Ochrona danych osobowych w Biurach Rachunkowych. W kontekście wejścia w życie rozporządzenia o ochronie danych osobowych (RODO) istotne stają się wymogi jakim sprostać powinny biura rachunkowe. Codzienne czynności realizowane przez biura rachunkowe sprawiają, że trzeba na nie spojrzeć jako na podmioty będące administratorami danych (np. danych swoich pracowników) oraz podmioty przetwarzające dane (np. dane uzyskane od klientów, w ramach prowadzonych spraw).

Obowiązki biura rachunkowego w ramach RODO

Z obowiązkami wynikającym z RODO biuro rachunkowe będzie mieć do czynienia na różnych etapach swojej działalności. Część czynności związana będzie z etapem odbierania danych od klienta, część będzie dotyczyć już samego procesu przetwarzania czy też przechowywania danych i ich udostępniania. Zakres obowiązków wynikających z RODO jakim podlegają biura rachunkowe zależy m.in. od skali organizacji tj. liczby pracowników, którzy pracują z danymi osobowymi czy ilości danych osobowych.

Przykładowy zestaw zagadnień, z jakim powinno zapoznać się biuro rachunkowe może prezentować się następująco:

1. Analiza ryzyka przetwarzania danych osobowych – powinna pozwolić na określenie jakie dane, w jaki sposób, w jaki celu, przez kogo i gdzie są przechowywane i udostępniane, a także jak wygląda system zabezpieczeń danych funkcjonujący w biurze. Analiza powinna uwzględniać nie tylko weryfikację systemów informatycznych, ale również bezpieczeństwo danych na serwerach, dokumentów w formie papierowej, informacji przesyłanych drogą elektroniczną, itp. Na podstawie analizy ryzyka możliwe jest wprowadzenie adekwatnych do skali organizacji środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych

2. Powołanie Inspektora Ochrony Danych – każde biuro rachunkowe powinno rozstrzygnąć czy sposób prowadzonej przez nie działalności nakłada na biuro obowiązek powołania Inspektora Ochrony Danych.

3. Wprowadzanie danych osobowych – przetwarzanie danych osobowych może odbywać się wyłącznie na podstawie odpowiednich zgód i oświadczeń. Przed podpisaniem zgody przez osobę fizyczną konieczne jest przedstawienie jej obowiązku informacyjnego.

4. Określenie celów przetwarzania – konieczne jest określenie celu w jakim dane osobowe będą gromadzone.

5. Rejestrowanie czynności przetwarzania oraz kategorii czynności przetwarzania – biuro rachunkowe powinno zweryfikować czy podlega obowiązkowi tworzenia dokumentacji opisującej sposób administrowania danymi osobowymi oraz ich przetwarzania. Rejestry mają na celu odzwierciedlenie rzeczywiście realizowanych działań w obszarze operacji wykonywanych na danych osobowych.

6. Powierzenie danych osobowych – biuro rachunkowe mając do czynienia z danymi powierzonymi przez klienta powinno pamiętać, że powierzenie danych wymaga podpisania umowy powierzenia pomiędzy administratorem danych (np. klientem biura rachunkowego) a podmiotem przetwarzającym (np. biurem rachunkowym).

7. Udostępnianie danych osobowych – może dotyczyć sytuacji kiedy osoba, której dane dotyczą wnioskuje o informację jakimi jej danymi osobowymi biuro rachunkowe dysponuje i konieczne jest wtedy przedstawienie jej takich informacji lub osoba, której dane osobowe dotyczą występuje z wnioskiem o przesłanie danych do innego administratora.

8. Realizacja prawa do bycia zapomnianym – osoba, której dotyczą dane, ma prawo żądania od administratora usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek usunąć dane osobowe. Nie w każdej sytuacji prawo do bycia zapomnianym może zostać zrealizowane – jako nadrzędne należy potraktować przepisy sektorowe, które określają czas w jakim dane powinny być przechowywane (np. dane kadrowe, dane dotyczące faktur).

9. Zarządzanie dostępem do wrażliwych danych – zapewnienie kontroli nad danymi przez upoważnianie do przetwarzania danych osobowych uprawnionych pracowników i współpracowników oraz zobowiązywanie ich do zachowania tajemnicy.

10. Przeszkolenie pracowników w zakresie ochrony danych osobowych – zapoznanie kadry, personelu i klientów z procedurami ochrony danych.

11. Uwrażliwienie klientów na bezpieczeństwo ochrony danych – wprowadzenie bezpiecznych ścieżek przesyłania danych pomiędzy klientem a biurem rachunkowym.

12. Stały monitoring ryzyka – konieczne jest stałe monitorowanie i sprawdzanie realizacji przyjętych procedur.

13. Zgłaszanie naruszeń danych osobowych – ewentualne naruszenia danych należy zgłosić do organu nadzorczego oraz osób, których naruszenia dotyczą w terminie do 72 godzin od momentu identyfikacji zdarzenia.

UWAGA!

Trzeba pamiętać o tym, że odpowiednie dostosowania systemu informatycznego to tylko jeden z elementów przygotowania biura rachunkowego do RODO. Wdrożenie systemu informatycznego wspierającego RODO nie oznacza, że biuro działa w pełni z przepisami RODO. Wiele czynności odbywa się poza systemem i konieczne jest, aby również te procedury zostały przez biuro rachunkowe uwzględnione.