Poradnik Przedsiębiorcy

Ochrona danych osobowych w biurze rachunkowym (cz. 1) - Czym jest ochrona danych osobowych?

Ochrona danych osobowych jest tematem podejmowanym przez różne instytucje już od dawna, jednak dopiero obecnie zagadnienie to podnosi się do coraz wyższej rangi. Zwiększa się świadomość społeczeństwa, które coraz częściej zdaje się dostrzegać konieczność chronienia swoich jak i powierzonych danych. Tym bardziej, że za nieroztropność w tej kwestii przyjdzie zapłacić wysokie kary, a Generalny Inspektor Ochrony Danych Osobowych (GIODO) zdaje się coraz dokładniej i szerzej badać istniejące na rynku podmioty.

Ochrona danych osobowych w biurze rachunkowym

Biura rachunkowe w ramach swojej działalności, będąc tego bardziej lub mniej świadome, przetwarzają dane osobowe, w związku z czym powinny zawrzeć ze swoimi klientami umowę o powierzeniu danych osobowych. Regulacje w tym zakresie obowiązują począwszy od 1997 r. i wciąż obowiązują zgodnie z RODO, jednak dotychczas nie były respektowane przez większość podmiotów przetwarzających dane osobowe. Większość z nich najzwyczajniej nie jest świadoma swoich obowiązków w tym zakresie, w związku z czym nie są one dopełniane.

Dlatego biura rachunkowe powinny pamiętać, że w sytuacji gdy zajdzie podejrzenie przestępstwa w zakresie danych, Urząd Ochrony Danych Osobowych (dawniej GIODO) przekaże informacje do prokuratury. Wówczas należy liczyć się ze srogimi karami (do 10 mln EURO). Prezes Urzędu Ochrony Danych Osobowych (dawniej: Generalny Inspektor Ochrony Danych Osobowych) może również zawiadomić organy ścigania i popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie popełnienia przestępstwa. Organy ścigania mogą nałożyć karę pozbawienia wolności za nielegalne przetwarzanie danych osobowych. Warto więc, aby właściciele biur rachunkowych zadbali o wprowadzenie szczegółowych procedur w tym zakresie, zarówno w sferze dokumentacyjnej, jak i w sferze zabezpieczeń danych. Na początek sugerujemy zapoznanie się z kilkoma podstawowymi pojęciami.

Czym są dane osobowe?

Przepisy o ochronie danych osobowych dość ogólnie określają, co należy rozumieć pod pojęciem danych osobowych. Zgodnie z treścią jej art. 4 rozporządzenia unijnego o ochronie danych osobowych (RODO) danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Co ważne, osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Z powyżej przytoczonych regulacji  nie wynika, jakie konkretne informacje będą stanowiły dane osobowe. Niekiedy za dane osobowe należy uznać pojedyncze informacje, jak np. PESEL. Jednak nie zawsze, bowiem pojedyncze dane o zbyt dużym stopniu ogólności czy szyfrowaniu nie będą stanowiły danej osobowej. Przy czym informacja ta będzie mogła już stanowić dane osobowe wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji pozwolą bez większych trudności odnieść je do konkretnej osoby.

Ustawodawca nie określił zamkniętego katalogu informacji uważanych za dane osobowe. Dlatego też w wielu przypadkach koniecznym jest dokonanie indywidualnej oceny, czy dana informacja jest daną osobową, czy też nie.

Czym są zbiory danych osobowych?

Definicja zbioru danych osobowych została uregulowana w art. 4 pkt 6 RODO. Jak wynika z jego treści, zbiorem danych osobowych jest każdy posiadający strukturę zestaw danych o charakterze osobowym,  czyli każdy uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

Ciekawostka

Zestaw danych osobowych stanowią także aplikacje składane przez przyszłych pracowników, do celów rekrutacji.

Czym jest przetwarzanie danych osobowych?

Istotnym jest też wyjaśnienie pojęcia przetwarzania danych osobowych. Jak stanowią przepisy, rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, a zwłaszcza te, które realizuje się w systemach informatycznych. A zatem przetwarzanie danych osobowych to nie tylko ich używanie, ale również i samo zbieranie oraz przechowywanie. Należy również mieć na uwadze, że przetwarzanie danych osobowych jest dopuszczalne wyłącznie we wskazanych przez przepisy okolicznościach (art. 6 ust. 1). Podmiot podejmujący się przetwarzania danych osobowych musi prezentować konkretny i uzasadniony gospodarczo cel.

Czym jest ochrona danych osobowych?

Ochrona danych osobowych polega na wdrożeniu (przez podmiot nimi dysponujący (zarówno pojedynczymi informacjami stanowiącymi daną osobową, jak również całymi zbiorami danych osobowych) skutecznej realizacji zasad ochrony danych poprzez minimalizację danych, oraz wdrożenie niezbędnych zabezpieczeń czyli zastosowanie środków techniczne i organizacyjnych mających na celu ochronę przetwarzanych danych osobowych.