Poradnik Przedsiębiorcy

Powered by

wFirma.pl

Poznaj
niezbędne narzędzia
do zarządzania
Twoją firmą!

Dostępne
na wszystkie
platformy

Apple Windows Android BlackBerry

Ochrona danych osobowych w biurze rachunkowym (cz. 7) - Programy komputerowe online a umowa powierzenia przetwarzania danych osobowych

Biura rachunkowe muszą mieć na uwadze, że korzystając z usług zewnętrznych podmiotów, którym udostępniają posiadane dane osobowe, powinny również zadbać o umowy powierzenia przetwarzania danych. Należy bowiem pamiętać, że przetwarzaniem danych jest już samo ich gromadzenie.

Umowa powierzenia przetwarzania osobowych a dostawcy usług hostingowych i programistycznych

Grupą podmiotów, z którymi biuro rachunkowe powinno podpisać umowy powierzenia są przede wszystkim:

  • firmy dostarczające programy księgowe, kadrowe, magazynowe, CRM, rozliczeniowe on-line;
  • firmy hostingowe wynajmujące powierzchnię serwerów, na których przechowywane są dane biura rachunkowego;
  • firmy zobowiązujące się do wykonania i przechowywania kopii zapasowych tzw. backupów.  

Dostawcy usług hostingowych czy też oprogramowania on-line będą zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych przetwarzać dane osobowe, w szczególności w zakresie utrwalania, przechowywania i udostępniania. W związku z powyższym biuro rachunkowe, korzystając z usług podmiotów zewnętrznych o wskazanym charakterze powinno zadbać o stworzenie i podpisanie umowy powierzenia przetwarzania danych osobowych.  

W przypadku wyżej wymienionych podmiotów zastosowanie będą miały przepisy Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, które wykluczają przyjęcie odpowiedzialności za treść tych danych. Nie ponosi odpowiedzialności za przechowywane dane również ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę, nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.

Jednak wracając do ustawy o ochronie danych osobowych, umowy powierzenia będą konieczne z tym, że zgodnie z powyższym podmiot, któremu powierzono dane w tym przypadku nie będzie odpowiadał za ich merytoryczną poprawność czy legalność.

Umowa powierzenia przetwarzania danych osobowych to obowiązek administratora!

Należy pamiętać, że przed GIODO odpowiedzialnym w zakresie ochrony danych osobowych jest ich administrator. A administratorem nawet po podpisaniu umowy o powierzeniu przetwarzania danych pozostaje biuro rachunkowe. Jednak ustawa nakłada również przyjęcie odpowiedzialności przez usługodawcę czyli podmiot, który przyjął na siebie czynności związane z przetwarzaniem danych osobowych.

W związku z powyższym, podejmując współpracę z firmami dostarczającymi oprogramowanie, w szczególności programy księgowe on-line czy też dostawców serwerów istotne jest zadbanie o umowy powierzenia przetwarzania danych osobowych.

Programy księgowe on-line - rozwiązanie w ochronie danych osobowych

Ustawa o ochronie danych osobowych nakłada na prowadzących biura rachunkowe szereg obowiązków związanych z zachowaniem bezpieczeństwa danych osobowych, zarówno tych należących bezpośrednio do biura, jak i tych powierzonych do przetwarzania w biurze od samych klientów. Oprócz kwestii organizacyjnych, wysokie wymagania stawia się przetwarzaniu danych w systemach informatycznych - a kto w dzisiejszych czasach nie używa w biurze rachunkowym komputerów?

Środki bezpieczeństwa przetwarzania danych w systemie informatycznym

Biura rachunkowe korzystające z systemów informatycznych dla celów przetwarzania danych osobowych (czyli w praktyce każde biuro, które korzysta z księgowych lub innych niededykowanych programów komputerowych) podlegają Rozporządzeniu ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Przepisy nakładają na administratorów danych korzystających z systemów informatycznych przy ich przetwarzaniu obowiązek prowadzenia dodatkowej dokumentacji, jaką jest np. Instrukcja zarządzania systemem informatycznym, ale również i stosowania technicznych środków zapewniających bezpieczeństwo. Wśród nich wyróżnia się m.in. konieczność:

  • zmiany haseł w określonym odstępie czasu lub stosowania haseł dwuskładnikowych,
  • tworzenia kopii zapasowych systemu (tzw. backupy - kopie bezpieczeństwa),
  • przechowywania kopii bezpieczeństwa w miejscu innym niż to, w którym następuje przetwarzanie danych.

Spełnienie powyższych wymagań związane jest niejednokrotnie z poniesieniem dodatkowych nakładów na infrastrukturę zapewniającą bezpieczeństwo. Część z obowiązków można przenieść na podmiot dostarczający oprogramowanie. Rzetelne firmy udostępniające możliwość korzystania z programów księgowych on-line dostosowały swój system do wymogów GIODO i umożliwiają klientom podpisanie umów powierzenia, które to przenoszą częściowo wymagania organizacyjne oraz techniczne i odpowiedzialność za bezpieczeństwo danych osobowych na sprzedawcę programu.

Programy komputerowe nieakceptowane przez GIODO

Wciąż jeszcze w niektórych biurach rachunkowych korzysta się ze “starego” oprogramowania, czy też ogólnie dostępnych, darmowych poczt e-mail, które nie spełniają wymogów ustawy o ochronie danych osobowych, chociażby z uwagi na to, że są prześwietlane w celu wypracowania profilu użytkownika danego konta oraz jego “znajomych”. Systemy takie jak popularny excel czy word nie posiadają w stałych funkcjach opcji trwałego zapisywania identyfikatora użytkownika wprowadzającego daną zmianę. Tym samym nie spełniają założeń rozporządzenia i nie będą akceptowane w razie kontroli przez GIODO.

Przy wyborze oprogramowania komputerowego, jakie będzie używane przez biuro rachunkowe, ale także i poczty e-mail należy dokładnie “prześwietlić” dostawcę. To czy spełnia on wymagania ustawy o ochronie danych osobowych jest dla biura kluczową kwestią. W razie kontroli GIODO bada bowiem, komu dane są powierzane i czy podmiot, któremu powierzono dane wywiązuje się z wymagań w zakresie ich ochrony.