| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJE MOBILNE | KARIERA | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Biura rachunkowe > Prowadzę biuro rachunkowe > Biura rachunkowe nie podpisują umów o powierzenie przetwarzania danych osobowych

Biura rachunkowe nie podpisują umów o powierzenie przetwarzania danych osobowych

Biura rachunkowe są wciąż na celowniku GIODO, gdyż notorycznie nie podpisują z klientami umów o powierzenie przetwarzania danych osobowych i stają się przez to ich administratorami. Działają w związku z tym ze szkodą dla siebie.

Wiele firm uważa, że ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: u.o.o.d.o.) nie dotyczy biur rachunkowych, ponieważ nie istnieją przepisy wprost nakładające na nie zadania z zakresu ochrony informacji. Rzecz w tym, że specyfika branży biur rachunkowych sprawia, iż dane osobowe przez nie przetwarzane mogą być uważane za informacje poufne. Ponadto biura często nie wiedzą o konieczności podpisania stosownej umowy powierzenia danych przez klienta ani że wykonują czynności, które mogą stawiać ich w roli administratora danych – tym samym tworząc obowiązek ich zabezpieczenia. Generalny inspektor ochrony danych osobowych (GIODO) ostrzega, że brak spełnienia wymogów przez biura rachunkowe może skutkować dotkliwymi sankcjami.

- W ostatnich latach przeprowadzaliśmy wiele kontroli w biurach rachunkowych i okazało się, że najwięcej problemów mają one z prawidłowym wykonaniem podstawowych obowiązków wynikających z przepisów o ochronie danych osobowych – informuje Małgorzata Kałużyńska-Jasak, dyrektor zespołu rzecznika prasowego GIODO. I dodaje, że uchybienia w tym zakresie dotyczyły w szczególności niezgłoszenia do rejestracji GIODO prowadzonych zbiorów danych osobowych, dopuszczenia do przetwarzania danych osób nieposiadających upoważnień nadanych przez administratora danych, braków ewidencji osób upoważnionych do przetwarzania danych osobowych, polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Inspektor krytycznie ocenił również sposób wykonania obowiązków związanych z przetwarzaniem danych przy użyciu systemów informatycznych.

Kiedy obowiązkowo

Biura rachunkowe najczęściej nie są administratorami danych osobowych, tylko otrzymują je od swoich klientów. Należy jednak pamiętać, że zgodnie z art. 31 ust. 1 u.o.o.d.o. przekazanie informacji przez klienta (w tym przypadku administratora danych) powinno odbyć się w oparciu o umowę zawartą na piśmie (to tzw. umowa powierzenia przetwarzania danych osobowych). Według GIODO, który otrzymywał informacje od Państwowej Inspekcji Pracy, biura często zapominają o jej sporządzeniu. Umowa ta sprawia, że przekazujący dane po jej podpisaniu wciąż pozostaje administratorem danych. Biura rachunkowe nie muszą zatem zgłaszać bazy danych do GIODO, zwłaszcza że przepisy dodatkowo wyłączają je od tej odpowiedzialności. Zgodnie z art. 43 ust. 1 pkt 8 u.o.o.d.o. baz nie muszą ich bowiem zgłaszać podmioty, które wykorzystują dane wyłącznie w celu stworzenia dokumentów pracowniczych, pracy w oparciu o wyciągi bankowe, umowy czy faktury.

Polecamy: Ustawa o rachunkowości z komentarzem do zmian (książka)

Należy jednak pamiętać, by umowa przetwarzania danych osobowych z klientem wyraźnie określała zakres i cel przetwarzania tych informacji, gdyż biura rachunkowe mogą je przetwarzać tylko w tych ramach. To ważne, bo firmy często wykraczają poza czynności uwzględnione w umowę tworząc własne zbiory informacji jak np. wewnętrzny rejestr przedsiębiorców powierzających dane. Jeśli te bazy danych tworzone najczęściej w celach rozliczeniowych mają być wykorzystywane także w innych celach, np. marketingowych, dochodzenia roszczeń albo prowadzenia postępowań reklamacyjnych, to biura rachunkowe stają się wtedy samodzielnymi administratorami własnych zbiorów danych.Automatycznie ciąży na nich obowiązek nie tylko zgłoszenia tych baz do GIODO ale również podjęcia środków zabezpieczających informacje jeszcze przed wykonaniem jakichkolwiek czynności uwzględniających ich wykorzystanie.

Polityka bezpieczeństwa danych i instrukcja

Środki zabezpieczające informacje opisuje art. 39 ust. 1 u.o.o.d.o., a doprecyzowuje par. 4 i 5 rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Wymieniona w rozporządzeniu dokumentacja obejmuje politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Obowiązki firm księgowych wynikające z IV Dyrektywy AML (Anti-Money Laundering)

System informatyczny do przetwarzania danych osobowych powinien zapewniać określony poziom bezpieczeństwa – w zależności od rodzaju informacji, jakie magazynuje. Są trzy: podstawowy, podwyższony oraz wysoki. Przykładowo pierwszy stosuje się w systemach, które nie przetwarzają danych wrażliwych (np. o stanie zdrowia, skazaniu, mandatach, pochodzeniu rasowym lub etnicznym) oraz nie są połączone z publiczną siecią. Przy każdej osobie, której dane osobowe są przetwarzane w systemie informatycznym, należy odnotować datę pierwszego wprowadzenia danych do systemu oraz utworzyć identyfikator dla pracownika wprowadzającego dane osobowe do systemu. Ponadto należy zmieniać hasło dostępu do systemu częściej niż raz na 30 dni i stosować kryptograficzną ochronę informacji (tzn. powinny być one zaszyfrowane i przesyłane między stanowiskami w sposób niejawny).

Lista pracowników z dostępem do danych

Zgodnie z art. 36a u.o.o.d.o. przedsiębiorcy zajmujący się prowadzeniem biur rachunkowych mogą, ale nie muszą powoływać tzw. administratora bezpieczeństwa informacji (ABI). Zaletą płynącą z posiadania ABI jest zwolnienie z obowiązku rejestrowania zbiorów danych osobowych u GIODO. Osoba na tym stanowisku zajmuje się bowiem m.in. sprawdzaniem zgodności przetwarzania danych z przepisami u.o.o.d.o.

Biuro rachunkowe decydując się na powołanie ABI, zapewnia w takim przypadku większą ochronę danych powierzonych przez klientów. Warto to rozważyć, zwłaszcza że przepisy zastrzegają jedynie trzy podstawowe wymogi, jakie musi spełnić osoba brana pod uwagę na stanowisko ABI. Mianowicie kandydat musi mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych, nie być karanym za umyślne przestępstwo oraz mieć odpowiednią wiedzę w zakresie danych osobowych.

Polecamy artykuły

Narzędzia

reklama

POLECANE

reklama

Fundusze unijne

Eksperci portalu infor.pl

KOGNITARIAT

Biuro podatkowo-finansowe

Zostań ekspertem portalu Infor.pl »