REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Biura rachunkowe » Prowadzę biuro » Biura rachunkowe nie podpisują umów o powierzenie przetwarzania danych osobowych

Biura rachunkowe nie podpisują umów o powierzenie przetwarzania danych osobowych

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
24 maja 2016, 09:41
Dziennik Gazeta Prawna
Dziennik Gazeta Prawna
Największy polski dziennik prawno-gospodarczy
Biura rachunkowe nie podpisują umów o powierzenie przetwarzania danych osobowych /Fotolia
Biura rachunkowe nie podpisują umów o powierzenie przetwarzania danych osobowych /Fotolia
Fotolia

REKLAMA

REKLAMA

Biura rachunkowe są wciąż na celowniku GIODO, gdyż notorycznie nie podpisują z klientami umów o powierzenie przetwarzania danych osobowych i stają się przez to ich administratorami. Działają w związku z tym ze szkodą dla siebie.

Wiele firm uważa, że ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: u.o.o.d.o.) nie dotyczy biur rachunkowych, ponieważ nie istnieją przepisy wprost nakładające na nie zadania z zakresu ochrony informacji. Rzecz w tym, że specyfika branży biur rachunkowych sprawia, iż dane osobowe przez nie przetwarzane mogą być uważane za informacje poufne. Ponadto biura często nie wiedzą o konieczności podpisania stosownej umowy powierzenia danych przez klienta ani że wykonują czynności, które mogą stawiać ich w roli administratora danych – tym samym tworząc obowiązek ich zabezpieczenia. Generalny inspektor ochrony danych osobowych (GIODO) ostrzega, że brak spełnienia wymogów przez biura rachunkowe może skutkować dotkliwymi sankcjami.

REKLAMA

- W ostatnich latach przeprowadzaliśmy wiele kontroli w biurach rachunkowych i okazało się, że najwięcej problemów mają one z prawidłowym wykonaniem podstawowych obowiązków wynikających z przepisów o ochronie danych osobowych – informuje Małgorzata Kałużyńska-Jasak, dyrektor zespołu rzecznika prasowego GIODO. I dodaje, że uchybienia w tym zakresie dotyczyły w szczególności niezgłoszenia do rejestracji GIODO prowadzonych zbiorów danych osobowych, dopuszczenia do przetwarzania danych osób nieposiadających upoważnień nadanych przez administratora danych, braków ewidencji osób upoważnionych do przetwarzania danych osobowych, polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Inspektor krytycznie ocenił również sposób wykonania obowiązków związanych z przetwarzaniem danych przy użyciu systemów informatycznych.

Kiedy obowiązkowo

Biura rachunkowe najczęściej nie są administratorami danych osobowych, tylko otrzymują je od swoich klientów. Należy jednak pamiętać, że zgodnie z art. 31 ust. 1 u.o.o.d.o. przekazanie informacji przez klienta (w tym przypadku administratora danych) powinno odbyć się w oparciu o umowę zawartą na piśmie (to tzw. umowa powierzenia przetwarzania danych osobowych). Według GIODO, który otrzymywał informacje od Państwowej Inspekcji Pracy, biura często zapominają o jej sporządzeniu. Umowa ta sprawia, że przekazujący dane po jej podpisaniu wciąż pozostaje administratorem danych. Biura rachunkowe nie muszą zatem zgłaszać bazy danych do GIODO, zwłaszcza że przepisy dodatkowo wyłączają je od tej odpowiedzialności. Zgodnie z art. 43 ust. 1 pkt 8 u.o.o.d.o. baz nie muszą ich bowiem zgłaszać podmioty, które wykorzystują dane wyłącznie w celu stworzenia dokumentów pracowniczych, pracy w oparciu o wyciągi bankowe, umowy czy faktury.

Zamów bezpłatny 14-dniowy dostęp do INFORLEX Biura rachunkowe!

Należy jednak pamiętać, by umowa przetwarzania danych osobowych z klientem wyraźnie określała zakres i cel przetwarzania tych informacji, gdyż biura rachunkowe mogą je przetwarzać tylko w tych ramach. To ważne, bo firmy często wykraczają poza czynności uwzględnione w umowę tworząc własne zbiory informacji jak np. wewnętrzny rejestr przedsiębiorców powierzających dane. Jeśli te bazy danych tworzone najczęściej w celach rozliczeniowych mają być wykorzystywane także w innych celach, np. marketingowych, dochodzenia roszczeń albo prowadzenia postępowań reklamacyjnych, to biura rachunkowe stają się wtedy samodzielnymi administratorami własnych zbiorów danych.Automatycznie ciąży na nich obowiązek nie tylko zgłoszenia tych baz do GIODO ale również podjęcia środków zabezpieczających informacje jeszcze przed wykonaniem jakichkolwiek czynności uwzględniających ich wykorzystanie.

Dalszy ciąg materiału pod wideo

Polityka bezpieczeństwa danych i instrukcja

Środki zabezpieczające informacje opisuje art. 39 ust. 1 u.o.o.d.o., a doprecyzowuje par. 4 i 5 rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Wymieniona w rozporządzeniu dokumentacja obejmuje politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Obowiązki firm księgowych wynikające z IV Dyrektywy AML (Anti-Money Laundering)

System informatyczny do przetwarzania danych osobowych powinien zapewniać określony poziom bezpieczeństwa – w zależności od rodzaju informacji, jakie magazynuje. Są trzy: podstawowy, podwyższony oraz wysoki. Przykładowo pierwszy stosuje się w systemach, które nie przetwarzają danych wrażliwych (np. o stanie zdrowia, skazaniu, mandatach, pochodzeniu rasowym lub etnicznym) oraz nie są połączone z publiczną siecią. Przy każdej osobie, której dane osobowe są przetwarzane w systemie informatycznym, należy odnotować datę pierwszego wprowadzenia danych do systemu oraz utworzyć identyfikator dla pracownika wprowadzającego dane osobowe do systemu. Ponadto należy zmieniać hasło dostępu do systemu częściej niż raz na 30 dni i stosować kryptograficzną ochronę informacji (tzn. powinny być one zaszyfrowane i przesyłane między stanowiskami w sposób niejawny).

Lista pracowników z dostępem do danych

Zgodnie z art. 36a u.o.o.d.o. przedsiębiorcy zajmujący się prowadzeniem biur rachunkowych mogą, ale nie muszą powoływać tzw. administratora bezpieczeństwa informacji (ABI). Zaletą płynącą z posiadania ABI jest zwolnienie z obowiązku rejestrowania zbiorów danych osobowych u GIODO. Osoba na tym stanowisku zajmuje się bowiem m.in. sprawdzaniem zgodności przetwarzania danych z przepisami u.o.o.d.o.

Ordynacja podatkowa, NIP 2024
Autopromocja

Ordynacja podatkowa, NIP 2024

Sprawdź

Biuro rachunkowe decydując się na powołanie ABI, zapewnia w takim przypadku większą ochronę danych powierzonych przez klientów. Warto to rozważyć, zwłaszcza że przepisy zastrzegają jedynie trzy podstawowe wymogi, jakie musi spełnić osoba brana pod uwagę na stanowisko ABI. Mianowicie kandydat musi mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych, nie być karanym za umyślne przestępstwo oraz mieć odpowiednią wiedzę w zakresie danych osobowych.

Jeśli chodzi o resztę pracowników, to każda osoba wykorzystująca w jakiś sposób dane osobowe w firmie (np. zbieranie ich, przechowywanie, przetwarzanie, wprowadzanie zmian bądź usuwanie ich) musi mieć ku temu odpowiednie upoważnienie. Biuro rachunkowe powinno przygotować listę pracowników upoważnionych, uwzględniającą: imię i nazwisko tych osób, datę nadania i ustania oraz zakres upoważnienia do pracy z danymi osobowymi oraz sporządzić identyfikatory dla tych, którzy korzystają z danych przetwarzanych w specjalnie przygotowanym systemie informatycznym.

Czego należy się bać

Przepisy przewidują odpowiedzialność zarówno administracyjną (art. 18 u.o.o.d.o.), jak i karną, szczegółowo uregulowaną przez art. 49-54a. GIODO może nakazać podmiotowi usunięcie uchybień, poprawę danych, zastosowanie dodatkowych środków zabezpieczających. W skrajnych przypadkach może samodzielnie zabezpieczyć dane, usunąć je lub przekazać innym podmiotom.

Inspektor ma również prawo nałożyć grzywnę na podmiot w przypadku niewykonania wydanej przez niego decyzji. Kwota grzywny może wynieść maksymalnie 10 tys. zł w stosunku do osoby fizycznej i maksymalnie 50 tys. zł w stosunku do osób prawnych. Jednocześnie grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć kwoty 50 tys. zł, a w stosunku do osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej - 200 tys. zł (zgodnie z art. 121 par. 2 i 3 ustawy o postępowaniu egzekucyjnym w administracji; t.j. Dz.U. z 2014 r. poz. 1619 ze zm.).

Kto odpowiada za błąd ujawniony podczas zmiany biura rachunkowego

W obecnym stanie prawnym, w razie stwierdzenia, że działanie biura rachunkowego ma znamiona przestępstwa, GIODO może zadecydować o przekazaniu sprawy do sądu. Ten może nałożyć kary grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2. Taki katalog kar jest przewidziany przykładowo za przetwarzanie danych mimo zakazu lub przetwarzanie ich przez osobę nieuprawnioną, umyślne ich udostępnianie, brak odpowiednich zabezpieczeń przed zabraniem bądź udaremnienie lub utrudnienie GIODO wykonywania czynności kontrolnej.

Warto zaznaczyć, że unijne rozporządzenie ogólne o ochronie danych osobowych (Dz.Urz. UE z 2016 r. L 119, s. 1), które wejdzie w życie 25 maja 2018 r. i będzie stosowane we wszystkich państwach członkowskich, wyposaży GIODO w uprawnienia do nakładania administracyjnych kar pieniężnych za naruszenie jego przepisów. Kwoty będą mogły sięgnąć nawet 20 mln euro lub, w przypadku przedsiębiorstw, do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Rozporządzenie zastąpi tym samym ustawę o ochronie danych osobowych. ©?

Polityka bezpieczeństwa powinna zawierać w szczególności:

● wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,

● wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,

● opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,

● sposób przepływu danych pomiędzy poszczególnymi systemami,

● określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna zawierać w szczególności:

● procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,

● stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

● procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników, – procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,

● sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych,

● sposób zabezpieczenia systemu informatycznego,

● procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. ©?

Jakub Styczyński

Podstawa prawna:

- Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2015 r. poz. 2135 ze zm.),

- Rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. poz. 1024).

Autopromocja

REKLAMA

Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Biura rachunkowe
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Prowadzisz biuro rachunkowe? Sprawdź, co wiesz o AML
24 kwi 2024

Pracujesz w biurze rachunkowym? Sprawdź swoją wiedzę na temat regulacji AML, czyli przepisów ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Nakłada ona na biura rachunkowe liczne i szczegółowe obowiązki, których niedopełnienie zagrożone jest karami. Nasz test składa się z trzech części: zasadniczej, z pytaniami dotyczącymi przestrzegania przepisów, metryczki, prosimy również o podzielenie się opiniami z zakresu regulacji AML oraz ich stosowania. Każdy uczestnik testu pozna swój rezultat. Skumulowane, anonimowe wyniki zostaną omówione w specjalnym artykule. Co wiesz, a czego nie wiesz o przepisach AML? Sprawdź swoją wiedzę. Zapraszamy!
Prowadzisz biuro rachunkowe? Sprawdź, co wiesz o AML
23 kwi 2024

Pracujesz w biurze rachunkowym? Sprawdź swoją wiedzę na temat regulacji AML, czyli przepisów ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Nakłada ona na biura rachunkowe liczne i szczegółowe obowiązki, których niedopełnienie zagrożone jest karami. Nasz test składa się z trzech części: zasadniczej, z pytaniami dotyczącymi przestrzegania przepisów, metryczki, prosimy również o podzielenie się opiniami z zakresu regulacji AML oraz ich stosowania. Każdy uczestnik testu pozna swój rezultat. Skumulowane, anonimowe wyniki zostaną omówione w specjalnym artykule. Co wiesz, a czego nie wiesz o przepisach AML? Sprawdź swoją wiedzę. Zapraszamy!
Prowadzisz biuro rachunkowe? Sprawdź, co wiesz o AML
22 kwi 2024

Pracujesz w biurze rachunkowym? Sprawdź swoją wiedzę na temat regulacji AML, czyli przepisów ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Nakłada ona na biura rachunkowe liczne i szczegółowe obowiązki, których niedopełnienie zagrożone jest karami. Nasz test składa się z trzech części: zasadniczej, z pytaniami dotyczącymi przestrzegania przepisów, metryczki, prosimy również o podzielenie się opiniami z zakresu regulacji AML oraz ich stosowania. Każdy uczestnik testu pozna swój rezultat. Skumulowane, anonimowe wyniki zostaną omówione w specjalnym artykule. Co wiesz, a czego nie wiesz o przepisach AML? Sprawdź swoją wiedzę. Zapraszamy!
Quiz. Prowadzisz biuro rachunkowe – sprawdź co wiesz o AML
19 kwi 2024
Pracujesz w biurze rachunkowym? Sprawdź swoją wiedzę na temat regulacji AML, czyli przepisów ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Nakłada ona na biura rachunkowe liczne i szczegółowe obowiązki, których niedopełnienie zagrożone jest karami. Nasz test składa się z trzech części: zasadniczej, z pytaniami dotyczącymi przestrzegania przepisów, metryczki, prosimy również o podzielenie się opiniami z zakresu regulacji AML oraz ich stosowania. Każdy uczestnik testu pozna swój rezultat. Skumulowane, anonimowe wyniki zostaną omówione w specjalnym artykule. Co wiesz, a czego nie wiesz o przepisach AML? Sprawdź swoją wiedzę. Zapraszamy!

REKLAMA

Przed czym ubezpieczenie OC chroni biuro rachunkowe? Czy księgowi ubezpieczają się na zbyt niskie sumy?
16 kwi 2024

Biura rachunkowe i firmy księgowe najczęściej wybierają ubezpieczenia odpowiedzialności cywilnej (OC) zawodowej z sumami gwarancyjnymi na poziomie od 50 do 100 tys. zł – podaje Leadenhall Insurance. W ramach polisy ubezpieczyciel przejmuje od księgowych finansową odpowiedzialność za nieprawidłowości i uchybienia, które popełniają podczas obsługi swoich klientów. Do najbardziej kosztownych pomyłek należą błędy w deklaracjach podatku VAT - poszkodowani klienci mogą obciążyć księgowych odsetkami naliczonymi przez Urząd Skarbowy.
Zapobieganie praniu pieniędzy. Oto niezbędne procedury AML dla biur rachunkowych
15 kwi 2024

Przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu polega m.in. na stosowaniu tzw. środków bezpieczeństwa finansowego oraz przestrzeganiu wymaganych w tym zakresie procedur. Pierwszym ze stosowanych środków bezpieczeństwa jest identyfikacja klienta i weryfikacja jego tożsamości. Dokonanie tych czynności należy udokumentować.
Jak rozwinąć swoje biuro rachunkowe? 9 pomysłów, które sprawią, że w Twoim biurze pojawi się więcej Klientów
09 kwi 2024

Otworzyłeś biuro rachunkowe lub kancelarię podatkową i masz mało klientów? Jesteś nowy w swojej miejscowości, nikt Cię nie zna, konkurencja od lat działa prężnie, a Ty chciałbyś w końcu zacząć zarabiać? Sprawdź, co możesz zrobić by rozruszać swoją działalność. Przygotowaliśmy niezbędnik z podpowiedziami dla właścicieli biur rachunkowych i kancelarii podatkowych, w którym znajdziesz pomysły na to, co zrobić, by zyskać nowych klientów.
Obowiązek sporządzania i aktualizacji ogólnej oceny ryzyka prania pieniędzy i finansowania terroryzmu
08 kwi 2024

Każde biuro rachunkowe powinno znać i rozumieć ryzyko prania pieniędzy i finansowania terroryzmu, które może wystąpić w związku z charakterem oraz zakresem prowadzonej przez siebie działalności. Temu celowi służy tzw. ogólna ocena ryzyka. Co ważne dokument ten należy nie tylko sporządzić ale też aktualizować dostosowując go do zmieniających się okoliczności, nie rzadziej niż co dwa lata.

REKLAMA

Nawet milion złotych kary. Tych zasad muszą przestrzegać biura rachunkowe
27 mar 2024

Podmioty prowadzące działalność w zakresie usługowego prowadzenia ksiąg rachunkowych lub prowadzący księgi podatkowe znajdują się na liście jednostek obowiązanych do stosowania przepisów o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (tzw. ustawa o AML). Wiąże się to z szeregiem obowiązków, z których nie każde biuro zdaje sobie sprawę
Uproszczone procedury. Kiedy biuro rachunkowe może je stosować?
27 mar 2024

Ustawa o przeciwdziałaniu praniu pieniędzy  przewiduje łagodniejsze reguły identyfikacji i weryfikacji klientów w ściśle określonych przypadkach. Są to okoliczności, w których ryzyko wystąpienia przestępstwa prania pieniędzy lub finansowania terroryzmu jest znacząco ograniczone, jeżeli nie całkowicie wyeliminowane. "Uproszczenie" nie zwalnia biura z obowiązków nałożonych przepisami ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

REKLAMA