0 0
dni
0 0
godz
0 0
min
0 0
sek

Audyt bezpieczeństwa ochrony danych w biurze rachunkowym - podstawa prawna

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Świadczenie określonych usług na rzecz klientów przez biuro rachunkowe jest bezpośrednio związane z przetwarzaniem danych osobowych przedsiębiorcy. Wybór instytucji obsługującej firmy pod kątem spełniania wymogów wskazanych w regulacjach RODO jest niesłychanie istotny, bowiem to podmiot udostępniający wspomniane dane jest ich administratorem. Wobec tego audyt bezpieczeństwa ochrony danych w biurze rachunkowym według przepisów jest możliwy do przeprowadzenia. Natomiast jakie zasady obowiązują w tym zakresie - o tym piszemy poniżej.

Audyt bezpieczeństwa ochrony danych w biurze rachunkowym – podstawa prawna

Na wstępie należy przywołać regulacje prawne określające zasady prowadzenia audytu (kontroli) bezpieczeństwa danych osobowych w podmiocie przetwarzającym. Chodzi w tym przypadku o Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1), które powszechnie jest określane mianem „RODO”.

Status prawny biura rachunkowego oraz administratora w świetle postanowień RODO

Zapisy RODO wskazują pewne definicje, które mają zastosowanie do klienta biura rachunkowego oraz samego biura. Oznacza to zatem, że przez administratora rozumieć należy osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W ujęciu praktycznym administratorem jest więc pracodawca, który zleca wykonywanie konkretnych czynności związanych z prowadzeniem firmy podmiotowi zewnętrznemu. Chodzi tutaj najczęściej o obsługę finansową lub kadrową. Tego typu działalność musi się wiązać z udostępnieniem przez przedsiębiorcę danych osobowych pracowników, czasami również kontrahentów.

Z kolei przez podmiot przetwarzający rozumie się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Podmiotem tym będzie więc biuro rachunkowe, które w ramach swej działalności świadczy usługi na rzecz klienta dotyczące księgowości, rozliczeń oraz kadr. Realizacja tych czynności wymaga dostępu do danych osobowych przekazanych przez administratora.

Umowa o powierzenie przetwarzania danych osobowych oraz wymogi uwzględniane przy wyborze biura rachunkowego

Jak wynika z art. 28 ust. 3 RODO, przetwarzanie danych osobowych przez biuro rachunkowe powinno być regulowane umową lub innym instrumentem prawnym, które podlegają prawu Unii Europejskiej (UE) lub prawu państwa członkowskiego. Oznacza to więc, że administrator danych (pracodawca) i podmiot przetwarzający (biuro rachunkowe) mogą skorzystać z umowy indywidualnej lub ze standardowych klauzul umownych, które zostały przyjęte bezpośrednio przez Komisję albo przez organ nadzorczy zgodnie z mechanizmem spójności, a następnie zaakceptowane przez Komisję.

Umowa lub inny akt prawny stanowiący podstawę prawną realizacji określonej usługi przez podmiot przetwarzający na rzecz administratora powinny mieć formę pisemną, w tym formę elektroniczną.

Art. 28 ust. 1 RODO wskazuje, jakie warunki musi spełniać podmiot przetwarzający – w omawianym przypadku biuro rachunkowe – aby administrator (pracodawca) mógł powierzyć wykonywanie usług wymagających udostępnienia danych osobowych.

Art. 28 ust. 1 RODO

„Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą”.

Postanowienia zawarte w przywołanym wyżej unormowaniu mają kluczowe znaczenie, określają bowiem zakres spraw, które powinny zostać objęte audytem ze strony administratora.

Rodzaj zabezpieczeń danych osobowych zależy od konkretnych uwarunkowań sformułowanych w art. 32 ust. 1 RODO. Co ciekawe, obowiązki w tym obszarze mają administrator i podmiot przetwarzający.

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, zarówno administrator, jak i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (art. 32 ust. 1 RODO zdanie wstępne).

Warto zaznaczyć, że biuro rachunkowe może korzystać z usług innego podmiotu przetwarzającego, ale tylko wówczas, gdy uzyska uprzednio szczegółową lub ogólną pisemną zgodę administratora (pracodawcy zlecającego usługę). W przypadku ogólnej pisemnej zgody biuro rachunkowe informuje pracodawcę o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Podstawa prawna oraz zasady przeprowadzania audytu ochrony bezpieczeństwa danych

Administrator i podmiot przetwarzający zawierają umowę powierzenia danych osobowych lub dokonują uzgodnień w ramach innego instrumentu prawnego. To właśnie w jednym z tych dokumentów należy zawrzeć postanowienia dotyczące zasad przeprowadzania audytów, w tym inspekcji.

Art. 28 ust. 3 lit. h RODO

„Umowa lub inny instrument prawny w sprawie powierzenia przez administratora danych osobowych podmiotowi przetwarzającemu stanowi, że wskazany podmiot udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich”.

Należy podkreślić, że na rodzaj i częstotliwość czynności kontrolnych przeprowadzanych przez administratora danych w biurze rachunkowym wpływa fakt posiadania określonych certyfikatów lub przyjęcia zasad ujętych w kodeksach postępowania. Jak wynika z art. 28 ust. 5 RODO, stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji może posłużyć za element wykazujący wywiązywanie się z obowiązków nałożonych przez RODO.

Przykład 1.
Pracodawca zawarł z biurem rachunkowym umowę, której przedmiotem jest świadczenie usług w zakresie obsługi kadrowo-księgowej. Wspomniane biuro może wykazać się zatwierdzonym mechanizmem certyfikacji. Dokument taki stanowi dla pracodawcy (administratora danych) znaczne ułatwienie, nie ma bowiem potrzeby dokonywania częstych audytów oraz inspekcji. W umowie zapisano zatem, że audyt ochrony bezpieczeństwa będzie realizowany raz w roku. Doraźne kontrole będą natomiast wdrażane w przypadku wystąpienia szczególnych okoliczności, np. awarii systemu zabezpieczeń czy ataków hakerskich.

Trzeba w tym miejscu zauważyć, że certyfikacja jest dobrowolna i podmiot przetwarzający nie musi jej posiadać. W takich wypadkach audyt oraz inspekcje doraźne mogą być wykonywane z większą częstotliwością.

Przykład 2.
Administrator danych osobowych postanowił skorzystać z usług biura rachunkowego w zakresie obsługi kadrowej oraz biznesowej (umowy z kontrahentami). Przedsiębiorca wybrał podmiot przetwarzający, który nie posiada certyfikacji i nie stosuje kodeksów postępowania. Mimo to biuro ma doskonałą reputację wśród klientów. W umowie powierzenia danych ustalono, że pierwszy audyt będzie realizowany jeszcze przed przekazaniem informacji przez administratora. Kolejne audyty, w tym inspekcje, będą się odbywały nie rzadziej niż raz na 6 miesięcy. Jednocześnie strony umowy postanowiły, że w razie zaistnienia nieprzewidzianych okoliczności przeprowadzenie audytu będzie możliwe doraźnie. Dotyczyć to może takich zdarzeń, jak zagrożenie utratą danych (np. wskutek ataku hakerskiego) czy groźba wycieku danych (m.in. w konsekwencji błędu ludzkiego).

Wymaga podkreślenia, że przepisy RODO pozostawiają stronom swobodę w zakresie częstotliwości audytów – jeżeli administrator i podmiot przetwarzający uznają, że poziom zabezpieczeń jest wystarczający, kontrole i inspekcje nie muszą być przeprowadzane często.

Audyt nie musi mieć ponadto osobistego charakteru – administrator może dokonać weryfikacji za pośrednictwem środków komunikacji na odległość, o ile istnieją takie możliwości techniczne, i działania kontrolne realizowane w tej formie pozwolą w satysfakcjonujący sposób ustalić, czy dane przekazane przez administratora są objęte ochroną na właściwym poziomie.

Administrator może także skierować do podmiotu przetwarzającego listę pytań dotyczących bezpieczeństwa ochrony danych, oznaczając jednocześnie termin, do którego będzie oczekiwał na przesłanie odpowiedzi obejmujących szczegółowe informacje.

Audyt może być realizowany osobiście przez administratora (pracodawcę) lub przez audytora upoważnionego przez administratora do przeprowadzania audytów i inspekcji – wynika wprost z art. 28 ust. 3 lit. h RODO.

Oznacza to, że administrator może wyznaczyć daną osobę do przeprowadzania czynności w ramach audytu. Z reguły jest to pracownik zajmujący się sprawami kadrowymi lub informatycznymi w firmie będącej klientem biura rachunkowego. Ważne jest w tym przypadku to, aby osoba oddelegowana do kontroli posiadała upoważnienie wystawione przez administratora oraz dysponowała wiedzą niezbędną do właściwej oceny sytuacji.

Zakres działań objętych audytem zawsze wynika z postanowień określonych w umowie powierzenia danych osobowych – ogólne ramy przedmiotowe w tym obszarze wyznaczają przepisy art. 28 ust. 1 i art. 32 ust. 1 RODO.

Audyt bezpieczeństwa ochrony danych w biurze rachunkowym – podsumowanie

Powierzenie przez administratora danych osobowych (np. pracodawcę) przetwarzania tych danych podmiotowi zewnętrznemu, jakim może być biuro rachunkowe, wiąże się z wyborem takiej instytucji, która gwarantuje wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Aby przekonać się o słuszności dokonanego wyboru, przedsiębiorca przeprowadza audyt w podmiocie przetwarzającym, który obowiązany jest udostępnić administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora realizację czynności kontrolnych.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów