Wprowadzenie rozporządzenia o ochronie danych osobowych, inaczej RODO wymogło na podmiotach gospodarczych podjęcie różnych działań o charakterze ochrony danych. Zakres działań podjętych w biurach rachunkowych ze względu na specyfikę ich pracy dotyczy danych osobowych klienta przekazanych przez niego do biura, które powinny być dobrze chronione i zabezpieczone.
Przez dane osobowe należy rozumieć wszelkie informacje umożliwiające identyfikację danej osoby. Ze względu na to, że w ustawie brak jest zamkniętego katalogu danych osobowych, to biuro rachunkowe ma obowiązek za każdym razem dokonać oceny uzyskanych od klienta informacji pod kątem, czy mają one charakter danych osobowych.
Klient przekazuje do biura rachunkowego tzw. dane zwykłe, jak np.:
imię i nazwisko
numery: NIP, PESEL
numer dowodu osobistego
adres zamieszkania
adres e-mail.
Drugi rodzaj przekazywanych danych stanowią tzw. dane wrażliwe, które mogą dotyczyć między innymi informacji związanych ze zdrowiem pracowników.
Dane osobowe klienta przetwarzane przez księgowość
Przez przetwarzanie danych osobowych klienta należy rozumieć wszystkie operacje, które są wykonywane na danych, czyli: zbieranie, zmienianie, udostępnianie, usuwanie i przechowywanie. Każda wykonywana wymieniona czynność uważana jest za przetwarzanie danych, z zastrzeżeniem, że biuro rachunkowe ma prawo przetwarzać powierzone przez klienta dane osobowe tylko i wyłącznie w celach uzasadnionych gospodarczo. Każde inne przetwarzanie danych, ich wykorzystywanie, np. w celach marketingowych własnych nie ma uzasadnienia i nie ma podstawy prawnej.
Umowa zawarta pomiędzy biurem rachunkowym, a klientem dotycząca powierzenia danych
Biura rachunkowe mogą zawierać z klientami specjalną umowę o powierzaniu danych osobowych. Na podstawie umowy przedsiębiorca pełni rolę administratora danych, który na mocy nadanych mu uprawnień upoważnia biuro rachunkowe do przetwarzania powierzonych mu danych zgodnie z zawartą umową i w określonym zakresie odpowiedzialności. Nie zawarcie takiej umowy może wiązać się z przyjęciem statusu administratora danych i zobowiązaniem do zgłoszenia danych osobowych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Prowadzenie ewidencji osób uprawnionych do przetwarzania danych
Jednym z obowiązków biura rachunkowego jest prowadzenie ewidencji osób upoważnionych do przetwarzania danych.
Ewidencja musi zawierać określone informacje, jak:
imiona i nazwiska wszystkich osób upoważnionych do przetwarzania danych osobowych
daty nadania i ustania upoważnienia
zakres upoważnień do przetwarzania danych osobowych
identyfikatory podanych osób dopuszczonych do przetwarzania danych w systemach informatycznych.
Ryzyko przetwarzania danych osobowych
W przypadku zakresu ochrony danych osobowych zastosowanie ma tzw. podejście opierające się na ryzyku, czyli ocena danych jakie powinny, w jaki sposób, w jakim celu, przez kogo i gdzie mają być przechowywane oraz udostępniane. Ocenie poddany musi być też system zabezpieczeń danych funkcjonujący w określonym biurze rachunkowym.
Analiza ryzyka obejmuje również systemy informatyczne oraz bezpieczeństwo danych na serwerach, a także poziom ochrony dokumentów papierowych oraz tych wysyłanych elektronicznie. Dodatkowo, ważnym aspektem jest uświadamianie pracowników o tym jak ważne są dane osobowe klientów.
Dobrze przeprowadzona analiza ryzyka oznacza wprowadzenie właściwych środków technicznych i organizacyjnych, które będą w stanie zapewnić maksymalne bezpieczeństwo przetwarzanych danych.
Rejestracja czynności przetwarzania danych przez księgowość
Biuro rachunkowe zobowiązane jest do tworzenia dokumentacji opisującej sposób administrowania danymi osobowymi oraz wykorzystywanymi metodami ich przetwarzania. Biuro powinno prowadzić rejestr czynności przetwarzania na własne potrzeby oraz indywidualnie dla każdego klienta będącego administratorem swoich danych, którego dane, biuro otrzymuje do przetwarzania.
Rejestr powinien zawierać opis kategorii przetwarzania. Chodzi o wskazanie działania procesora lub administratora, jak np. obsługa księgowa lub obsługa kadrowo-płacowa. Prowadzone rejestry powinny odzwierciedlać faktycznie realizowane działania w obszarze operacji wykonywanych z użyciem danych osobowych.
Bezpieczeństwo biura rachunkowego
Biuro rachunkowe w celu ochrony interesów klienta powinno prowadzić odpowiednią politykę bezpieczeństwa, czyli dokument zawierający między innymi:
opis i wykaz zbiorów, a także struktury danych
wykaz pomieszczeń, w których przetwarzane są dane osobowe
sposób przepływu danych pomiędzy różnymi systemami
określenie środków technicznych i organizacyjnych, które mają na celu zapewnić bezpieczeństwo powierzonych danych.
Zabezpieczenia techniczne w świetle RODO
Ustawa o RODO nie zawiera zamkniętego katalogu środków zapewniających bezpieczeństwo danych osobowych, ale jednocześnie wskazuje, że stosowane metody ochrony danych muszą być przede wszystkim skuteczne. Skuteczność ta musi być dostosowana do charakteru przetwarzania danych i poziomu bezpieczeństwa w firmie.
Przede wszystkim należy zwrócić uwagę na:
sposób zabezpieczenia komputerów w firmie
zabezpieczenie poczty elektronicznej
dostęp do używanych programów komputerowych (kto oraz do których zasobów będzie miał dostęp w ramach programu lub systemu)
polityka haseł dostępu (długość, złożoność haseł, a także częstotliwość ich zmian)
sposób zabezpieczenia mebli, w których przechowywane są dokumenty papierowe, a także lista osób upoważnionych do ich przeglądania
miejsca przechowywania kluczy i wskazanie osób mających do nich dostęp
dostęp do dokumentów poza biurem (kto, w jakim miejscu i w jakim zakresie ma do nich dostęp)
osoba odpowiedzialna za tworzenie kopii bezpieczeństwa.
Inspektor Ochrony Danych w biurze rachunkowym – kiedy należy go powołać?
Zadaniem biura rachunkowego jest zastanowienie się w oparciu o obowiązujące w tym zakresie przepisy, czy ma obowiązek powołania Inspektora Ochrony Danych. Zgodnie z ustawą o RODO do powołania Inspektora zobowiązane są podmioty przetwarzające dane w dużej ilości. Wynika z tego, że małe, typowe biura rachunkowe nie mają obowiązku wyznaczania Inspektora, ale z drugiej strony obecność takiej osoby może dodatkowo podnieść poziom bezpieczeństwa danych osobowych.
Naruszenie ochrony danych osobowych
Naruszenie ochrony danych osobowych, to nic innego jak duży wyciek danych z firmy, przez co zostaje zaburzona ich integralność lub poufność. Może dojść do tego przez zniszczenie lub utratę dokumentów. Jeżeli taka sytuacja będzie miała miejsce, to biuro musi niezwłocznie powiadomić o tym fakcie klienta będącego administratorem danych, a także poinformować o naruszeniu, Prezesa Ochrony Danych Osobowych (UODO). Wcześniej jednak musi zostać podjęta decyzja odnośnie zgłoszenia naruszenia. Czas na zgłoszenie wynosi 72 godziny. Za nieuprawnione przetwarzanie danych grozi kara w postaci grzywny i ograniczenia lub pozbawienia wolności do 2 lat.
