Poradnik Przedsiębiorcy

Powered by

wFirma.pl

Poznaj
niezbędne narzędzia
do zarządzania
Twoją firmą!

Dostępne
na wszystkie
platformy

Apple Windows Android BlackBerry

Ochrona danych osobowych w biurze rachunkowym (cz. 4) - Na jakich zbiorach danych działa biuro rachunkowe?

Prowadzenie biura rachunkowego jest jedną z tych działalności, których specyfika opiera się na pracy z danymi poufnymi, osobowymi, a często też z wrażliwymi. Biuro rachunkowe przejmuje od podmiotów gospodarczych obowiązki związane z prowadzeniem księgowości, kadr oraz kontaktów z Urzędem Skarbowym i Zakładem Ubezpieczeń Społecznych. Dodatkowo takie podmioty świadczą klientom usługi doradcze w zakresie pomocy w wypełnianiu wniosków kredytowych, o dotacje unijne i samorządowe, czy pisaniu biznesplanów. Na każdym etapie swojej pracy księgowa i kadrowa stykają się z danymi osobowymi.

Dlaczego tak ważna jest identyfikacja zbiorów danych osobowych?

Biuro rachunkowe jako podmiot przetwarzający dane osobowe jest zobowiązane do odpowiedniego zabezpieczenia danych osobowych swoich klientów, zgodnie z wymaganiami określonymi w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Rozporządzenie to określa zakres i sposób prowadzenia dokumentacji dotyczącej prawa do przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające odpowiednią do zagrożeń ochronę tych informacji.

Z rozporządzenia wynikają obowiązki:

  • opracowania i wdrożenia Polityki Bezpieczeństwa, Instrukcji Zarządzania Systemem Informatycznym, Polityki Kluczy;

  • wystawienia pracownikom imiennego upoważnienia do przetwarzania danych osobowych klientów biura;

  • prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych;

  • zapewnienia odpowiednich środków technicznych i organizacyjnych gwarantujących bezpieczeństwo powierzonych danych osobowych;

  • ograniczenia osobom nieupoważnionym dostępu do przetwarzanych danych osobowych.

Podmiot powierzający przetwarzanie danych do biura rachunkowego (klient) pozostaje Administratorem Danych Osobowych.

Polityka bezpieczeństwa powinna zawierać w szczególności:

    • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,

    • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
    • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
    • sposób przepływu danych pomiędzy poszczególnymi systemami,
    • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności,
    • integralność i rozliczalność przetwarzanych danych.

Na jakich zbiorach danych pracuje biuro rachunkowe?

W myśl art. 43 ust. 1 pkt. 4, 8 z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, a także przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej.

Zbiory danych klientów, powierzonych do przetwarzania biuru rachunkowemu

Najczęściej wyróżniamy następujące zbiory:

Zbiór danych kontrahentów klienta:

    • faktury,

    • rachunki,

    • umowy,

    • inne dokumenty sprzedaży/zakupu.

Zbiór danych pracowników i zleceniobiorców klienta:

    • dane osobowe pracowników,

    • dane osobowe zleceniobiorców i wykonawców,

    • dokumentacja ubezpieczeniowa ZUS.

Zbiór danych w postaci dokumentów księgowych klienta:

    • dziennik,

    • księgi,

    • sprawozdania finansowe,

    • sprawozdania GUS,

    • deklaracje podatkowe,

    • rejestry VAT,

    • dodatkowe ewidencje księgowe.

Zbiór danych klientów biura rachunkowego

Przykładowo są to:

  • umowy,

  • faktury,

  • upoważnienia.

Dane osobowe pracowników i zleceniobiorców biura rachunkowego

Przykładowo:

  • PESEL,

  • imię (imiona) i nazwisko,

  • nazwisko rodowe,

  • data i miejsce urodzenia,

  • płeć,

  • adres stały,

  • dowód osobisty (seria i nr, wydany przez, data wydania),

  • imię ojca, imię matki,

  • stan cywilny i rodzinny,

  • stopień niepełnosprawności,

  • obywatelstwo,

  • wykształcenie,

  • staż pracy, historia pracy,

  • wysokość wynagrodzenia,

  • zajęcia komornicze,

  • nieobecności w pracy, informacje o stanie zdrowia

Polecamy

Czy odsetki w obrocie gospodarczym się przedawniają?

Rejestr korespondencji wychodzącej i przychodzącej

Przykładowo:

  • data otrzymania/wysyłki,

  • numer przesyłki,

  • adresat/nadawca,

  • adres,

  • podpis osoby odbierającej/wysyłającej.

Rejestr wejść i wyjść

Przykładowo:

  • data i godzina wejścia/wyjścia,

  • imię i nazwisko,

  • stanowisko,

  • własnoręczny podpis.

Zbiór marketingowy

Przykładowo:

  • imię i nazwisko,

  • adres mailowy,

  • miejscowość,

  • forma prowadzonej działalności,

  • branża,

  • wysokość rocznych obrotów,

  • wiek.

Zbiór danych do celów marketingowych będzie podlegał obowiązkowi rejestracji w GIODO, gdyż nie spełnia ustawowych przesłanek zwolnienia z tego obowiązku. Dane osobowe zbierane do celów marketingowych są przetwarzane w określonym celu marketingu produktów i usług. Stanowią odrębny zbiór.

Zidentyfikowane zbiory danych zawierające dane osobowe można odnieść do programów, w których są przetwarzane, tworząc kolejny obowiązkowy punkt Polityki Bezpieczeństwa Informacji, czyli opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.