Poradnik Przedsiębiorcy

Ochrona danych osobowych w biurze rachunkowym (cz. 4) - Na jakich zbiorach danych działa biuro rachunkowe?

Prowadzenie biura rachunkowego jest jedną z tych działalności, których specyfika opiera się na pracy z danymi poufnymi, osobowymi, a często też z wrażliwymi. Biuro rachunkowe przejmuje od podmiotów gospodarczych obowiązki związane z prowadzeniem księgowości, kadr oraz kontaktów z Urzędem Skarbowym i Zakładem Ubezpieczeń Społecznych. Dodatkowo świadczone są klientom usługi doradcze w zakresie pomocy w wypełnianiu wniosków kredytowych, o dotacje unijne i samorządowe, czy pisaniu biznesplanów. Na każdym etapie swojej pracy księgowa i kadrowa stykają się z danymi osobowymi.

Dlaczego tak ważna jest identyfikacja zbiorów danych osobowych?

Biuro rachunkowe jako podmiot przetwarzający dane jest zobowiązane do odpowiedniego zabezpieczenia danych osobowych swoich klientów, zgodnie z wymaganiami określonymi w RODO.

Zgodnie z punktem 75 preambuły Unijnego rozporządzenia o ochronie danych osobowych:

Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych.

RODO zatem wydaje bardzo ogólne ramy stąd w Polsce wciąż za dobrą praktykę uważa się:

  • opracowanie i wdrożenie Polityki Bezpieczeństwa, Instrukcji Zarządzania Systemem Informatycznym, Polityki Kluczy;

  • wystawienia pracownikom imiennego upoważnienia do przetwarzania danych osobowych klientów biura;

  • prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych;

  • zapewnienia odpowiednich środków technicznych i organizacyjnych gwarantujących bezpieczeństwo powierzonych danych osobowych;

  • ograniczenia osobom nieupoważnionym dostępu do przetwarzanych danych osobowych.

 

Podmiot powierzający przetwarzanie danych do biura rachunkowego (klient) pozostaje Administratorem Danych Osobowych.

Zbiory danych klientów, powierzonych do przetwarzania biuru rachunkowemu

Najczęściej wyróżniamy następujące zbiory:

Zbiór danych kontrahentów klienta:

  • faktury,
  • rachunki,
  • umowy,
  • inne dokumenty sprzedaży/zakupu.

Zbiór danych pracowników i zleceniobiorców klienta:

  • dane osobowe pracowników,
  • dane osobowe zleceniobiorców i wykonawców,
  • dokumentacja ubezpieczeniowa ZUS.

Zbiór danych w postaci dokumentów księgowych klienta:

  • dziennik,
  • księgi,
  • sprawozdania finansowe,
  • sprawozdania GUS,
  • deklaracje podatkowe,
  • rejestry VAT,
  • dodatkowe ewidencje księgowe.

Zbiór danych klientów biura rachunkowego

Przykładowo są to:

Ochrona danych osobowych pracowników i zleceniobiorców biura rachunkowego

Przykładowo:

  • PESEL,
  • imię (imiona) i nazwisko,
  • nazwisko rodowe,
  • data i miejsce urodzenia,
  • płeć,
  • adres stały,
  • dowód osobisty (seria i nr, wydany przez, data wydania),
  • imię ojca, imię matki,
  • stan cywilny i rodzinny,
  • stopień niepełnosprawności,
  • obywatelstwo,
  • wykształcenie,
  • staż pracy, historia pracy,
  • wysokość wynagrodzenia,
  • zajęcia komornicze,
  • nieobecności w pracy, informacje o stanie zdrowia

Rejestr korespondencji wychodzącej i przychodzącej

Przykładowo:

  • data otrzymania/wysyłki,
  • numer przesyłki,
  • adresat/nadawca,
  • adres,
  • podpis osoby odbierającej/wysyłającej.

Rejestr wejść i wyjść

Przykładowo:

  • data i godzina wejścia/wyjścia,
  • imię i nazwisko,
  • stanowisko,
  • własnoręczny podpis.

Zbiór marketingowy - potencjalni klienci

Przykładowo:

  • imię i nazwisko,
  • adres mailowy,
  • miejscowość,
  • forma prowadzonej działalności,
  • branża,
  • wysokość rocznych obrotów,
  • wiek.

Zidentyfikowane zbiory danych zawierające dane osobowe można odnieść do programów, w których są przetwarzane, pamiętając szczególnie o tworzeniu dostępów indywidualnych - użytkownicy a nie jeden admin, do którego loginu i hasła mają dostęp wszyscy pracownicy biura.