Firma zatrudnia pracowników na terenie całej Polski. Postanawia wysyłać co miesiąc paski wynagrodzeń mailem w PDF do jednej osoby, która będzie je dalej rozsyłała na adresy mailowe poszczególnych pracowników.
Czy taki schemat działań wymaga dodatkowej dokumentacji, upoważnień i zabezpieczeń?
Czy są jakieś przeciwwskazania?
 
Odpowiedź: zgodnie z treścią ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2014 r. poz. 1182) - dalej u.o.d.o. to administrator danych samodzielnie decyduje o dostępie poszczególnych osób u niego zatrudnionych do danych osobowych przez niego przetwarzanych. To bowiem administrator danych jest najlepiej zorientowany w szczegółach prowadzonej przez siebie działalności i dzięki temu najlepiej wie, kogo oraz w jakim zakresie upoważnić do przetwarzania danych osobowych.
 
Uzasadnienie: pojęcie administratora danych zdefiniowane zostało w art. 7 pkt 4 u.o.d.o. Zgodnie z tym przepisem jest to organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 u.o.d.o., decydujące o celach i środkach przetwarzania danych.

Co ważne, dostęp do danych osobowych mogą mieć wyłącznie osoby mające pisemne upoważnienie do przetwarzania danych osobowych nadane przez administratora danych. Tak stanowi art. 37 u.o.d.o., który ustanawia zakaz dopuszczania do przetwarzania danych osobowych osób innych, niż mających upoważnienie nadane przez administratora.

Ze względu na rodzaj wykonywanych obowiązków służbowych prawo dostępu do określonych informacji dotyczących pracowników mogą mieć również niektóre z osób zatrudnionych w spółce. Każda z tych osób musi jednak - zgodnie z art. 37 u.o.d.o. - dysponować pisemnym upoważnieniem wystawionym przez administratora danych (pracodawcę). W gestii pracodawcy leży natomiast sporządzenie ewidencji osób upoważnionych do wglądu w akta (art. 39 ust. 1 u.o.d.o.).

Zgodnie z art. 39 ust. 1 u.o.d.o., w ewidencji osób upoważnionych do przetwarzania danych osobowych, którą prowadzi administrator, wskazać należy: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Dowiedz się więcej z książki
Obowiązki pracodawcy związane z ochroną danych osobowych pracownika
  • rzetelna i aktualna wiedza
  • darmowa wysyłka od 50 zł

 

Jeśli zatem administrator danych uzna, że ze względu na prawidłowe wykonywanie obowiązków służbowych i niezbędność w zakresie świadczonej pracy, jeden z pracowników powinien otrzymywać informacje o wynagrodzeniach innych pracowników, a następnie je rozsyłać do pozostałych (przetwarzać dane osobowe) pracowników to jest zobowiązany nadać mu upoważnienie do przetwarzania danych osobowych.

Oczywiście przesyłanie przedmiotowych informacji o wynagrodzeniach powinno następować w sposób uniemożliwiający dostęp innym osobom (nieupoważnionym) do tego rodzaju informacji