TAK.
W myśl art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych, na pracodawcy występującym w roli administratora danych nie ciąży obowiązek rejestracji zbioru danych osobowych przetwarzanych w związku z zatrudnieniem.
Pracodawca nie musi sporządzać i składać zgłoszenia rejestracyjnego, np. akt osobowych.
Nie oznacza to, że pracodawca zwolniony jest z obowiązku zabezpieczenia danych osobowych, w tym zawartych w aktach osobowych oraz innej dokumentacji. Artykuł 36 ust. 1 ustawy o ochronie danych osobowych zobowiązuje administratora danych (pracodawcę) do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Jednak niedopuszczalne jest odstąpienie od stosowania środków technicznych i organizacyjnych w celu zabezpieczenia danych osobowych, ze względu na przyczyny natury organizacyjno-finansowej (por. wyrok NSA z 4 marca 2002 r., II SA 3144/01, Monitor Prawniczy z 2002 r. nr 8, s. 340).
Administrator danych zobowiązany jest wdrożyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (par. 3 ust. 1 rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Dz.U. nr 100, poz. 1024). Przez "wdrożenie" należy rozumieć ich opublikowanie i zapoznanie z dokumentami osób upoważnionych do przetwarzania danych osobowych, zatrudnionych, wolontariuszy, itp., których zachowania mogą mieć wpływ na zabezpieczenie danych osobowych. Celowe jest przekazanie kopii tych dokumentów przynajmniej do wglądu. W razie stosowania przez pracodawcę programów kadrowo-płacowych czy przekazywania danych z pomocą programu Płatnik, system informatyczny służący do przetwarzania danych osobowych powinien spełniać wszystkie wymogi, o których mowa w rozporządzeniu z dnia 29 kwietnia 2004 r. System informatyczny powinien m.in. zapewniać odnotowanie dla każdej osoby: daty pierwszego wprowadzenia danych do systemu, identyfikatora użytkownika wprowadzającego dane oraz informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy o ochronie danych osobowych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia. Ponadto pracodawca ma obowiązek prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych.
Omówione obowiązki obciążają każdego pracodawcę, niezależnie od liczby zatrudnionych. Pracodawca musi dostosować system informatyczny do wskazanych wymagań, jeżeli wykorzystuje taki system do przetwarzania danych osobowych.
Redakcja Reklama Kontakt Nasze portale i blogi
Wszelkie prawa zastrzeżone | Dział tematyczny Mindly.pl | Zasady korzystania & Polityka prywatności
