Ochrona danych osobowych w biurze rachunkowym
Na skutek wprowadzenia w życie rozporządzenia o ochronie danych osobowych (RODO) kluczowe dla działalności biur rachunkowych stały się wymogi dot. ochrony danych.
Z uwagi na charakter czynności realizowanych przez biura rachunkowe, pełnią one dwie role:
Przekazanie do biura rachunkowego przez klienta danych osobowych, rodzi obowiązek chronienia i zabezpieczenia tych informacji przez księgowość.
Wdrożenie przepisów RODO dla biura rachunkowego jest integralnym elementem jego działalności. Pozwala ono na należyte zabezpieczenie danych własnych i powierzonych, wynikających z pełnionych funkcji.
Dane przetwarzane przez biuro rachunkowe
Dane osobowe to wszystkie informacje, które umożliwiają identyfikację danej osoby. Ponieważ ustawa nie zawiera zamkniętego katalogu takich danych, na biurze rachunkowym spoczywa obowiązek, by każdorazowo i indywidualnie oceniać, czy dana informacja powierzona przez klienta ma charakter danych osobowych.
Do danych osobowych powierzanych biuro rachunkowym należą przede wszystkim tzw. dane zwykłe podatnika, w tym jego:
- imię i nazwisko,
- numery NIP i PESEL,
- numer dowodu osobistego,
- adres zamieszkania,
- adres e-mail.
Drugą kategorię danych stanowią tzw. dane wrażliwe, które w przypadku biur rachunkowych mogą dotyczyć m.in. zdrowia pracowników.
Przetwarzanie danych osobowych klienta na cele gospodarcze przez księgowość
Przetwarzaniem danych osobowych klienta są wszelkie operacje dokonywane na tych danych, w tym ich zbieranie, opracowywanie, zmienianie, udostępnianie, usuwanie i przechowywanie. Wykonywanie choćby jednej z tych czynności nosi znamiona przetwarzania danych.
Co ważne, biuro rachunkowe może przetwarzać dane osobowe klienta tylko i wyłącznie w celach uzasadnionych gospodarczo. To oznacza, że wykorzystanie danych w celach marketingu usług własnych, stanowi przetwarzanie danych w określonym celu bez podstawy prawnej.
Umowa o powierzenie danych osobowych w biurze rachunkowym
Biura rachunkowe mają w swoim interesie zawarcie z klientami specjalnej umowy o powierzeniu danych osobowych. Umowa ta jednoznacznie określa przedsiębiorcę jako administratora danych, który na mocy swoich uprawnień upoważnia biuro rachunkowe do przetwarzania ich zgodnie z zawartą umową i w określonym zakresie odpowiedzialności. Brak umowy stwarza ryzyko przyjęcia statusu administratora danych i zobowiązania do zgłoszenia zbiorów danych osobowych do GIODO.
Umowa o powierzenie może, choć nie musi, być odrębnym dokumentem, niezależnym do umowy o współpracy z biurem rachunkowym.
Ewidencja osób uprawnionych do przetwarzania danych
Biuro rachunkowe zobowiązane jest do prowadzenia ewidencji osób upoważnionych do przetwarzania danych. Ewidencja ta powinna zawierać imiona i nazwiska wszystkich osób upoważnionych do przetwarzania danych osobowych, daty nadania i ustania upoważnienia, zakres upoważnień do przetwarzania tych danych oraz identyfikatory osób, które dopuszczone zostały do przetwarzania danych w systemach informatycznych.
Analiza ryzyka przetwarzania danych osobowych
W zakresie ochrony danych osobowych zastosowanie znajduje tzw. podejście oparte na ryzyku. Polega ono na ocenie, jakie dane, w jaki sposób, w jaki celu, przez kogo i gdzie są przechowywane i udostępniane, a także jak wygląda system zabezpieczeń danych funkcjonujący w biurze rachunkowym.
Analizie ryzyka poddać należy zarówno systemy informatyczne i bezpieczeństwo danych na serwerach, jak również poziom ochrony dokumentów papierowych i wysyłanych drogą elektroniczną. Niemniej istotne jest uświadamianie pracowników co do ważności danych osobowych klientów biura rachunkowego.
Taka analiza ryzyka pozwala na wprowadzenie odpowiednich do skali organizacji środków technicznych i organizacyjnych, mogących zapewnić maksymalne bezpieczeństwo przetwarzanych danych.
Rejestrowanie czynności przetwarzania podczas obsługi księgowej
Godne zaufania biuro rachunkowe podlega obowiązkowi tworzenia dokumentacji opisującej sposób administrowania danymi osobowymi oraz metod ich przetwarzania. Biuro to powinno prowadzić rejestr czynności przetwarzania zarówno na własne potrzeby - w stosunku do swoich procesów / baz danych, jak również i indywidualnie dla każdego klienta (administratora danych), którego dane otrzymuje do przetwarzania.
W rejestrach opisać należy kategorię przetwarzania, czyli działanie procesora lub administratora, którym może być przykładowo obsługa księgowa lub obsługa kadrowo-płacowa.
Zadaniem rejestrów jest odzwierciedlenie rzeczywiście realizowanych działań w obszarze operacji wykonywanych na danych osobowych.
Polityka bezpieczeństwa biura rachunkowego
Ważna dla biura rachunkowego chroniącego interesy klienta jest też polityka bezpieczeństwa. Jest to dokument zawierający między innymi:
- opis i wykaz zbiorów oraz struktury danych,
- wykaz pomieszczeń, w których przetwarzane są dane osobowe,
- sposób przepływu danych między różnymi systemami,
- określenie środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa powierzonych danych
RODO a zabezpieczenia techniczne
RODO nie zawiera zamkniętego katalogu środków zapewniających bezpieczeństwo danych osobowych. Wskazuje natomiast, że metody ochrony danych muszą być skuteczne. Skuteczność ta powinna być adekwatna do charakteru przetwarzania danych i poziomu bezpieczeństwa w firmie.
Pod uwagę należy wziąć takie aspekty, jak:
- zabezpieczenie komputerów w biurze,
- zabezpieczenie poczty elektronicznej,
- dostęp do używanych programów komputerowych - kto i do jakich zasobów będzie miał dostęp w ramach danego programu czy systemu,
- polityka haseł dostępowych, w tym długość, złożoność haseł i częstotliwość ich zmiany,
- sposób zabezpieczenia mebli, w których przechowywane są dokumenty w wersji papierowej wraz z ustaleniem osób upoważnionych do ich przeglądania,
- miejsca przechowywania kluczy i wskazanie osób mających do nich dostęp,
- dostęp do dokumentów poza biurem - dla kogo, w jakim miejscu i w jakim zakresie,
- osoba odpowiedzialna za tworzenie kopii bezpieczeństwa.
Istotna jest też dbałość o przestrzeganie zaprojektowanych procedur przez osoby upoważnione do przetwarzania danych osobowych.
Powołanie Inspektora Ochrony Danych w biurze rachunkowym?
Biuro rachunkowe powinno rozstrzygnąć, czy sposób prowadzonej przez nie działalności nakłada na biuro obowiązek powołania Inspektora Ochrony Danych.
Zgodnie z RODO, do powołania IOD zobligowane są podmioty przetwarzające dane na dużą skalę. Choć oznacza to, że typowe biura rachunkowe nie są zobowiązane do wyznaczenia inspektora, to może on dodatkowo podnieść poziom bezpieczeństwa danych osobowych.
Naruszenie ochrony danych osobowych
Przez naruszenie danych osobowych rozumiany jest nie tylko najpoważniejszy wyciek danych, ale też zaburzenie ich integralności lub poufności. Do tego dojść może na skutek zniszczenia lub utraty dokumentów.
Klienta biura rachunkowego, jako administrator danych, zawiadamia się o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych (UODO). Wcześniej jednak podejmuje decyzję co do zgłoszenia naruszenia. Czas na zgłoszenie incydentu wynosi 72 godziny.