Przetwarzasz dane osobowe w Płatniku. Czy musisz zawrzeć umowę powierzenia danych?
Pracodawca przetwarza dane osobowe zatrudnionych w programie Płatnik. Czy powinien zawrzeć umowę powierzenia danych osobowych w związku z tym, że system Płatnik zarządzany jest przez Zakład Ubezpieczeń Społecznych?
- 20 października 2023
- 3 min czytania
ZUS podmiotem ustawowo uprawnionym
Pracodawca jest zwolniony z obowiązku zawierania umowy powierzenia danych osobowych z Zakładem Ubezpieczeń Społecznych. ZUS jest podmiotem uprawnionym do przetwarzania danych osobowych na podstawie ustawy z 13.10.1998 r. o systemie ubezpieczeń społecznych.
Dane zgromadzone na koncie ubezpieczonego i dane zgromadzone na koncie płatnika składek, o których mowa w przepisach ustawy, mogą być udostępniane m.in. organom realizującym świadczenia rodzinne, świadczenia z funduszu alimentacyjnego oraz świadczenia wychowawcze – z uwzględnieniem przepisów dotyczących ochrony danych osobowych. Ponadto, indywidualne dane zawarte na kontach ubezpieczonych i kontach płatników składek, a także w rejestrach prowadzonych przez Zakład oraz dane źródłowe będące podstawą zapisów na tych kontach i w rejestrach stanowią tajemnicę prawnie chronioną Zakładu. Do przestrzegania tej tajemnicy obowiązani są:
- pracownicy Zakładu;
- członkowie Rady Nadzorczej Zakładu
Kto jest “odbiorcą danych osobowych” w rozumieniu przepisów UE
Wymóg zawierania umów powierzenia danych dotyczy przekazywania danych do tzw. odbiorców danych osobowych. Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO), odbiorca definiowany jest jako m.in:
- organ publiczny
- jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią.
Zgodnie z art. 4 pkt 9 RODO, organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców.
Przetwarzanie danych osobowych przez organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.
Dane niezbędne do sprawowania funkcji publicznej
Zgodnie z przepisami RODO, organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym obowiązkiem sprawowania funkcji publicznej (takich jak organy podatkowe, organy celne, finansowe jednostki analityki finansowej, niezależne organy administracyjne czy organy rynków finansowych regulujące i nadzorujące rynki papierów wartościowych), nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego.
Żądanie ujawnienia danych osobowych, z którym występują takie organy publiczne, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych. Przetwarzając otrzymane dane osobowe, takie organy powinny przestrzegać mających zastosowanie przepisów o ochronie danych, zgodnie z celami przetwarzania.