Gorące tematy
W jaki sposób rozliczysz się w 2018 r. z fiskusem?
sondaż 289 głosów
80%

przez internet przy użyciu programu do rozliczenia PIT-ów

232 głosów
13%

samodzielnie wypełnię papierowy formularz PIT

39 głosów
3%

skorzystam z usług księgowego lub doradcy podatkowego

9 głosów
3%

zrobię to w inny sposób

9 głosów

GŁOSUJ

Kalendarz podatnika
Zainteresuje cię także
Jakich danych osobowych może żądać od Ciebie...
Kamil Sztandera
http://sxc.hu/
Podatnik.info

Jakich danych osobowych może żądać od Ciebie pracodawca?

Podziel się tym artykułem:   

Redaktor naczelny portalu Podatnik.info, Kamil Sztandera rozmawia z Panem Danielem Jastrunem, radcą prawym i partnerem w Kancelarii Magnusson o obowiązkach pracodawcy względem ochrony danych zatrudnianych osób. 

Daniel Jastrun będzie jednym z prelegentów na organizowanym przez Instytut Allerhanda Polskim Kongresie Prawa Pracy 2013, na którym wyjaśni on m. in. kwestie związane z ochroną danych osobowych pracowników oraz procedurami obowiązującymi w tym zakresie.

Podatnik.info: Czy pracodawca jest w jakikolwiek sposób zobowiązany do ochrony danych osobowych swoich pracowników?

Daniel Jastrun, radca prawny i partner w Kancelarii Magnusson: Oczywiście, należy to do jego podstawowych obowiązków. W świetle ustawy o ochronie danych osobowych pracodawcę traktujemy jako administratora danych.

Podatnik.info: Co to oznacza w praktyce?

DJ: Po pierwsze pracodawca może wymagać od pracowników dostarczenia mu tylko ograniczonego zakresu danych, co precyzuje art. 22(1) Kodeksu pracy. Są to takie informacje, jak imię (imiona) i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania, wykształcenie, przebieg dotychczasowego zatrudnienia, a także wyjątkowo imiona i nazwiska, daty urodzenia dzieci. Powyższe informacje gromadzone przez pracodawcę stanowią bazę danych.

Podatnik.info: Taka baza danych dotyczy tylko osób zatrudnianych na etacie, czy także pracowników wykonujących swoje obowiązki na podstawie umów cywilnoprawnych?

DJ: Zarówno jednych jak i drugich. Zbiory danych gromadzonych w związku z zatrudnieniem lub świadczeniem usług na podstawie umów cywilnoprawnych są zwolnione z obowiązku rejestracji. Obejmuje ono zarówno informację o obecnych, jak i byłych pracownikach, kandydatach do pracy oraz osób świadczących usługi na podstawie umów cywilnoprawnych.

Co prawda nie ma obowiązku zgłaszania bazy, ale pozostaje obowiązek jej ochrony. Do podstawowych obowiązków pracodawcy należy skuteczne zabezpieczenie bazy danych przed jej udostępnieniem osobie nieuprawnionej lub przed sprzecznym z ustawą ich przetwarzaniem, zniszczeniem lub utratą. Pracodawca zobowiązany jest opracować i wdrożyć dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ich bezpieczeństwo.

Podatnik.info: Pracodawca zawsze musi robić to samodzielnie?

DJ: Niekoniecznie, jeżeli nie jest osoba fizyczną, która samodzielnie wykonuje obowiązki związane z bazą danych osobowych, powinien wyznaczyć administratora bezpieczeństwa informacji.

Dopuszczalne jest również, a nawet coraz częściej praktykowane powierzenie zadań związanych z przetwarzaniem danych podmiotowi zewnętrznemu świadczącemu usługi outsourcingowe. Ważne przy tym jest precyzyjne określenie zakresu takich usług w umowie łączącej oba podmioty.

Podatnik.info: Jakie obowiązki wiążą się z mianowaniem takich administratorów i ogólnie przetwarzaniem danych?

DJ: Głównie z nadaniem imiennych upoważnień do przetwarzania danych osobowych wszystkim, którzy ze względu na charakter pełnionej funkcji będą mieć dostęp do bazy. Następnie pracodawca ma obowiązek prowadzić ewidencję osób upoważnionych do ich przetwarzania. Szczegółowe obowiązki określa ustawa i rozporządzenie.

Podatnik.info: Czy pracodawca musi ściśle przestrzegać procedur związanych z ochroną danych osobowych pracowników?

DJ: Tak. Pracodawca jest zobowiązany prowadzić w formie pisemnej dokumentację dotyczącą przetwarzania danych osobowych, która składa się z polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do ich przetwarzania.

Jeżeli są one przetwarzane w systemie teleinformatycznym, pracodawcy mogą być zobowiązani do wprowadzania szczególnych procedur dotyczących różnych stopni rygorów bezpieczeństwa.
Właściciele firm w stosunku do każdego poziomu bezpieczeństwa powinni stosować określone szczegółowo w rozporządzeniu Ministra ds. Wewnętrznych i Administracji z 29 kwietnia 2004 r. wymogi, które powinien spełnić system informatyczny służący do przetwarzania danych. Przykładowo można wymienić obowiązki wprowadzenia w systemie poniższych rozwiązań:

  • nadanie każdemu użytkownikowi systemu odrębnego identyfikatora oraz udostępnienie systemu tylko po uprzednim, aby uwierzytelnieniu za pomocą hasła,
  • okresowa zmiana hasła,
  • wymogi co do hasła: poziom podstawowy co najmniej z 6 znaków, a na poziomie podwyższonym co najmniej z 8 znaków, zawierając małe i wielkie litery oraz cyfry lub znaki specjalne,
  • stosowania oprogramowania antywirusowego,
  • zabezpieczenia systemu przed utratą danych np. zasilacze awaryjne,
  • wykonywania kopii zapasowych.


Podatnik.info: W takim razie do jakich celów pracodawca może wykorzystywać dane zatrudnianych osób?

DJ: Może on przetwarzać dane osobowe podwładnych jedynie w celach mieszczących się w zakresie stosunku pracy. Zgodnie z opinią Generalnego Inspektora Ochrony Danych Osobowych informacje takie jak: imię i nazwisko pracownika, dokładne miejsce pracy, stanowisko, służbowy adres e mail czy też służbowy numer telefonu są ściśle związane z życiem zawodowym pracownika oraz z wykonywaniem przez niego obowiązków służbowych i mogą one być w miarę swobodnie wykorzystywane przez pracodawcę.

Oznacza to, że ma on np. prawo do ujawniania takich informacji na zewnątrz firmy, m. in. na stronach internetowych, informatorach i ofertach, informacjach prasowych itp. Ale już na przykład adresu zamieszkania pracownika czy nawet PESEL w taki sposób ujawniać oczywiście nie może.


Dziękuję za rozmowę.


Daniel Jastrun jest radcą prawnym i partnerem Kancelarii Magnusson, pracującym w biurze w Warszawie. Zgromadził znaczne doświadczenie w zakresie prawa Technologii i IT, spraw korporacyjnych i pracowniczych, a także Fuzji i Przejęć. Jest rekomendowany w rankingu Legal 500 EMEA 2013 oraz Legal Experts EMEA 2013 wśród wiodących prawników świadczących usługi w zakresie Obsługi Korporacyjnej i Transakcji M&A w Polsce.

Doradzał przy wielu różnorodnych transakcjach M&A o zasięgu krajowym i międzynarodowym (w tym z branży IT). Do jego klientów należą m.in. wiodący w skali globalnej dostawcy rozwiązań IT, sprzętu i oprogramowania komputerowego, jak również prywatne fundusze kapitałowe.

Ponadto Daniel Jastrun często organizuje i prowadzi seminaria z zakresu wybranych dziedzin prawa, jest też autorem wielu publikacji prasowych poruszających zagadnienia prawne, w tym serii artykułów dotyczących spraw pracowniczych.
Oprócz tego jest członkiem zarządu Szwedzkiego Klubu Biznesu w Polsce (Skandynawsko-Polska izba Handlowa).


Podatnik.info 

 


Podziel się tym artykułem:   
comments powered by Disqus
Grupa SIS
NewConnect.infoNewConnect.info Podatnik.infoPodatnik.info Korporaty.plKorporaty.pl