RODO w biurze rachunkowym.

Sprawdź jak przygotować się na nowe przepisy o ochronie danych osobowych po 25 maja 2018r.?

Już kilkukrotnie na blogu poruszałam temat RODO – ochrony danych osobowych w kontekście zmian, jakie zostaną wprowadzone ogólnym rozporządzeniem PE z dnia 27 kwietnia 2016 r. o ochronie danych osobowych.

Data wejście w życie nowych przepisów zbliża się nieubłaganie, panika, związana z właściwym przygotowanie się do wchodzących lada dzień w życie przepisów, rośnie.

Od razu napiszę, że ja je nie będę zwiększać – nie będę Cię straszyć, dokładna analizą poniższego artykułu powinna znacznie pomóc Ci właściwie przygotować się do RODO. 

Duża ilość moich Klientów to właściciele biur rachunkowych dlatego dzisiaj wymienię najważniejsze informacje związane z ochroną danych osobowych, z którymi powinien zapoznać się każdy przedsiębiorca prowadzący biuro rachunkowe. 

Proszę pamiętać, że ochrona danych osobowych powinna być dostosowana do miejsca, w którym te dane są przetwarzane – na inne zasady położymy nacisk w małych bądź dużych przedsiębiorstwach czy też w zakładzie kosmetycznym bądź właśnie biurze rachunkowym. Jednakże większość poniższych informacji można zastosować do większości niewielkich działalności gospodarczych.

I. Rodo w biurze rachunkowym – pojęcia które trzeba znać.

I. 1. Administrator danych osobowych

Administrator danych osobowych to taki podmiot, która ustala cele i sposoby przetwarzania danych osobowych, a w efekcie dane osobowe po prostu przetwarza, czyli zbiera dane, pracuje na nich, usuwa dane itd.

Upraszczając, można napisać, że każde biuro rachunkowe jest administratorem danych osobowych.

W praktyce administratorem danych osobowych będzie osoba fizyczna prowadząca działalność gospodarczą w postaci biura rachunkowego, natomiast w przypadku biura rachunkowego funkcjonujące w formie spółki osobowej czy kapitałowej administratorem będzie sama spółka.

Wyobraźmy sobie sytuację, w której przedsiębiorstwo A zleca biurze rachunkowemu prowadzenie obsługi księgowej przedsiębiorstwa A. Wówczas przedsiębiorca prowadzący działalność gospodarczą w postaci biura rachunkowego przetwarza dane osobowe swojego zleceniodawcy firmy A (np. imię i nazwisko przedsiębiorcy, ale już nie firmę), czyli jest ich administratorem.

Jeżeli w biurze rachunkowym zatrudniani są pracownicy, wówczas czy to przedsiębiorca prowadzący działalność gospodarczą w postaci biura rachunkowego czy spółka się tym trudniąca są wobec pracowników również administratorami ich danych osobowych.

I. 2. Podmiot przetwarzający dane osobowe

Zgodnie z RODO podmiot przetwarzający dane to osoba fizyczna lub prawna czy też inna jednostka, która przetwarza dane osobowe w imieniu administratora.

Brzmi skomplikowanie?

Wyjaśnię to na przykładzie:

Przedsiębiorca prowadzący działalność gospodarczą A zleca przedsiębiorcy prowadzącemu działalność gospodarczą w postaci biura rachunkowego prowadzenie obsługi kadrowej. Prowadzący działalność gospodarczą A jest administratorem danych osobowych pracowników zatrudnionych w tej firmie.

Jednak w biurze rachunkowym w toku czynności składających się na obsługę kadrową będą przetwarzane dane osobowe pracowników przedsiębiorstwa A (np. przy przygotowywaniu miesięcznych informacji o rozliczanych składkach ubezpieczonych do ZUS).

W związku z tym, przedsiębiorca prowadzący biuro rachunkowe będzie podmiotem przetwarzającym dane osobowe w imieniu administratora = przedsiębiorcy prowadzącego działalność gospodarczą A.

Oba wymienione powyżej pojęcia nie uległy zasadniczo zmianie w stosunku do obowiązującej jeszcze ustawy o ochronie danych osobowych.

Tak czy inaczej, znając znaczenie tych pojęć, możemy przejść do omówienia kolejnych zagadnień związanych z przetwarzaniem danych osobowych w biurach rachunkowych.

II. Rodo w biurze rachunkowym – Jakie środki bezpieczeństwa powinny być stosowane przy przetwarzaniu danych osobowych?

Tak naprawdę na administratorze, jak i podmiocie przetwarzającym dane osobowe spoczywa obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odbywało się zgodnie z zasadami ochrony danych osobowych i w taki sposób, żeby w razie ewentualnej kontroli móc wykazać, że czynności przetwarzania odbywają się zgodnie z prawem (RODO) i że są skuteczne.

Środki muszą być odpowiednio dobrane ze względu na: charakter, zakres, kontekst, cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.

Środki służące bezpieczeństwu przetwarzania danych osobowych dotyczą także konieczności zapewnienia szybkiego przywrócenia dostępu do danych osobowych, przykładowo gdy pracownik biura rachunkowego wylewa kawę na laptopa, na którym pracuje – biuro rachunkowe powinno dysponować dyskiem zewnętrznym (lub przechowywać kopię danych na serwerach), aby zapewnić dostęp do danych, na których pracownik pracował.

W biurze rachunkowym takimi środkami mogą być:

⇒ ustawienie haseł zabezpieczających dostęp do komputera, programów księgowych,

⇒ szafy zamykane na klucz, w których trzymane są dokumenty,

⇒ szyfrowane wiadomości e-mail, jeśli w ten sposób porozumiewa się pracownik biura rachunkowego ze zleceniodawcą,

⇒ tworzenie kopii zapasowych na dysku zewnętrznym, przy czym najlepiej, aby i dysk zewnętrzny został zaszyfrowany itd.

III. Rodo w biurze rachunkowym – Umowa powierzenia przetwarzania danych osobowych => stwórz i stosuj!

Jak już wcześniej wyjaśniłam, biuro rachunkowe nie dość, że jest administratorem danych osobowych, występuje również w roli podmiotu przetwarzającego te dane. Najczęściej zapewne jest tak, że biuro rachunkowe zawiera umowę zlecenia na prowadzenie ksiąg rachunkowych przedsiębiorstwa A.

Po 25 maja 2018 r. oba przedsiębiorstwa dodatkowo muszą zawrzeć umowę powierzenia przetwarzania danych osobowych, o której można przeczytać w art. 28 RODO.

To administrator danych osobowych, które powierzy biuru rachunkowemu, ma prawo wybrać biuro, z którym nawiąże współpracę, kierując się tym, czy biuro rachunkowe zapewnia wystarczającą gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Na potrzeby umowy mamy następujący przykład: przedsiębiorstwo A, zajmujące się sprzedażą hurtową wózków dziecięcych, powierza na mocy umowy zlecenia prowadzenie ksiąg rachunkowych od 1 czerwca 2018 r. do 31 maja 2019 r. biurze rachunkowemu BR. Dla ułatwienia przedsiębiorstwo A jest zleceniodawcą, a biuro rachunkowe jest zleceniobiorcą.

Umowa powierzenia przetwarzania danych osobowych zawierana jest pomiędzy administratorem danych osobowych (zleceniodawcą) a podmiotem przetwarzającym te dane (zleceniobiorcą). Umowa może zostać zawarta w formie pisemnej bądź elektronicznej.

Najlepiej jeśli biuro rachunkowe dysponuje wzorem takiej umowy, podobnie jak wzorem umowy zlecenia czy innej umowy o świadczenie usług.

RODO wymienia elementy, które powinna zawierać umowa powierzenie przetwarzania danych:

⇒ jakie dane są przetwarzane (dane zwykłe np. w postaci imion i nazwisk/dane wrażliwe),

⇒ jakiej kategorii osób dane dotyczą (np. dane klientów przedsiębiorstwa A),

⇒ cel i czas przetwarzania danych (np. w/w dane osobowe będą przetwarzane w celu realizacji umowy zlecenia przez czas określony od 1 czerwca 2018 r. do 31 maja 2019 r.),

⇒ zobowiązanie, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania w tajemnicy przetwarzanych danych osobowych w trakcie zatrudnienia, jak i po jego ustaniu (dotyczy to pracowników biura rachunkowego BR, których właściciel tego biura upoważnia do przetwarzania danych osobowych),

⇒ zapewnienie, że w biurze rachunkowym są stosowane odpowiednie środki bezpieczeństwa zgodnie z przepisami RODO,

⇒ zobowiązanie, że przestrzegane są warunki korzystania z usług innego podmiotu przetwarzającego (chodzi o sytuację, w której biuro rachunkowe ma również swoich „podwykonawców” – aby korzystać z ich usług biuro rachunkowe musi posiadać na to wyraźną zgodę zleceniodawcy, z którym podpisuje umowę zlecenia w przedmiocie prowadzenia ksiąg rachunkowych),

⇒ zobowiązanie, że biuro rachunkowe w miarę możliwości pomaga administratorowi (w naszym przykładzie zleceniodawcy) poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą i pomaga mu wywiązać się z obowiązków określonych w art. 32-36 RODO (kwestia naruszeń ochrony danych i oceny skutków tej ochrony),

⇒ zobowiązanie, że po zakończeniu świadczenia usług związanych z przetwarzaniem podmiot przetwarzający dane (zleceniobiorca) usuwa albo zwraca wszelkie dane osobowe administratorowi (zleceniodawcy) -> trzeba wybrać jedną z 2 opcji oraz usuwa wszelkie istniejące kopie,

⇒ zobowiązanie, że podmiot przetwarzający udostępnia administratorowi (zleceniobiorca zleceniodawcy) wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO (chodzi o wpisanie w treści umowy uprawnienia zleceniodawcy do kontroli, czy zleceniobiorca stosuje wspomniane wyżej środki techniczne i organizacyjne przy przetwarzaniu danych).

*zastrzeżenie, że dane będą przetwarzane wyłącznie na udokumentowane polecenie administratora nie musi znaleźć się w tej umowie, ponieważ udokumentowanym poleceniem administratora jest np. właśnie umowa zlecenia prowadzenia ksiąg rachunkowych (dosłownie takie postanowienie umowne wynika z treści RODO)

Ponadto, najlepiej zawrzeć w treści umowy postanowienia o możliwości rozwiązania/wypowiedzenia tej umowy.

icon
Jeśli masz pytania, potrzebujesz dokumentacji do wdrożenia w swojej firmie RODO, jesteś zainteresowany indywidualnym wsparciem przy wdrażaniu RODO  napisz do mnie na adres: katarzyna@klemba.pl

IV. Rodo w biurze rachunkowym – Upoważnienie pracowników do przetwarzania danych osobowych

W samym RODO nie znajdziemy zbyt wielu informacji na temat upoważnienia do przetwarzania danych osobowych.

Wiemy, że może udzielić go administrator lub podmiot przetwarzający, czyli odnosząc się do przykładu z poprzedniego punktu – zleceniobiorca.

Ponadto, osoba upoważniona obowiązana jest do zachowania w tajemnicy przetwarzanych danych i działa na wyłączne polecenie administratora (praktycznie chodzi o to, że osoba upoważniona przetwarza dane jedynie w celu wykonywania wskazanej w przykładzie umowy zlecenia).

Jeśli właściciel biura rachunkowego chciałby udzielić swojemu pracownikowi upoważnienia do przetwarzania danych powinny się w nim znaleźć następujące informacje:

⇒ imię, nazwisko i stanowisko pracownika oraz dane administratora (zgodnie z przykładem dane administratora=właściciela biura rachunkowego/osoby reprezentującej biuro prowadzone w formie spółki, którymi posługuje się w obrocie, m.in. nazwa firmy, NIP, REGON, numer wpisu do KRS, adres siedziby),

⇒ powinno informować o tym, że pracownik będzie przetwarzał dane w zakresie pełnionych obowiązków służbowych (należy wymienić obowiązki),

⇒ o okresie, w jakim obowiązuje upoważnienie,

⇒ powinno zobowiązywać do zachowania przetwarzanych danych osobowych w tajemnicy, również po zakończeniu pracy.

Upoważnienie powinno być sporządzone w formie pisemnej. Pracownik powinien podpisać się pod jego treścią, podać datę i miejsca złożenia podpisu.

Odpowiedni zapis może znaleźć się także w umowie o pracę.

V. Rodo w biurze rachunkowym – Rejestry jakie należy prowadzić.

Zarówno administrator, jak i podmiot przetwarzający dane osobowe mają obowiązek prowadzenia tzw. rejestru czynności przetwarzania danych osobowych/rejestru kategorii czynności przetwarzania (nie będzie już zbiorów danych osobowych).

Co do zasady z tego obowiązku zwolnieni są przedsiębiorcy/podmioty zatrudniające mniej niż 250 osób.

Jednak, jeśli przetwarzanie nie ma charakteru sporadycznego, to rejestr należy prowadzić.

W przypadku biura rachunkowego trzeba przyjąć, że taki obowiązek zasadniczo istnieje – przecież w biurze pracuje się ciągle na danych w związku ze świadczeniem usług na rzecz klientów (zleceniodawców), a jeśli w biurze zatrudniani są pracownicy – również dane pracowników są stale przetwarzane.

Każdy rejestr musi być prowadzony w formie pisemnej oraz elektronicznej (w zeszycie, w dokumencie stworzonym w programie Excel).

V.1. Administrator prowadzi rejestr czynności przetwarzania, który zawiera:

⇒ imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz Inspektora Ochrony Danych Osobowych (jeśli został powołany),

⇒ cele przetwarzania danych,

⇒ opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych (zwykłe/wrażliwe),

⇒ kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,

⇒ informację o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej,

⇒ planowane terminy usunięcia danych oraz

⇒ ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Upraszczając, skoro przetwarzanie danych to wszelkie operacje dokonywane na danych, czyli m.in. ich zbieranie, przeglądanie, wykorzystywanie, rozpowszechnianie, to tworząc rejestr, należy pogrupować czynności ze względu na cel, w jakim są podejmowane.

Przykładowo, w biurze rachunkowym jako „czynność przetwarzania” możemy potraktować „obsługę umów zlecenia” (obejmuje rejestrowanie danych klientów=zleceniodawców, wystawienie faktur, generowanie pliku JPK-VAT itd.) czy „prowadzenie rejestru pracowników i rozliczeń z pracownikami”, o ile w biurze rachunkowym są zatrudnieni pracownicy (obejmuje prowadzenie ewidencji pracowników, ewidencji ich czasu pracy, wyliczanie i wypłata wynagrodzeń).

W tym rejestrze ujmujemy tylko czynności dokonywane w ramach działalności biura rachunkowego, nie na rzecz klientów tego biura.

V.2. Podmiot przetwarzający dane osobowe prowadzi rejestr kategorii czynności przetwarzania, który zawiera:

⇒ imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego i każdego administratora, w imieniu którego działa podmiot przetwarzający oraz inspektora ochrony danych, jeśli został powołany,

⇒ kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,

⇒ informację o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej,

⇒ ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Upraszczając, trzeba w rejestrze wymienić kategorie przetwarzań, czyli rodzaj usług świadczonych na rzecz poszczególnych klientów (zleceniodawców), np. prowadzenie dokumentacji kadrowej/księgowej, przechowywanie dokumentacji kadrowej/księgowej, tworzenie wniosków kredytowych. Najlepiej, aby do każdej kategorii przetwarzań dopasować zleceniodawców, na rzecz których usługi się świadczy (kategoria przetwarzania -> zleceniodawca A, B, C).

Podsumowując, w biurze rachunkowym prowadzone powinny być oba wymienione rejestry. Przeczytać o tym można w art. 30 RODO.

VI. RODO w biurze rachunkowym – skutki naruszenia ochrony danych osobowych

Ilość obowiązków zależy od tego, gdzie doszło do naruszenia danych osobowych: u administratora czy u podmiotu przetwarzającego dane osobowe.

⇒ Jeśli dojdzie do naruszenia ochrony danych osobowych u administratora, np. gdy w biurze rachunkowym zatrudniany jest pracownik, właściciel biura sporządził imienny raport miesięczny za ubezpieczonego, jednak źle go zaadresował – przesyłka dotarła do jednego z klientów biura. Co w takiej sytuacji należy zrobić?

Sytuacja jest dosyć poważna.

Administrator danych osobowych powinien zawiadomić o zaistniałej sytuacji pracownika, a także organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych (ten ostatni w ciągu 72 godzin po stwierdzeniu naruszenia). Nie wiadomo, kto zapoznał się z danymi osobowymi oraz czy i w jaki sposób może je wykorzystać, dlatego uzasadnia to zgłoszenie naruszenia do PUODO.

Uwaga! Jeżeli mało prawdopodobne jest, że dojdzie do nieuprawnionego wykorzystania danych osobowych, administrator nie musi zgłaszać naruszenia do PUODO.

⇒ W przypadku naruszenia ochrony danych osobowych u podmiotu przetwarzającego dane, np. gdy biuro rachunkowe prowadzi obsługę kadrową przedsiębiorstwa A i w związku z tym przesyła do ZUS imienne raporty miesięczne za ubezpieczonych, jednak tym razem pracownik biura rachunkowego źle zaadresował koperty i raporty zostały przesłane do innego klienta biura.

W takiej sytuacji podmiot przetwarzający dane powinien poinformować o zaistniałym fakcie administratora tych danych (odnosząc się do przykładów z poprzednich punktów – zleceniodawcę), dopiero ten drugi zdecyduje, czy zgłaszać naruszenie do PUODO.

VI. RODO w biurze rachunkowym – Inspektor Ochrony Danych – czy trzeba go powoływać?

Przesłanki powołania Inspektora Ochrony Danych są opisane dosyć ogólnie.

Punktem zaczepienia w przypadku biur rachunkowych mogłoby być przetwarzanie danych osobowych „na dużą skalę” (nie wiemy co oznacza „duża skala”).

Wszystko zależy od tego, jak duże jest to biuro (weźmy pod uwagę ilość pracowników), ilu klientów obsługuje i jakiego rodzaju są to przedsiębiorstwa.

W mojej ocenie w biurze rachunkowym nie ma konieczności powoływania IOD właśnie z tego powodu, że dane osobowe nie są przetwarzane „na dużą skalę”, chyba że biuro rachunkowe zajmuje kilka pięter w biurowcu, zatrudnia bardzo dużo pracowników i tyle samo dużo klientów obsługuje.

Po przeczytaniu powyższego artykułu – nie pozostaje nic innego tylko stawić czoło nowym obowiązkom i przygotować się na zmiany.  Nie daj się ogarnąć panice jaka towarzyszy temu tematowi w internecie 🙂

Dobre praktyczne porady na temat wdrażania RODO w małych firmach znajdziesz w artykule:

RODO w jednoosobowych działalnościach – co jest konieczne?


Mam nadzieję, że przybliżyłam Wam nieco tematykę RODO na potrzeby biur rachunkowych i że skorzystają z lektury tego wpisu także przedsiębiorcy z innych branż.

icon
Jeśli masz pytania, potrzebujesz dokumentacji do wdrożenia w swojej firmie RODO, jesteś zainteresowany indywidualnym wsparciem przy wdrażaniu RODO  napisz do mnie na adres: katarzyna@klemba.pl



Jeśli zaś interesuje Cię szerzej tematyka związana z ochroną danych osobowych i indywidualnie chcesz ją zgłębić, to polecę również komentarz do RODO Wydawnictwa C. H. Beck Sp. z o.o:

Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz

Napisz komentarz

Twój adres email nie zostanie opublikowany. Zaznaczone pola są obowiązkowe *