Poradnik Przedsiębiorcy

Jak powinna wyglądać ochrona danych osobowych w biurach rachunkowych?

Mimo że Rozporządzenie o ochronie Danych Osobowych (RODO) obowiązuje już od pewnego czasu (25 maja 2018 r.), to zagadnienie ochrony danych wciąż budzi wiele wątpliwości. O czym w tym zakresie muszą pamiętać właściciele biur rachunkowych, którzy dopiero rozpoczynają działalność? Kiedy biuro rachunkowe jest administratorem i podmiotem przetwarzającym dane osobowe? Sprawdzamy, jak powinna wyglądać ochrona danych osobowych w biurach rachunkowych.

Ochrona danych osobowych w biurach rachunkowych

Działalność biur rachunkowych polega na prowadzeniu ksiąg rachunkowych powierzonych przez klientów lub księgowości uproszczonej na KPiR lub ryczałcie. Niektóre biura oferują kompleksową obsługę i prowadzą również sprawy kadrowo-płacowe, uzyskując tym samym dostęp do danych wrażliwych, np. dokumentacji medycznej.

Aby zapewnić sprawną obsługę swoim klientom, biuro rachunkowe może zatrudnić choćby pracowników merytorycznych, a więc pełnić rolę pracodawcy. Wówczas występuje ono w podwójnej roli – jako:

  • Administrator Danych Osobowych (ADO). O biurze rachunkowym w roli administratora danych osobowych mówi się m.in. wówczas, gdy zatrudnia ono pracowników i przetwarza ich dane osobowe.

  • Podmiot przetwarzający dane osobowe (procesor). Pracownicy biura rachunkowego pracują z dostarczonymi przez klienta dokumentami, tj. fakturami czy umowami, które w treści mogą zawierać dane osobowe. Biuro rachunkowe przetwarza zatem dane osobowe.

W rezultacie nawet biuro rachunkowe, które nie zatrudnia pracowników, musi zadbać o to, aby powierzone mu dane osobowe były właściwie chronione. To z kolei wiąże się z koniecznością podpisania stosownych umów z klientami i wdrożenia zabezpieczeń – tak, by dane rzeczywiście pozostawały bezpieczne.

Jakie obowiązki ma biuro rachunkowe jako administrator danych osobowych?

Biuro rachunkowe jako administrator danych ma konkretne obowiązki. Ma to związek z przyznaniem osobom fizycznym m.in. prawa wglądu do ich danych. W rezultacie pracownicy biura rachunkowego (bez względu na rodzaj podpisanej umowy) oraz przedsiębiorcy prowadzący jednoosobową działalność gospodarczą (osoby fizyczne) mają prawo:

  • żądać od administratora sprostowania tych danych osobowych, które są nieprawidłowe (art. 16 RODO);

  • do usunięcia danych (tzw. prawo do bycia zapomnianym). Administrator ma obowiązek usunąć dane osobowe, jeżeli nie są one już niezbędne do celów, w których zostały zebrane (art. 17 RODO);

  • do ograniczenia przetwarzania danych osobowych. To prawo przysługuje m.in. w sytuacji, gdy przetwarzanie danych jest niezgodne z prawem, ale osoba, której one dotyczą, sprzeciwia się ich usunięciu (art. 18 RODO).

Aby móc wystąpić z jednym z powyższych żądań, osoba fizyczna musi być poinformowana m.in. o tym, kto jest administratorem danych. Dla biur rachunkowych – jako administratorów danych osobowych – oznacza to wywiązanie się z obowiązku informacyjnego. Na czym polega dopełnienie takiego obowiązku w praktyce?

Regułą jest, że biura rachunkowe opracowują dokument, który wręczają osobom fizycznym, podejmując z nimi współpracę. Z takiego dokumentu np. przyszły pracownik może dowiedzieć się, kto jest administratorem danych i poznać swoje prawa.

Dlaczego biuro rachunkowe powinno podpisać umowę powierzenia przetwarzania danych osobowych?

Odrębną kwestią jest przetwarzanie przez pracowników biura rachunkowego danych osobowych powierzonych przez klientów. Jeszcze kilka lat temu osoby uprawnione przez biuro rachunkowe do zawierania umów z firmami podpisywały jedynie umowę o powierzeniu prowadzenia np. podatkowej księgi przychodów i rozchodów. Dziś to za mało – konieczne jest jeszcze podpisanie umowy powierzenia danych.

RODO (a precyzując art. 28) wskazuje, jakie dane musi zawierać umowa powierzenia przetwarzania danych osobowych – są to:

  • podmiot przetwarzający i administrator. Należy wskazać strony zawierające umowę o powierzeniu danych;

  • przedmiot przetwarzania - w tym przypadku przedmiot przetwarzania jest ściśle związany z zawartą między stronami umową;

  • czas przetwarzania. Z reguły pokrywa się on z czasem wykonywania umowy;

  • charakter i cel przetwarzania. Należy określić m.in. częstotliwość i wskazać, po co podmiot przetwarzający będzie przetwarzał dane;

  • rodzaj danych osobowych oraz kategorii osób, których dane dotyczą. Mowa tu np. o danych zwykłych lub danych wrażliwych;

  • obowiązki i prawa administratora. W tym punkcie należy sprecyzować m.in. podstawowy obowiązek administratora, czyli sposób przekazywania danych.

Ze względu na swobodę umów obowiązującą w Polsce strony mogą umieścić w treści dokumentu także inne, istotne dla nich postanowienia. 

Jakie zabezpieczenia organizacyjne i techniczne powinno wdrożyć biuro rachunkowe?

Przetwarzanie danych pracowniczych czy pozyskanych przez klientów rodzi słuszne pytanie o ich bezpieczeństwo. W tym przypadku RODO wyznacza jedynie kierunek, z kolei decyzja o wdrożeniu konkretnych środków pozostaje w gestii osób zarządzających organizacją przetwarzającą dane osobowe. Najważniejsze, by te zabezpieczenia były skuteczne. Standardowo stosuje się:

  • zabezpieczenia organizacyjne. To wszelkiego rodzaju instrukcje i procedury, zgodnie z którymi postępują pracownicy. Ich przestrzeganie ma zapewnić, że np. dane nie zostaną przypadkowo przekazane w ręce osoby niepowołanej;

  • zabezpieczenia techniczne. To określony sprzęt i oprogramowanie, z którego korzysta organizacja. Przykładowo biura rachunkowe będą korzystać zarówno z zabezpieczeń informatycznych (np. programy antywirusowe, klucze szyfrujące), jak i niszczarek o odpowiednim stopniu tajności czy szaf zamykanych na zamki.

Współczesne biura rachunkowe z reguły przechowują dane w różnych formach – zarówno elektronicznej, jak i papierowej. W rezultacie konieczne jest zastosowanie różnych zabezpieczeń technicznych. W wielu biurach standardem jest, że nad ochroną danych w formie elektronicznej czuwa zewnętrzna firma specjalizująca się w IT.

Ponieważ w pracy z danymi osobowymi najsłabszym ogniwem jest człowiek, biuro rachunkowe może też organizować systematyczne szkolenia dla pracowników mających kontakt z dokumentacją klientów.

Warto zadbać o odpowiedni system księgowy zgodny z RODO, który umożliwi szyfrowaną transmisję danych, zabezpieczenie dostępu dwuetapowym logowaniem, czy tworzenie kopii bezpieczeństwa danych przechowywanej na drugim serwerze. 

Dlaczego biuro rachunkowe nie może pozwolić sobie na zbagatelizowanie kwestii ochrony danych?

Motywacją do zgłębienia zagadnień związanych z ochroną danych osobowych powinny być nie tylko kary finansowe (kara może wynieść nawet 20 mln euro lub 4 proc. obrotu) grożące podmiotom zaniedbującym swoje obowiązki w tym zakresie. Klienci biur rachunkowych to w głównej mierze podmioty gospodarcze, które same przetwarzają dane osobowe i mają świadomość funkcjonowania RODO a więc ochrona danych osobowych w biurach rachunkowych rozkłada się na kilku uczestników tego procesu.

Biura rachunkowe, które potraktują poważnie kwestie ochrony danych osobowych, mogą zyskać przewagę nad swoją konkurencją. Dla klientów korzystających z ich oferty cena często jest kwestią drugorzędną. Dlaczego? Z jednej strony usługi biur rachunkowych są tańsze niż tworzenie w firmie działu księgowości, z drugiej zaś powierza się im wrażliwy obszar działalności – wiedzę o finansach i kontaktach. To z kolei powoduje, że priorytetem staje się jakość obsługi, dyskrecja i bezpieczeństwo danych.