Obowiązki biur rachunkowych związane z RODO

Biura rachunkowe znajdują się w specyficznej sytuacji, jeżeli chodzi o obowiązki wynikające z RODO. Po pierwsze działają – podobnie jak większość przedsiębiorców – jako administratorzy danych osobowych (w stosunku do danych własnych pracowników oraz klientów lub osób reprezentujących klientów). Po drugie działają jako tzw. procesorzy, czyli podmioty przetwarzające w rozumieniu art. 28 RODO w odniesieniu do danych przekazywanych przez klientów. Dotyczy to np. sytuacji, w których firma będąca klientem biura rachunkowego przekazuje mu dane swoich pracowników lub klientów.

Trzeba jednak pamiętać, że ten sam podział ról występował już pod rządami dotychczas obowiązujących przepisów w zakresie ochrony danych osobowych (a więc od 1998), RODO nie wprowadziło tu rewolucji, a jedynie zmodyfikowało i rozszerzyło pewne znane już obowiązki.

Tym, co istotnie się zmieniło, jest przerzucenie ciężaru dowodu na podmiot zobowiązany oraz wprowadzenie mechanizmu administracyjnych kar pieniężnych. RODO w art. 83 ustanawia tylko ogólne ich granice (od 0 do 10 mln euro oraz od 0 do 20 mln euro), precyzując jedynie, że mają być proporcjonalne i odstraszające. Wiele pozostanie w sferze dyskrecjonalnej władzy urzędnika Urzędu Ochrony Danych Osobowych. Od 25.05.2018 dotychczasowy Generalny Inspektor Ochrony Danych Osobowych stał się Prezesem Urzędu Ochrony Danych Osobowych (PUODO). Skargi na ew. decyzję nowego organu można wnosić do sądów administracyjnych.

Nie tylko rejestr czynności przetwarzania

Każdy administrator danych osobowych ma obowiązek prowadzić rejestr czynności przetwarzania, o którym stanowi art. 30 ust. 1 RODO. Wyjątki przewiduje art. 30 ust. 5, jednak zostały one sformułowane tak wąsko, że w praktyce trudno wskazać podmiot prowadzący działalność gospodarczą, który w całości będzie z tego obowiązku zwolniony. Wystarczy bowiem, że firma, która zatrudnia mniej niż 250 osób, przetwarza dane osobowe „niesporadycznie”, by zwolnienie nie mogło być zastosowane. W największym skrócie: należy przyjąć, że każdy administrator danych osobowych powinien prowadzić rejestr czynności przetwarzania.

Biuro rachunkowe musi prowadzić dodatkowo inny dokument – rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu konkretnego administratora danych (art. 30 ust. 2 RODO).

Brak tych dokumentów zagrożony jest wysokimi karami pieniężnymi, niemniej są to jedynie tabele z określonymi polami informacyjnymi, ich prowadzenie nie powinno więc znacząco angażować czasowo ani być szczególnie trudne.

Umowy powierzenia przetwarzania

Klient biura rachunkowego, który przekazuje mu – w celu świadczenia usługi – dane swoich pracowników lub klientów, może ponosić przed PUODO odpowiedzialność administracyjną o charakterze finansowym za błędy, niedopatrzenia lub braki leżące po stronie biura rachunkowego, jako swojego procesora. Inaczej mówiąc, biuro rachunkowe działające jako procesor, ignorując wymogi RODO, naraża na odpowiedzialność finansową nie tylko siebie, ale także swojego klienta, który przekazał mu dane osobowe, których jest administratorem.

Dlatego nie dziwi presja klientów, by biuro rachunkowe w umowie powierzenia przetwarzania zobowiązało się do przestrzegania określonych procedur, zabezpieczeń oraz metod ich weryfikowania – klient będący administratorem zabezpiecza w ten sposób własny interes.

Umowy powierzenia przetwarzania zawarte jeszcze pod rządami ustawy (z 1997) o ochronie danych osobowych trzeba zaktualizować, ponieważ od 25.05.2018 minimalne warunki, jakim muszą one odpowiadać, określa art. 28 RODO, który jest znacznie bardziej rozbudowany niż art. 31 starej ustawy – wymaga np. określania w umowie powierzenia sposobu wykonywania inspekcji i audytów przez administratora u swojego procesora.

Generalnie zawarcie umowy powierzenia przetwarzania, zgodnej z art. 28 RODO, leży w interesie obu stron – zarówno klienta biura, który przekazuje dane innych osób, jak i samego biura rachunkowego.

Zgłaszanie naruszeń ochrony danych osobowych

Naruszenie danych osobowych to nie tylko wyciek danych, ale także naruszenie ich integralności lub poufności – jeżeli np. pracownik biura rachunkowego przez pomyłkę zniszczy lub zgubi dokumenty niezbędne do ustalenia wysokości wynagrodzenia pracowników klienta, dojdzie do naruszenia danych osobowych w postaci naruszenia ich dostępności. Każdy podmiot zobowiązany powinien przyjąć wewnętrzną procedurę dokumentowania takich naruszeń oraz ich klasyfikowania, ponieważ nie wszystkie trzeba zgłaszać do PUODO. Co więcej, obowiązek zgłoszenia naruszenia spoczywa na administratorze, a nie na procesorze – procesor powinien niezwłocznie poinformować administratora o naruszeniu, a dopiero ten powinien je zaklasyfikować i podjąć decyzję, czy powiadomi o nim PUODO, czy nie.

Szacowanie ryzyka

Od 25.05.2018 szczegółowych zasad zabezpieczania danych osobowych nie określają już powszechnie obowiązujące przepisy – RODO nakłada jedynie obowiązek stosowania zabezpieczeń odpowiednich do stwierdzonych poziomów ryzyka. Jak długie mają być hasła do służbowych komputerów, poczty elektronicznej, aplikacji i programów, jakie stosować szafki na dokumenty, jak postępować z kluczami do pomieszczeń lub mebli biurowych, czy pozwalać pracownikom na zabieranie dokumentów do domu? Na te pytania musi odpowiedzieć we własnym zakresie każdy podmiot zobowiązany. Niezależnie od podjętych decyzji trzeba jednak pamiętać o jednym – należy udokumentować, że ryzyko dla danych osobowych zostało oszacowane według powtarzalnej metodologii. Inaczej mówiąc, podmiot zobowiązany musi umieć uzasadnić, że przyjęte rozwiązania rzeczywiście są odpowiednie.

Karol Cieniak

rdbo

zobacz też w najnowszym wydaniu:

Rachunkowość i Podatki - grudzień 2018

Aktualności

Temat miesiąca

Podatki

VAT
CIT i PIT
Ryczałt ewidencjonowany

Księgi i ewidencje

Księgi rachunkowe
Księga przychodów i rozchodów

ZUS Przedsiębiorcy

Pracownicy

Prawo Pracy
Składki ZUS
Świadcznia pracownicze
Wynagrodzenia

Działalność gospodarcza

Biuro rachunkowe

Logowanie

email:

hasło:

 

 

Logowanie za pomocą emaila

Jeżeli nie pamiętasz hasła albo nie masz konta, to wyślemy na Twój email wiadomość weryfikującą. Po kliknięciu w link z emaila będziesz zalogowany na urządzeniu do chwili wylogowania.

email:

Klikając w poniższy link zgadzasz się na zapisanie podanych w formularzu danych i wykorzystywanie ich zgodnie z polityką przetwarzania danych dostępną w dokumencie ⇒Polityka przetwarzania danych osobowych (RODO)⇐

 

Logowanie do za pomocą emaila

Sprawdzanie danych....