Ochrona danych osobowych w biurze rachunkowym (cz. 4) - Na jakich zbiorach danych działa biuro rachunkowe?

Prowadzenie biura rachunkowego jest jedną z tych działalności, których specyfika opiera się na pracy z danymi poufnymi, osobowymi, a często też z wrażliwymi. Biuro rachunkowe przejmuje od podmiotów gospodarczych obowiązki związane z prowadzeniem księgowości, kadr oraz kontaktów z Urzędem Skarbowym i Zakładem Ubezpieczeń Społecznych. Dodatkowo takie podmioty świadczą klientom usługi doradcze w zakresie pomocy w wypełnianiu wniosków kredytowych, o dotacje unijne i samorządowe, czy pisaniu biznesplanów. Na każdym etapie swojej pracy księgowa i kadrowa stykają się z danymi osobowymi.

Dlaczego tak ważna jest identyfikacja zbiorów danych osobowych?

Biuro rachunkowe jako podmiot przetwarzający dane osobowe jest zobowiązane do odpowiedniego zabezpieczenia danych osobowych swoich klientów, zgodnie z wymaganiami określonymi w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Rozporządzenie to określa zakres i sposób prowadzenia dokumentacji dotyczącej prawa do przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające odpowiednią do zagrożeń ochronę tych informacji.

Z rozporządzenia wynikają obowiązki:

• opracowania i wdrożenia Polityki Bezpieczeństwa, Instrukcji Zarządzania Systemem Informatycznym, Polityki Kluczy;

• wystawienia pracownikom imiennego upoważnienia do przetwarzania danych osobowych klientów biura;

• prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych;

• zapewnienia odpowiednich środków technicznych i organizacyjnych gwarantujących bezpieczeństwo powierzonych danych osobowych;

• ograniczenia osobom nieupoważnionym dostępu do przetwarzanych danych osobowych.

Polityka bezpieczeństwa powinna zawierać w szczególności:

• wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
• wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
• opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
• sposób przepływu danych pomiędzy poszczególnymi systemami,
• określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności,
• integralność i rozliczalność przetwarzanych danych.

Na jakich zbiorach danych pracuje biuro rachunkowe?

Zbiory danych klientów, powierzonych do przetwarzania biuru rachunkowemu

Najczęściej wyróżniamy następujące zbiory:

Zbiór danych kontrahentów klienta:

• faktury,
• rachunki,
• umowy,
• inne dokumenty sprzedaży/zakupu.

Zbiór danych pracowników i zleceniobiorców klienta:

• dane osobowe pracowników,
• dane osobowe zleceniobiorców i wykonawców,
• dokumentacja ubezpieczeniowa ZUS.

Zbiór danych w postaci dokumentów księgowych klienta:

• dziennik,
• księgi,
• sprawozdania finansowe,
• sprawozdania GUS,
• deklaracje podatkowe,
• rejestry VAT,
• dodatkowe ewidencje księgowe.

Zbiór danych klientów biura rachunkowego

Przykładowo są to:

• umowy,
• faktury,
• upoważnienia.

Ochrona danych osobowych pracowników i zleceniobiorców biura rachunkowego

Przykładowo:

• PESEL,
• imię (imiona) i nazwisko,
• nazwisko rodowe,
• data i miejsce urodzenia,
• płeć,
• adres stały,
• dowód osobisty (seria i nr, wydany przez, data wydania),
• imię ojca, imię matki,
• stan cywilny i rodzinny,
• stopień niepełnosprawności,
• obywatelstwo,
• wykształcenie,
• staż pracy, historia pracy,
• wysokość wynagrodzenia,
• zajęcia komornicze,
• nieobecności w pracy, informacje o stanie zdrowia

Rejestr korespondencji wychodzącej i przychodzącej

Przykładowo:

• data otrzymania/wysyłki,
• numer przesyłki,
• adresat/nadawca,
• adres,
• podpis osoby odbierającej/wysyłającej.

Rejestr wejść i wyjść

Przykładowo:

• data i godzina wejścia/wyjścia,
• imię i nazwisko,
• stanowisko,
• własnoręczny podpis.

Zbiór marketingowy

Przykładowo:

• imię i nazwisko,
• adres mailowy,
• miejscowość,
• forma prowadzonej działalności,
• branża,
• wysokość rocznych obrotów,
• wiek.

Zbiór danych do celów marketingowych będzie podlegał obowiązkowi rejestracji w GIODO, gdyż nie spełnia ustawowych przesłanek zwolnienia z tego obowiązku. Dane osobowe zbierane do celów marketingowych są przetwarzane w określonym celu marketingu produktów i usług. Stanowią odrębny zbiór.

Zidentyfikowane zbiory danych zawierające dane osobowe można odnieść do programów, w których są przetwarzane, tworząc kolejny obowiązkowy punkt Polityki Bezpieczeństwa Informacji, czyli opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.