Ochrona danych osobowych w biurze rachunkowym (cz. 4) - Na jakich zbiorach danych działa biuro rachunkowe?

Na skróty

Prowadzenie biura rachunkowego jest jedną z tych działalności, których specyfika opiera się na pracy z danymi poufnymi, osobowymi, a często też z wrażliwymi. Biuro rachunkowe przejmuje od podmiotów gospodarczych obowiązki związane z prowadzeniem księgowości, kadr oraz kontaktów z Urzędem Skarbowym i Zakładem Ubezpieczeń Społecznych. Dodatkowo takie podmioty świadczą klientom usługi doradcze w zakresie pomocy w wypełnianiu wniosków kredytowych, o dotacje unijne i samorządowe, czy pisaniu biznesplanów. Na każdym etapie swojej pracy księgowa i kadrowa stykają się z danymi osobowymi.

Zobacz też

Dlaczego tak ważna jest identyfikacja zbiorów danych osobowych?

Biuro rachunkowe jako podmiot przetwarzający dane osobowe jest zobowiązane do odpowiedniego zabezpieczenia danych osobowych swoich klientów, zgodnie z wymaganiami określonymi w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Rozporządzenie to określa zakres i sposób prowadzenia dokumentacji dotyczącej prawa do przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające odpowiednią do zagrożeń ochronę tych informacji.

Z rozporządzenia wynikają obowiązki:

opracowania i wdrożenia Polityki Bezpieczeństwa, Instrukcji Zarządzania Systemem Informatycznym, Polityki Kluczy;
wystawienia pracownikom imiennego upoważnienia do przetwarzania danych osobowych klientów biura;
prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych;
zapewnienia odpowiednich środków technicznych i organizacyjnych gwarantujących bezpieczeństwo powierzonych danych osobowych;
ograniczenia osobom nieupoważnionym dostępu do przetwarzanych danych osobowych.

Podmiot powierzający przetwarzanie danych do biura rachunkowego (klient) pozostaje Administratorem Danych Osobowych.

Polityka bezpieczeństwa powinna zawierać w szczególności:

wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
sposób przepływu danych pomiędzy poszczególnymi systemami,
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności,
integralność i rozliczalność przetwarzanych danych.

Na jakich zbiorach danych pracuje biuro rachunkowe?

W myśl art. 43 ust. 1 pkt. 4, 8 z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, a także przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej.

Zbiory danych klientów, powierzonych do przetwarzania biuru rachunkowemu

Najczęściej wyróżniamy następujące zbiory:

Zbiór danych kontrahentów klienta:

faktury,
rachunki,
umowy,
inne dokumenty sprzedaży/zakupu.

Zbiór danych pracowników i zleceniobiorców klienta:

dane osobowe pracowników,
dane osobowe zleceniobiorców i wykonawców,
dokumentacja ubezpieczeniowa ZUS.

Zbiór danych w postaci dokumentów księgowych klienta:

dziennik,
księgi,
sprawozdania finansowe,
sprawozdania GUS,
deklaracje podatkowe,
rejestry VAT,
dodatkowe ewidencje księgowe.

Zbiór danych klientów biura rachunkowego

Przykładowo są to:

umowy,
faktury,
upoważnienia.

Ochrona danych osobowych pracowników i zleceniobiorców biura rachunkowego

Przykładowo:

PESEL,
imię (imiona) i nazwisko,
nazwisko rodowe,
data i miejsce urodzenia,
płeć,
adres stały,
dowód osobisty (seria i nr, wydany przez, data wydania),
imię ojca, imię matki,
stan cywilny i rodzinny,
stopień niepełnosprawności,
obywatelstwo,
wykształcenie,
staż pracy, historia pracy,
wysokość wynagrodzenia,
zajęcia komornicze,
nieobecności w pracy, informacje o stanie zdrowia

Rejestr korespondencji wychodzącej i przychodzącej

Przykładowo:

data otrzymania/wysyłki,
numer przesyłki,
adresat/nadawca,
adres,
podpis osoby odbierającej/wysyłającej.

Rejestr wejść i wyjść

Przykładowo:

data i godzina wejścia/wyjścia,
imię i nazwisko,
stanowisko,
własnoręczny podpis.

Zbiór marketingowy

Przykładowo:

imię i nazwisko,
adres mailowy,
miejscowość,
forma prowadzonej działalności,
branża,
wysokość rocznych obrotów,
wiek.

Zbiór danych do celów marketingowych będzie podlegał obowiązkowi rejestracji w GIODO, gdyż nie spełnia ustawowych przesłanek zwolnienia z tego obowiązku. Dane osobowe zbierane do celów marketingowych są przetwarzane w określonym celu marketingu produktów i usług. Stanowią odrębny zbiór.

Zidentyfikowane zbiory danych zawierające dane osobowe można odnieść do programów, w których są przetwarzane, tworząc kolejny obowiązkowy punkt Polityki Bezpieczeństwa Informacji, czyli opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.

Polecamy:Jednolity Plik Kontrolny