RODO czyli Rozporządzenie o ochronie Danych Osobowych zacznie bezpośrednio obowiązywać już 25 maja 2018 r. Zapraszamy do zapoznania się z najważniejszymi obowiązkami jakie powinno wypełnić biuro rachunkowe.

RODO w biurze rachunkowym

Biuro Rachunkowe w myśl nowego rozporządzenia może pełnić podwójną rolę tj. Administratora Danych Osobowych oraz Podmiotu przetwarzającego.
Administratorem Danych Osobowych (ADO) biuro rachunkowe będzie np. dla danych osobowych własnych pracowników. Natomiast m.in dla swoich klientów, którzy powierzą w związku ze świadczonymi usługami, dane osobowe – podmiotem przetwarzającym. Dlatego też odpowiednie wdrożenie przepisów RODO dla biura rachunkowego jest bardzo ważne.

Umowa przetwarzania danych

W związku z tym, że biuro rachunkowe będzie przetwarzać powierzone dane osobowe, to oprócz zawarcia umowy na usługi księgowe, zgodnie z RODO musi również zawrzeć umowę na przetwarzanie danych osobowych.
Umowa lub jak wskazuje rozporządzenie, inny akt prawny na powierzenie przetwarzania danych osobowych może być oddzielnym dokumentem, jak i elementem głównej umowy na świadczenie usług.
Integralną część umowy stanowią często np. Ogólne Warunku Świadczenia Usług, które mogą być udostępnianie bezpośrednio drogą elektroniczną lub dostępne na stronie internetowej podmiotu. Poprzez odpowiednie zapisy w Ogólnych Warunkach Świadczenia Usług również możemy powierzyć przetwarzanie danych.
Takie działanie jest zgodne z przepisami, o czym mówi rozporządzenie w art. 29 ust 9, zgodnie z którym powierzenie danych może być w formie pisemnej, w tym formie elektronicznej.
Biuro rachunkowe jest zobowiązane zapewnić, że wdroży odpowiednie środki organizacyjny i techniczne, przewidziane w RODO. Najlepszym w tym przypadku jest złożenie przez biuro rachunkowe odpowiedniego oświadczenia. Tak jak w przypadku umowy, może to być oddzielny dokument, jak i element umowy głównej. Ważnym podkreślenie, że udostępnione dane przez klienta dla biura rachunkowe mogą być tylko przetwarzane w celu wykonania umowy.

Podstawa przetwarzania danych osobowych

RODO w art. 6 określa podstawy przetwarzania danych, jest nim m.in. zgoda osoby. Jednak w przypadku biura rachunkowego główną podstawą przetwarzania danych osobowych będzie wypełnienie umowy zawartej ze swoim klientem, który to powierzył przetwarzanie danych. Kolejną podstawą do przetwarzania danych będą przepisy prawa np. Kodeks Pracy czy też ustawy podatkowe.

Odpowiednie zabezpieczenia organizacyjne i techniczne

W rozporządzeniu nie wskazano konkretnych środków zabezpieczenia danych osobowych, jakie mają zostać wdrożone przez administratora lub podmiot przetwarzający. Zamiast tego wprowadza tzw. podejście oparte na ryzyku.
Każdy podmiot przetwarzający dane powinien samodzielnie określić, jakie konkretne środki zabezpieczenia danych należy wdrożyć. Dobór tych środków zabezpieczenia powinien być oparty o:

  • charakter, zakres, kontekst i cele przetwarzania,
  • ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
  • stan wiedzy technicznej,
  • koszt wdrożenia.

W związku z tym należy ustalić, jakie dane przechowujemy, jak je przechowujemy tzn. czy w wersji elektronicznej, czy papierowej, przez jaki okres, ilu pracowników ma do nich dostęp itp.
W rozporządzeniu niejednokrotnie wskazano, że zabezpieczenia muszą być odpowiednie czy też adekwatne np. jeśli przechowujemy w biurze rachunkowym akta osobowe, to zalecamy przechowywać je np. w zamkniętej szafie. Dla systemu informatycznego należy ustalić zasady jakie obowiązują, np. pracownik jest zobowiązany po odejściu od biurka zablokować komputer, zmieniać hasło co 30 dni itp.
Ważnym elementem zabezpieczenia jest również szkolenie pracowników tj. podniesienie świadomości naszych pracowników co do ważności danych osobowych. Pracownik świadomy to pracownik odpowiedzialny.

Polityka (Kodeks) bezpieczeństwa

Zalecane jest również wprowadzenia dokumentu, który będzie regulował przetwarzania danych osobowych w biurze rachunkowym. Kwestia nazewnictwa ma tutaj drugorzędne znaczenie, na gruncie ustawy o ochronie danych osobowych 1997 r. często używano nazwy Polityka Bezpieczeństwa. RODO wielokrotnie używa słowa „polityka” w związku z powyższym, dotychczasową politykę można tylko dostosować do zapisów rozporządzanie bez pisania nowej. Dokument taki powinien m.in. zawierać:

  • oznaczenie administratora (ADO), a jeśli powołamy Inspektora Ochrony Dany (IOD) również jego dane;
  • opisanie kogo dotyczą dane osobowe które przetwarzamy z uwzględnieniem powierzonych danych przez naszych klientów;
  • określenie celu oraz czasu przetwarzania danych osobowych;
  • informacje o tym gdzie dane będą przekazywane np. Urząd Skarbowy, PFRON, ZUS itp.;
  • informacja o nowych prawach jakie przewiduje rozporządzenie np. do bycia zapomnianym czy też przeniesienia danych;

Polityka powinna być ogólnodostępna zarówno dla naszych pracowników jak i klientów.

Rejestr czynności przetwarzanych

Wprawdzie rozporządzenie nakłada obowiązek prowadzenia rejestru dla podmiotów, które zatrudniają co najmniej 250 osób, jednak rozporządzenie również wskazuje na to, że taki rejestr powinien być wprowadzony również przez podmioty, u których przetwarzane dane nie są sporadycznie. Trudno uznać, że w biurze danych przetwarzanie danych jest sporadyczne.  Rejestr prowadzony przez biuro rachunkowe winien być prowadzony zarówno na własne potrzeby jak i klientów. Zalecane jest jego prowadzenie w formie tabeli. Szczegółowy opis rejestru czynności przetwarzanych znajdziemy w art. 30 ust 1 i 2 RODO.