Aneta Kułakowska

radca prawny

Moja praca koncentruje się wokół doradztwa spółkom kapitałowym w bieżącej działalności oraz przedsiębiorcom prowadzącym działalność również w innych formach prawnych...
[Więcej >>>]

Skontaktuj się

Jeśli w swoich spółkach zatrudniacie pracowników to zapewne zdarza się, że wnioskują oni o wystawienie zaświadczenia o zatrudnieniu. Albo zaświadczenia o zatrudnieniu  i zarobkach. Jak zwał tak zwał.

Jak często zdarza Wam się zastanawiać czy czynność, którą wykonujecie z danymi osobowymi jest zgodna z Rodo? Domyślam się, że coraz częściej. Z rozmów z Klientami wiem, że pracownicy działów kadr i płac mają najwięcej wątpliwości w stosowaniu Rodo w swojej pracy. Stąd powtarzające się pytanie chociażby o to czy zaświadczenie o zarobkach wymaga zgody pracownika.

 

Czy zaświadczenie o zarobkach wymaga zgody pracownika?Czy zaświadczenie o zarobkach wymaga zgody pracownika?

Od dnia 25 maja 2018 r. spółki z o.o. są zobowiązane do stosowania Rodo. Wydawanie pracownikom na ich prośbę zaświadczeń o zatrudnieniu i zarobkach nie wymaga uzyskiwania od nich dodatkowej zgody na przetwarzanie danych osobowych zawartych w tych dokumentach.

Otóż, przetwarzanie danych osobowych pracowników dokonywane jest zgodnie z prawem, jeśli  jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na pracodawcy jako administratorze. A także w celu realizacji umowy o pracę lub gdy pracownik wyraził zgodę na przetwarzanie. Wraz z nawiązaniem stosunku pracy powstają określone prawa i obowiązki pracodawcy, których realizacja wiąże się z koniecznością przetwarzania danych pracownika. Wymóg wydania przez spółkę jako pracodawcę zaświadczenia o zarobkach czy zatrudnieniu wynika z przepisów prawa pracy i stanowi obowiązek prawny ciążący na pracodawcy. Wobec powyższego nie jest wymagana zgoda pracownika na wystawienie przez pracodawcę zaświadczenia o zarobkach i zatrudnieniu.

 

Dane pracownika na zaświadczeniu o zarobkach

Poza przypadkami kiedy do dyspozycji mamy wzór zaświadczenia uregulowany przepisami, np. ZUS Rp-7, ustawodawca w przepisach prawa pracy nie reguluje zasad wystawiania zaświadczeń o zatrudnieniu i zarobkach. Do pracodawcy należy już zadanie określenia wzoru takiego zaświadczenia stosowanego w spółce. Musi on jednak mieć na uwadze, aby zakres danych pracownika był zgodny z zasadami ochrony danych osobowych i przepisami Kodeksu pracy. Pracodawca bowiem może dysponować jedynie ściśle określonymi danymi osobowymi o pracowniku. Wybierając dane osobowe, które będą służyły oznaczeniu pracownika w zaświadczeniu, powinien wybrać jedynie te dane, które pozwolą na identyfikację pracownika w sposób nie budzący wątpliwości. Zazwyczaj będą to: imiona, nazwiska, adres zamieszkania, seria i numeru dowodu osobistego albo numeru pesel pracownika.

 

Zaświadczenie nie wymaga zgody pracownika zgodnie z Rodo

Reasumując powyższe, odpowiedź na tytułowe pytanie brzmi: NIE. Wystawianie przez spółkę jako pracodawcę zaświadczeń o zarobkach nie wymaga wyrażania dodatkowych zgód na przetwarzanie danych osobowych w tym celu. Przynajmniej takie jest moje stanowisko w tej sprawie.

Podstawa prawna: art. 6 ust. 1c Rodo

O czym musicie pamiętać?

Jeśli zaświadczenie podpisuje osoba spoza zarządu, to powinna mieć upoważnienie do podpisywania takich zaświadczeń. Ponadto powinna mieć także upoważnienie do przetwarzania danych osobowych w tym zakresie. Zazwyczaj zaświadczenia wystawia pracownik działu kadr i płac, więc zakładam, że takie upoważnienia z racji wykonywanej pracy już ma. Oczywiście takie zaświadczenie spółka wydaje bezpośrednio pracownikowi, który o nie wnioskował. Przekazanie zaświadczenia na prośbę pracownika bezpośrednio np. bankowi, wymagałoby już wyraźnej zgody pracownika.

 

*****

Zapraszam do zapoznania się z poprzednimi wpisami:

Kontrola Rodo w spółce z o.o. 

Członek zarządu spółki inspektorem ochrony danych

Rodo w spółce z o.o.

Czy zarząd spółki jest administratorem danych?

 

Warto również zapoznać się z poradnikiem dla pracodawców na stronie UODO

 

Zapraszam również do śledzenia wpisów na blogu Zarząd w spółce z o.o.

Kontrola RODO w spółce z o.o.

Aneta Kułakowska03 października 2018Komentarze (0)

O kontroli Rodo w spółce z o.o. raczej nikt nie chce słuchać. Moim celem nie jest straszenie czy przypominanie o wielomilionowych karach. W świetle informacji o fałszywych kontrolerach, warto znać podstawowe zasady kontroli.

 

Kontrola RODO w spółce z o.o.

Kontrola RODO w spółce z o.o.

Tym razem nie Rodo, a Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych uregulowała kwestię przeprowadzania kontroli przestrzegania przepisów o ochronie danych osobowych.

Do przeprowadzenia kontroli w spółce z o.o. uprawnieni są pracownicy Urzędu Ochrony Danych Osobowych. Poza pracownikami kontrolę może również przeprowadzić członek lub pracownik organu nadzorczego państwa członkowskiego Unii Europejskiej, ale to będą rzadkie przypadki, więc na nich nie będziemy się skupiać.

Kontrolę przeprowadza upoważniony pracownik UODO na podstawie imiennego upoważnienia i legitymacji służbowej. Imienne upoważnienie zawiera wskazanie podstawy prawnej kontroli, oznaczenie organu, imię, nazwisko i stanowisko kontrolującego oraz numer legitymacji służbowej. Ponadto w takim upoważnieniu należy określić zakres kontroli, wskazanie daty rozpoczęcia i przewidywanego zakończenia kontroli oraz podpis Prezesa UODO. Dodatkowo znaleźć się w nim musi pouczenie oraz data i miejsce jego wystawienia.

Termin i zakres kontroli

Jak już wspomniałam, w upoważnieniu określa się datę rozpoczęcia i przewidywanego zakończenia kontroli Kontrola może się odbyć zarówno na podstawie wcześniejszej zapowiedzi, jak również niejako z zaskoczenia. Co do zasady kontrola odbywa się w obecności osoby upoważnionej do reprezentacji spółki, ewentualnie innej osoby upoważnionej do reprezentowania w trakcie kontroli.

Kontrola Rodo nie może trwać dłużej niż 30 dni od podjęcia pierwszych czynności kontrolnych. Terminem zakończenia kontroli jest dzień podpisania protokołu przez kontrolowaną spółkę, albo dzień dokonania wzmianki w przypadku odmowy jego podpisania.

Kontrolerzy posiadają bardzo szerokie uprawnienia. Kontrolujący ma prawo wstępu do budynku i pomieszczeń spółki w godz. 6.00-22.00. Ma prawo wglądu do dokumentacji, a także do przeprowadzenia oględzin. Ponadto kontrolujący ma prawo żądać wyjaśnień i przesłuchiwać. Wszystko powyższe może wykonywać, pod warunkiem, że ma bezpośredni związek z zakresem kontroli.

Obowiązki spółki podczas kontroli

Na kontrolowanej spółce z o.o., a właściwie jej zarządzie czy osobie upoważnionej spoczywają szczególne obowiązki związane z odbywającą się kontrolą. Zarząd jest zobowiązany umożliwić przeprowadzenie kontroli. Zobowiązany jest także do sporządzania we własnym zakresie kopii lub wydruków dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub w systemach oraz dokonywanie potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków. Utrudnianie czy udaremnienie kontroli może wiązać się z wezwaniem Policji celem udzielenia pomocy przy czynnościach kontrolnych, a w rezultacie z odpowiedzialnością karną.

Zakończenie kontroli

Kontrola kończy się sporządzeniem protokołu przez kontrolującego. Protokół kontroli zawiera: wskazanie spółki, adresu, imię i nazwisko osoby reprezentującej spółkę; imię, nazwisko, stanowisko służbowe i numer legitymacji kontrolującego; data rozpoczęcia i zakończenia kontroli; opis stanu faktycznego ustalonego w trakcie kontroli; lista załączników, omówienie poprawek, pouczenie oraz datę i miejsce podpisania protokołu przez kontrolującego i kontrolowaną spółkę. Protokół kontroli sporządza się w postaci elektronicznej albo papierowej w dwóch egzemplarzach.

Po otrzymaniu protokołu, Spółka w terminie 7 dni od otrzymania protokołu podpisuje go albo składa pisemne zastrzeżenia. Nieprzekazanie kontrolującemu podpisanego protokołu w terminie uznaje się za odmowę jego podpisania.

Spółka z o.o. może zgłosić do protokołu zastrzeżenia. Dotyczyć one mogą stanu faktycznego ustalonego w toku kontroli, ewentualnego naruszenia procedur kontrolnych, jak i braków formalnych samego protokołu. W przypadku złożenia zastrzeżeń kontrolujący może podjąć dodatkowe czynności kontrolne. W przypadku stwierdzenia zasadności zastrzeżeń zmienia lub uzupełnia część protokołu aneksem. A w przypadku nieuwzględnienia zastrzeżeń w całości lub w części, przekazuje informacje spółce wraz z uzasadnieniem.

Jeżeli kontrola spółki wykazała, iż mogło dojść do naruszenia przepisów o ochronie danych osobowych,  Prezes UODO obowiązany jest do wszczęcia wobec spółki postępowania.

 

Podstawowe zasady kontroli Rodo w spółce z o.o. mamy za sobą. Zapraszam do komentowania i śledzenia kolejnych wpisów.

*****

Zapraszam do zapoznania się z poprzednimi wpisami:

Członek zarządu spółki inspektorem ochrony danych

Rodo w spółce z o.o.

Czy zarząd spółki jest administratorem danych?

 

Warto również przeczytać na stronie UODO:

Prezes Urzędu Ochrony Danych Osobowych ostrzega przed fałszywymi kontrolerami

Zapraszam również do śledzenia wpisów na blogu Zarząd w spółce z o.o.

Jak to w końcu jest? Czy wobec członków zarządu spółki z o.o. należy spełnić obowiązek informacyjny? A jeśli tak, to kto powinien to zrobić? Jak spółka z o.o. ma spełnić obowiązek informacyjny wobec członków zarządu tej spółki? Jeśli spółka z o.o. ma kilkuosobowy zarząd, to jaka powinna być reprezentacja spółki, aby taki obowiązek został skutecznie spełniony wobec zarządu?

No właśnie, czy w ogóle należy spełnić Obowiązek informacyjny wobec członków zarządu spółki z o.o.? Odpowiedź znajdziesz poniżej.

 

Obowiązek informacyjny wobec członków zarządu spółki z o.o.

Obowiązek informacyjny wobec członków zarządu spółki z o.o.

Obowiązek informowania osób, których dane osobowe są przetwarzane jest jednym z podstawowych obowiązków administratora danych. W naszym przypadku takim administratorem jest spółka z o.o. O tym, że zgodnie z art. 83 RODO jego niedopełnienie stanowi naruszenie podstawowych zasad przetwarzania oraz praw podmiotów danych, co może skutkować wymierzeniem administracyjnej kary pieniężnej zapewne wiecie. Nie będę się teraz nad tym rozwodzić. Wrócę do tematu innym razem.

Od dnia 25 maja 2018 r. stosujemy RODO, o czym nie sposób nie pamiętać. Od tej daty wszystkie procesy przetwarzania danych zachodzące w spółce z o.o. muszą pozostawać w zgodności z postanowieniami nowej regulacji. RODO reguluje również obowiązek informacyjny. Wiąże się on przede wszystkim z obowiązkiem stosowania przez administratorów tzw. klauzul informacyjnych, zawierających wskazany w art. 13 i 14 RODO katalog informacji jakie należy przekazać podmiotom danych.

Od 25 maja 2018 r. spółki z o.o. podczas pozyskiwania danych osobowych, zobowiązane są poinformować osoby, których dane przetwarzają m.in. o tym kto jest administratorem, o okresie przetwarzania, powierzeniu, odbiorcach danych, profilowaniu oraz o danych kontaktowych inspektora ochrony danych, jeśli został wyznaczony. Na pewno w najbliższym czasie napiszę o tym więcej.

 

Jak spełnić obowiązek informacyjny wobec członków zarządu

RODO nie rozstrzyga wprost, czy wobec osób, których dane zostały pozyskane przed 25 maja 2018 r. i wobec których dopełniono obowiązek na podstawie przepisów obowiązujących w momencie zbierania danych, obowiązek informacyjny powinien zostać spełniony ponownie lub zaktualizowany. Grupa Robocza art. 29 opowiada się jednak za aktualizacją obowiązku informacyjnego wobec podmiotów danych. I ja się z tym zgadzam, ponieważ w zdecydowanej większości nie spełniają one wymogów aktualnych przepisów.

Moim skromnym zdaniem, w tym przypadku członków zarządu nie mamy do czynienia z obowiązkiem informacyjnym, który spółka z o.o. jest zobligowana zrealizować w oparciu o RODO. Spółka z o.o. jest administratorem danych osobowych. Nie będziemy teraz rozpatrywać przypadków kiedy jest procesorem czy odbiorcą danych. Spółka z o.o. jest reprezentowana przez zarząd, jednoosobowo lub w przypadku zarządu wieloosobowego zgodnie z k.s.h. lub umową spółki. A zarząd spółki reprezentuje spółkę i działa w jej imieniu. Oznacza to również, iż jest świadom (przynajmniej powinien być) tego w jaki sposób są przetwarzane dane osobowe w spółce z o.o., z jakimi danymi spółka ma do czynienia oraz jak faktycznie wygląda ochrona danych w spółce z o.o. Wobec powyższego nie widzę żadnych podstaw do tego, aby ten obowiązek zarząd spółki z o.o. miał spełniać sam wobec siebie.

Oczywiście, jeśli są osoby, które mają inne zdanie w tym temacie proszę o komentarz pod wpisem. Temat RODO wzbudza wiele dyskusji, staje się przyczynkiem do powstania różnych opinii i stanowisk, więc tym bardziej jestem ciekawa Waszego stanowiska w tej sprawie.

 

*****

Zapraszam również do zapoznania się z poprzednimi wpisami:

Członek zarządu spółki inspektorem ochrony danych

Rodo w spółce z o.o.

Czy zarząd spółki jest administratorem danych?

 

Zapraszam również do śledzenia wpisów na blogu Zarząd w spółce z o.o.

Dzisiejszy wpis powstał również w oparciu o bardzo często pojawiające się pytanie:

Czy zarząd spółki jest administratorem danych osobowych?

Jeśli w tym zakresie pojawiają się wątpliwości to warto je rozwiać, aby przejść dalej do tematyki bardziej skomplikowanej.

 

Czy zarząd spółki jest administratorem danych osobowych?

Jeśli jesteś członkiem zarządu spółki z o.o. to musisz wiedzieć, że administratorem danych osobowych przetwarzanych w spółce jest właśnie spółka. Administratorem nie jest zarząd spółki z o.o. czy osoba lub członkowie zarządu.

Administratorem nie jest również pracownik spółki, któremu powierzono wykonywanie obowiązków związanych z ochroną danych osobowych w spółce. Ani tym bardziej administratorem nie jest IOD, czyli inspektor ochrony danych.

Administratorem danych jest sama spółka z o.o., ale obowiązki administratora danych osobowych (ADO) pełni w niej zarząd jako organ spółki. Zgodnie bowiem z k.s.h. zarząd posiada prawo reprezentowania ADO oraz prowadzenia sprawy spółki. W przypadku zarządu jednoosobowego wszystkie uprawnienia do reprezentacji spółki przysługują jedynemu jego członkowi. Z kolei w zarządzie wieloosobowym zasady reprezentacji określa umowa spółki lub stosowane są zasady reprezentacji określone w k.s.h. Zakładam jednak, że o tym już wiecie.

W art. 4 pkt 7 RODO znajdziecie definicję administratora danych osobowych. Administrator danych osobowych oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydującą o celach i środkach przetwarzania danych osobowych. W przypadku osób prawnych to sam przedsiębiorca, czyli spółka z o.o. pełni funkcję  administratora danych osobowych.

 

Po tym krótkim wpisie liczę, że już nie macie wątpliwości i wiecie kto jest administratorem danych osobowych w spółce z o.o. Na pewno ADO nie jest zarząd spółki z o.o., ani członek zarządu.

 

 *****

Polecam poprzednie wpisy:

Członek zarządu spółki inspektorem ochrony danych

Rodo w spółce z o.o.

 

Zapraszam również do śledzenia wpisów na moim blogu Zarząd w spółce z o.o.

Członek zarządu spółki inspektorem ochrony danych? Czy to możliwe? W ostatnich miesiącach wielokrotnie słyszałam pytanie:

Czy członek zarządu spółki z o.o. może być inspektorem ochrony danych osobowych?

Zgodnie z RODO obowiązkiem niektórych administratorów i przetwarzających będzie powołanie inspektora ochrony danych. Taki obowiązek będzie miał miejsce w przypadku wszystkich organów i podmiotów publicznych, jak również w stosunku do podmiotów, które w ramach swojej głównej działalności regularnie i na dużą skalę monitorują osoby lub jeżeli działalność podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. Nawet jeżeli RODO bezpośrednio nie nakłada obowiązku powołania inspektora ochrony danych, coraz częściej pojawiają się głosy, że  podmioty mogą skorzystać na jego powołaniu. Na tym etapie możemy jedynie gdybać, czy rzeczywiście koszty związane z powołaniem inspektora okażą się dobrą inwestycją czy jednak nie. Nie zamierzam nikogo zachęcać, ani zniechęcać. Na pewno te podmioty, które są zobowiązane do powołania IOD muszą go powołać.

Członek zarządu  spółki inspektorem ochrony danych

Kto może być IOD zgodnie z RODO? Inspektorem ochrony danych może być członek personelu lub osoba z zewnątrz, świadcząca usługi związane z ochroną danych osobowych. Nie oznacza to jednak, że można wyznaczyć dowolną osobę do pełnienia funkcji inspektora. O tym, że inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, wiedzy fachowej z ochrony danych, to zapewne wiecie. Ale o tym czy członek zarządu może być inspektorem ochrony danych to już nie jest takie dla wszystkich oczywiste.

Zgodnie z Wytycznymi Grupy Roboczej art. 29, inspektorem ochrony danych nie może być osoba pozostająca w „konflikcie interesów”. W oparciu o wytyczne, co do zasady, za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT). Takim stanowiskiem kierowniczym w spółce z o.o. będzie pełnienie funkcji członka zarządu, bez względu na sposób wynagradzania czy zatrudnienia.

Dlatego też moje zdanie jest takie, że członek zarządu spółki z o.o. nie może być inspektorem ochrony danych w spółce.

 *****

Polecam pierwszy blogowy wpis:

Rodo w spółce z o.o.

 

Zapraszam również do śledzenia wpisów na blogu Zarząd w spółce z o.o.