| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJE MOBILNE | KARIERA | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Biura rachunkowe > Prowadzę biuro rachunkowe > Biura rachunkowe nie podpisują umów o powierzenie przetwarzania danych osobowych

Biura rachunkowe nie podpisują umów o powierzenie przetwarzania danych osobowych

Biura rachunkowe są wciąż na celowniku GIODO, gdyż notorycznie nie podpisują z klientami umów o powierzenie przetwarzania danych osobowych i stają się przez to ich administratorami. Działają w związku z tym ze szkodą dla siebie.

Jeśli chodzi o resztę pracowników, to każda osoba wykorzystująca w jakiś sposób dane osobowe w firmie (np. zbieranie ich, przechowywanie, przetwarzanie, wprowadzanie zmian bądź usuwanie ich) musi mieć ku temu odpowiednie upoważnienie. Biuro rachunkowe powinno przygotować listę pracowników upoważnionych, uwzględniającą: imię i nazwisko tych osób, datę nadania i ustania oraz zakres upoważnienia do pracy z danymi osobowymi oraz sporządzić identyfikatory dla tych, którzy korzystają z danych przetwarzanych w specjalnie przygotowanym systemie informatycznym.

Czego należy się bać

Przepisy przewidują odpowiedzialność zarówno administracyjną (art. 18 u.o.o.d.o.), jak i karną, szczegółowo uregulowaną przez art. 49-54a. GIODO może nakazać podmiotowi usunięcie uchybień, poprawę danych, zastosowanie dodatkowych środków zabezpieczających. W skrajnych przypadkach może samodzielnie zabezpieczyć dane, usunąć je lub przekazać innym podmiotom.

Inspektor ma również prawo nałożyć grzywnę na podmiot w przypadku niewykonania wydanej przez niego decyzji. Kwota grzywny może wynieść maksymalnie 10 tys. zł w stosunku do osoby fizycznej i maksymalnie 50 tys. zł w stosunku do osób prawnych. Jednocześnie grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć kwoty 50 tys. zł, a w stosunku do osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej - 200 tys. zł (zgodnie z art. 121 par. 2 i 3 ustawy o postępowaniu egzekucyjnym w administracji; t.j. Dz.U. z 2014 r. poz. 1619 ze zm.).

Kto odpowiada za błąd ujawniony podczas zmiany biura rachunkowego

W obecnym stanie prawnym, w razie stwierdzenia, że działanie biura rachunkowego ma znamiona przestępstwa, GIODO może zadecydować o przekazaniu sprawy do sądu. Ten może nałożyć kary grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2. Taki katalog kar jest przewidziany przykładowo za przetwarzanie danych mimo zakazu lub przetwarzanie ich przez osobę nieuprawnioną, umyślne ich udostępnianie, brak odpowiednich zabezpieczeń przed zabraniem bądź udaremnienie lub utrudnienie GIODO wykonywania czynności kontrolnej.

Warto zaznaczyć, że unijne rozporządzenie ogólne o ochronie danych osobowych (Dz.Urz. UE z 2016 r. L 119, s. 1), które wejdzie w życie 25 maja 2018 r. i będzie stosowane we wszystkich państwach członkowskich, wyposaży GIODO w uprawnienia do nakładania administracyjnych kar pieniężnych za naruszenie jego przepisów. Kwoty będą mogły sięgnąć nawet 20 mln euro lub, w przypadku przedsiębiorstw, do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Rozporządzenie zastąpi tym samym ustawę o ochronie danych osobowych. ©?

Polityka bezpieczeństwa powinna zawierać w szczególności:

● wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,

● wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,

● opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,

● sposób przepływu danych pomiędzy poszczególnymi systemami,

● określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna zawierać w szczególności:

● procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,

● stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

● procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników, – procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,

● sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych,

● sposób zabezpieczenia systemu informatycznego,

● procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. ©?

Jakub Styczyński

Podstawa prawna:

- Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2015 r. poz. 2135 ze zm.),

- Rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. poz. 1024).

Polecamy artykuły

Narzędzia

reklama

POLECANE

reklama

Fundusze unijne

Eksperci portalu infor.pl

dr Katarzyna Kalata

Ekspert z zakresu prawa pracy i ubezpieczeń społecznych

Zostań ekspertem portalu Infor.pl »