RODO zagościło w Polsce już kilka lat temu, a mimo to wiele przedsiębiorstw wciąż ma problemy z prawidłowym wdrożeniem zaleceń unijnego ustawodawcy. Błędy w procedurze wprowadzającej instytucję ochrony danych osobowych zdarzają się wszędzie, również w biurach rachunkowych, a właśnie to one powinny dbać o dane osobowe w sposób szczególny. W końcu ich klienci powierzają im przeróżne dane swoich kontrahentów na rachunkach, fakturach i umowach. Pamiętać trzeba, że nawet najmniejsze niedopatrzenie lub pomyłka mogą spowodować, że ochrona danych osobowych w firmie będzie nieefektywna. Należy mieć na to szczególne względy, bowiem kary administracyjne mogą być naprawdę dotkliwe. Poniżej przedstawiamy najczęstsze błędy biur rachunkowych popełniane w ramach RODO.
Ochrona danych osobowych – czy wszystko zależy od administratora danych?
W kwestii przetwarzania danych osobowych najważniejszym podmiotem z całą pewnością pozostaje administrator danych. Jest to osoba lub jednostka, która ustala cele i sposoby takich czynności. Rolą administratora jest zapewnienie zastosowania w przedsiębiorstwie takich środków technicznych oraz organizacyjnych, które zagwarantują trwałą i pewną ochronę przetwarzanych w nim danych. Musi on zadbać o stworzenie zasad ochrony danych i nadzorować administrowanie nimi.
W praktyce administrator danych ma za zadanie przygotować i prowadzić dokumentację dotyczącą przetwarzania danych osobowych. Składają się na nią w szczególności:
- polityka bezpieczeństwa (polityka prywatności),
- instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych,
- upoważnienie do przetwarzania danych osobowych,
- oświadczenie o zachowaniu danych osobowych w poufności,
- ewidencja osób upoważnionych do przetwarzania danych osobowych,
- rejestr zbiorów danych osobowych.
Czy jednak wszystko zależy od pracy administratora danych? Oczywiście, że nie. Bez prawidłowego zachowania pracowników biura rachunkowego prawidłowa ochrona danych osobowych będzie wręcz niemożliwa. Stąd też nie tylko na administratorze leży ciężar odpowiedzialności za informacje o klientach biura – dużo zależy również od samych księgowych.
Ochrona danych osobowych - najczęstsze błędy w biurze rachunkowym
Brak przeszkolenia pracowników biura rachunkowego
Pierwszym i zarazem najważniejszym błędem, jakie popełniają biura rachunkowe, jest zbagatelizowanie RODO. Firma wyznacza administratora danych, bo takowego musi posiadać, i to wszystko. Jest to zauważalny, duży problem.
Przede wszystkim każdy z pracowników, nie tylko administrator danych, powinien zostać przeszkolony z procedur związanych z ochroną danych osobowych. Łańcuch jest tak mocny, jak jego najsłabsze ogniwo. Nie inaczej jest w omawianej kwestii. Nawet jeżeli biuro zatrudni najlepszego inspektora danych osobowych, na nic się to zda, jeżeli jeden z pracowników przedsiębiorstwa – nieświadomy – wyniesie dokumenty z wrażliwymi danymi osobowymi i zostawi je w miejscu publicznym.
Jedynie dostateczna wiedza o wymaganiach i zaleceniach RODO zdobyta przez wszystkich pracowników przedsiębiorstwa zapewni optymalne bezpieczeństwo.
Brak wprowadzenia dokumentacji i zapoznania z nią pracowników
Aby jednak pracownicy mogli działać w zgodzie z procedurami RODO, muszą być z nimi zapoznani. Nie pomoże tutaj nawet najlepsze przeszkolenie, jeśli nie zostanie im przekazana obowiązująca dokumentacja.
Dokumentacja ochrony danych osobowych będzie mogła być właściwie stosowana, o ile zostanie oficjalnie wprowadzona. Bez formalnego jej wdrożenia pracownicy biura mogą nie chcieć brać na siebie dodatkowej odpowiedzialności i uczyć się skomplikowanych procedur. Należy również pamiętać, że bez odpowiedniego wprowadzenia dokumentacji pracownik, naruszając RODO, będzie mógł uwolnić się od odpowiedzialności, jeśli udowodni, że administrator danych nie wdrożył dokumentacji. W takich sytuacjach cała odpowiedzialność spada na administratora danych.
Nieaktualizowanie dokumentacji
Sporządzona i wdrożona dokumentacja nie będzie wieczna. Nie należy polegać na procedurach sprzed kilku lat, trzeba je stale aktualizować. Przepisy o ochronie danych osobowych zmieniają się dość często, nowelizując istniejące rozwiązania lub wprowadzając całkiem nowe obowiązki.
Prócz zmian prawnych dochodzą również zmiany faktyczne w samym biurze rachunkowym. Wprowadzenie nowego system informatycznego, zakup nowych sprzętów elektronicznych, modyfikacja systemu zabezpieczeń pomieszczeń czy pojawienie się nowych stanowisk pracy. Wszystko to sprawia, że dotychczasowa dokumentacja traci swoją przydatność. Może nie w całości, ale w jakiejś części na pewno. Stąd też istotne jest, aby administrator danych trzymał rękę na pulsie i regularnie aktualizował wdrożone systemy i procedury RODO.
Skrzynka e-mail – stamtąd najczęściej wyciekają dane
Częstą luką w ochronie danych osobowych klientów biura rachunkowego są skrzynki e-mail pracowników. Natomiast bardzo częstą praktyką jest przesyłanie drogą mailową dokumentów, takich jak faktury czy umowy, zawierających dane osobowe czy inne poufne informacje, bez ich szyfrowania. Wystarczy niewielki błąd, jak literówka w adresie czy automatyczne uzupełnienie pola odbiorcy, by wiadomość z dokumentacją trafiła w niepowołane ręce. Wrażliwe dane powinny być zawsze zabezpieczane hasłem. Nie należy wysyłać umów w prostej formie np. pliku .doc lub .pdf, lepiej taki plik skompresować (.rar, .zip) i zabezpieczyć hasłem, a hasło można przesłać SMS-em lub w innej, oddzielnej wiadomości.
Problemem mogą okazać się także grupowe korespondencje e-mail. Wysyłając wiadomości do wielu adresatów, nadawcy często wybierają opcję „DO”, zamiast „DW”. Takie zastosowanie wiadomości masowej sprawia, że każdy z adresatów jest w stanie zobaczyć, do kogo jeszcze nadawca wysłał maila. Adresy e-mail również mogą stanowić dane osobowe (jeśli np. zawierają imię i nazwisko) – w takich przypadkach będzie to znaczące naruszenie przepisów RODO.
Wynoszenie danych z biura
Problematyczne może się okazać „zabieranie pracy do domu”. Wiąże się to z pracą zdalną albo taką „po godzinach”. Często pracownicy biura zabierają teczki lub segregatory z danymi klientów i pracują nad nimi w miejscach publicznych, np. kawiarniach. Nie jest to nazbyt dobry pomysł. Po pierwsze, dokumenty mogą zostać zagubione lub po prostu pozostawione przy stoliku. Po drugie, w lokalach otwartych dla każdego istnieje ryzyko, że osoby postronne zajrzą pracownikowi biura „przez ramię” i zapoznają się z treścią ważnych dokumentów firmy. Wynoszenie danych z biura może być zatem bardzo ryzykowne.
Niedbanie o hasła dostępu
Hasła dostępu do systemów nie zostały stworzone wyłącznie po to, by utrudniać pracę pracownikom biurowym. Ich zadaniem jest również zabezpieczanie danych przed dostępem do nich osób niepożądanych. Samo wymyślenie hasła i ustawienie go w programie to jeszcze nie wszystko, trzeba dodatkowo je zapamiętać. I to właśnie rodzi problemy. Pracownicy bardzo często ustawiają bardzo proste hasła typu „biuro1”. Tak skonstruowany ciąg znaków raczej nie pomoże, jeśli za system weźmie się osoba, która chociaż trochę ma pojęcie o „hakowaniu”.
Z drugiej strony bardzo rozbudowane hasło również może być problematyczne. Jego zapamiętanie może okazać się niezwykle trudne, przez co pracownik musi sobie w tym pomóc. Pomoc ta z kolei polega na zapisaniu hasła na karteczce, która następnie umieszcza się pod klawiaturą lub po prostu przykleja do monitora komputera. Pomysł raczej średni.
Jeszcze innym przypadkiem związanym z zabezpieczeniem systemów hasłem jest przekazywanie ich innym pracownikom. Dzieje się tak często w sytuacjach związanych z nieobecnością pracownika, gdy potrzebny jest dostęp do danych, które ten przetwarza. Tworzy to zagrożenie analogiczne jak przy zapisywaniu haseł w widocznym miejscu na stanowisku pracy. Nie wiadomo kto oraz ile osób uzyska dostęp do zabezpieczonego systemu. Jeśli zaistnieje nagła konieczność dostępu do bazy, do których nikt poza nieobecnym pracownikiem nie ma dostępu, należy przydzielić dostęp tymczasowy innemu pracownikowi. Lepiej wystrzegać się przekazywania haseł między pracownikami.
Przekazywanie danych niezidentyfikowanym osobom
Może się zdarzyć, że pracownik biura otrzyma zapytanie dotyczące danych klienta lub kontrahenta od nieznanej osoby. W takich sytuacjach wypada w pierwszej kolejności sprawdzić, z kim mamy do czynienia. Niestety jednak bardzo często pracownicy bez przeprowadzania uwierzytelnienia rozmówcy przekazują mu telefonicznie lub mailowo chronione dane. Należy pamiętać, że w każdym przypadku, gdy nie ma się pewności co do tożsamości rozmówcy, należy sprawdzić jego dane, a jeśli nie ma takiej możliwości, lepiej poprosić o przesłanie oficjalnego zapytania w formie pisemnej.
Nieużywanie niszczarek
Wiele biur nadal nie weszło w XXI wiek i nie zaczęło korzystać z urządzeń do niszczenia dokumentów. Zamiast tego wciąż wybiera śmietnik. Wyrzucanie dokumentów do śmietnika bez ich dokładnego zniszczenia jest wielkim błędem. Trzeba zdawać sobie sprawę, że dane osobowe są w dzisiejszych czasach naprawdę cenne. Wystarczy imię, nazwisko i PESEL, aby w niektórych instytucjach finansowych otrzymać pożyczkę. W związku z tym istnieją nie tylko pojedyncze osoby, ale całe firmy, które przeszukują kontenery ustawione w pobliżu biurowców w celu uzyskania niezabezpieczonych danych osobowych. Nieużywanie niszczarek to poważny błąd, który może kosztować biuro rachunkowe bardzo wiele – kary finansowe za nieprzestrzeganie RODO są naprawdę wysokie.
Najczęstsze błędy biur rachunkowych – podsumowanie
RODO to w dalszym ciągu akt prawny, o którym niektórzy chyba nie słyszeli. Wciąż działają firmy, w których nieistniejąca polityka prywatności, niezabezpieczone komputery, brak niszczarek czy wynoszenie z firmy całych segregatorów z danymi klientów stanowią normę. Są to błędy, które mogą biuro rachunkowe wiele kosztować. Dane osobowe klientów i kontrahentów przedsiębiorstwa są w cenie. Niewdrożenie zasad RODO lub dokonanie tego nieprawidłowo może okazać się opłakane w skutkach. Wyciek danych może poskutkować nie tylko wysokimi karami administracyjnymi, ale także utratą prestiżu firmy oraz zaufania klientów.