzeniem księgowości, uznają, że pełnomocnictwo to stanowi podstawę powierzenia przetwarzania danych osobowych.
Takie postępowanie jest jednak sprzeczne z przepisami o ochronie danych osobowych, które wprost wymagają zawarcia odrębnej umowy powierzenia przetwarzania danych osobowych
[i][b]Podstawa prawna:[/b]
– art. 31 ust. 1 [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=6FE8A39BB68515D7DF4666A7DA71990E?id=166335]ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2002 r. nr 101 poz. 926 ze zm.)[/link][/i]
