zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

08 czerwca 2018

RODO: Jaką dokumentację musi prowadzić biuro rachunkowe?

W drugiej części artykułu poświęconego przygotowaniu biura rachunkowego do RODO poświęcamy więcej uwagi najczęściej zadawanym pytaniom – o to, jak traktować poszczególne wymogi RODO i czy każde biuro rachunkowe ma się do nich stosować.

Oto częste pytania zadawane przez biura rachunkowe przygotowujące się do wdrożenia praktyk przetwarzania danych osobowych zgodnych z RODO:


1. Jaką dokumentację pod kątem RODO należy prowadzić w biurze rachunkowym?

Art. 24 w ust. 2 i 3 RODO mówi: „Stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonego mechanizmu certyfikacji może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków”. W stosunku do UODO – art. 36 ust. 2 – gdzie jest napisane: „Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz zastosowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych”, warto podkreślić, że w myśl RODO kodeks postępowania (czytaj: polityka bezpieczeństwa) powinien być ukierunkowany na niwelowanie zidentyfikowanego ryzyka (prewencję) oraz przeciwdziałanie jemu.


O ile w biurach rachunkowych już teraz obowiązują ukształtowane wcześniej mniej lub bardziej restrykcyjne polityki bezpieczeństwa w zakresie ochrony danych (w tym osobowych), w przypadku RODO należy przede wszystkim ocenić możliwie wszystkie ryzyka naruszenia danych osobowych – od utraty, kradzieży czy skasowania danych, przez ich nieuprawnione wykorzystanie i dostęp, po nieuprawnione kopiowanie czy udostępnianie innym stronom.


Jest zatem wskazane, by biura rachunkowe miały opracowany oficjalny dokument polityki bezpieczeństwa (kodeks postępowania i praktyk), który obowiązuje wszystkich pracowników, i który uwzględnia takie zagadnienia jak:

  • podstawy prawne przetwarzania danych w biurze rachunkowym,
  • kategorie przetwarzanych danych,
  • zasady udzielania pracownikom dostępu do przetwarzania danych osobowych,
  • zasady ochrony miejsca, w których dane są przetwarzane, przechowywane, zapisywane,
  • sposób zapewnienia należytego monitorowania, czy polityka bezpieczeństwa rzeczywiście działa,
  • zasady przetwarzania danych w oprogramowaniu wykorzystywanym w biurze,
  • zasady kopiowania danych na nośniki (stacjonarne elektroniczne, przenośne, papierowe),
  • zasady archiwizowania danych oraz backupu,
  • scenariusze przywracania danych utraconych w wyniku awarii, kradzieży, działania siły wyższej, itp.,
  • procedury działania w przypadku wykrycia naruszenia zasad ochrony danych lub naruszenia danych,
  • przewidzianą odpowiedzialność prawną pracowników za naruszenia zasad określonych w polityce bezpieczeństwa.

2. Czy każde biuro rachunkowe musi prowadzić rejestr czynności przetwarzania danych?

Artykuł 30 RODO co prawda mówi o tym, że każdy administrator danych osobowych prowadzi rejestr czynności przetwarzania danych, za które odpowiada, niemniej, obowiązek ten dotyczy przedsiębiorstw zatrudniających powyżej 250 pracowników – pod warunkiem jednak, że przetwarzanie danych osobowych:


  • może powodować ryzyko naruszenia praw lub wolności osób, których te dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych (np. dane o zdrowiu, biometryczne itd.).

Jedyną wątpliwość biur rachunkowych (w domyśle podmiotów mniejszych, bo zatrudniających mniej niż 250 pracowników), może budzić nieostra definicja „sporadycznego przetwarzania danych”. Niestety, nie można jednoznacznie stwierdzić, czy obowiązek prowadzenia rejestru nie obejmuje wszystkich biur rachunkowych, skoro w swojej działalności regularnie wykorzystują one dane osobowe swoich klientów (chociażby do kontaktów z urzędami lub np. do rozliczenia płac). Jak na razie brakuje precyzyjnej interpretacji tego przepisu. Aby rozwiać wątpliwości, każde biuro rachunkowe może zwrócić się do organu nadzorczego z prośbą o opinię w tej sprawie, choć w dotychczasowych komentarzach ekspertów zdecydowanie przeważają opinie, że obowiązek prowadzenia rejestru jednak nie obejmuje małych i średnich biur rachunkowych. Warto też zaznaczyć, że z uwagi na specyficzny charakter usług biura rachunkowego, podmioty te zazwyczaj doskonale rozpoznają czynności, którym towarzyszy przetwarzanie danych osobowych.


Skoro RODO wprowadza obowiązki dostosowania procedur i rozwiązań technicznych do rozpoznanego ryzyka związanego z przetwarzaniem danych, dla samej ochrony zasobów informacyjnych właściciele biur rachunkowych powinni przynajmniej mieć świadomość, jakie dane posiadają oraz kiedy i w jakich celach je przetwarzają. Warto o tym pamiętać, nawet jeśli formalnie nie prowadzi się rejestru czynności.




/*gatedcontent/