Ochrona danych osobowych w biurze rachunkowym (cz. 4) - Na jakich zbiorach danych działa biuro rachunkowe?
Prowadzenie biura rachunkowego jest jedną z tych działalności, których specyfika opiera się na pracy z danymi poufnymi, osobowymi, a często też z wrażliwymi. Biuro rachunkowe przejmuje od podmiotów gospodarczych obowiązki związane z prowadzeniem księgowości, kadr oraz kontaktów z Urzędem Skarbowym i Zakładem Ubezpieczeń Społecznych. Dodatkowo takie podmioty świadczą klientom usługi doradcze w zakresie pomocy w wypełnianiu wniosków kredytowych, o dotacje unijne i samorządowe, czy pisaniu biznesplanów. Na każdym etapie swojej pracy księgowa i kadrowa stykają się z danymi osobowymi.
Dlaczego tak ważna jest identyfikacja zbiorów danych osobowych?
Biuro rachunkowe jako podmiot przetwarzający dane osobowe jest zobowiązane do odpowiedniego zabezpieczenia danych osobowych swoich klientów, zgodnie z wymaganiami określonymi w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Rozporządzenie to określa zakres i sposób prowadzenia dokumentacji dotyczącej prawa do przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające odpowiednią do zagrożeń ochronę tych informacji.
Z rozporządzenia wynikają obowiązki:
-
opracowania i wdrożenia Polityki Bezpieczeństwa, Instrukcji Zarządzania Systemem Informatycznym, Polityki Kluczy;
-
wystawienia pracownikom imiennego upoważnienia do przetwarzania danych osobowych klientów biura;
-
prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych;
-
zapewnienia odpowiednich środków technicznych i organizacyjnych gwarantujących bezpieczeństwo powierzonych danych osobowych;
-
ograniczenia osobom nieupoważnionym dostępu do przetwarzanych danych osobowych.
| Podmiot powierzający przetwarzanie danych do biura rachunkowego (klient) pozostaje Administratorem Danych Osobowych. |
Polityka bezpieczeństwa powinna zawierać w szczególności:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
- sposób przepływu danych pomiędzy poszczególnymi systemami,
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności,
- integralność i rozliczalność przetwarzanych danych.
Na jakich zbiorach danych pracuje biuro rachunkowe?
| W myśl art. 43 ust. 1 pkt. 4, 8 z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, a także przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. |
Zbiory danych klientów, powierzonych do przetwarzania biuru rachunkowemu
Najczęściej wyróżniamy następujące zbiory:
Zbiór danych kontrahentów klienta:
- faktury,
- rachunki,
- umowy,
- inne dokumenty sprzedaży/zakupu.
Zbiór danych pracowników i zleceniobiorców klienta:
- dane osobowe pracowników,
- dane osobowe zleceniobiorców i wykonawców,
- dokumentacja ubezpieczeniowa ZUS.
Zbiór danych w postaci dokumentów księgowych klienta:
- dziennik,
- księgi,
- sprawozdania finansowe,
- sprawozdania GUS,
- deklaracje podatkowe,
- rejestry VAT,
- dodatkowe ewidencje księgowe.
Zbiór danych klientów biura rachunkowego
Przykładowo są to:
- umowy,
- faktury,
- upoważnienia.
Ochrona danych osobowych pracowników i zleceniobiorców biura rachunkowego
Przykładowo:
- PESEL,
- imię (imiona) i nazwisko,
- nazwisko rodowe,
- data i miejsce urodzenia,
- płeć,
- adres stały,
- dowód osobisty (seria i nr, wydany przez, data wydania),
- imię ojca, imię matki,
- stan cywilny i rodzinny,
- stopień niepełnosprawności,
- obywatelstwo,
- wykształcenie,
- staż pracy, historia pracy,
- wysokość wynagrodzenia,
- zajęcia komornicze,
- nieobecności w pracy, informacje o stanie zdrowia
Rejestr korespondencji wychodzącej i przychodzącej
Przykładowo:
- data otrzymania/wysyłki,
- numer przesyłki,
- adresat/nadawca,
- adres,
- podpis osoby odbierającej/wysyłającej.
Rejestr wejść i wyjść
Przykładowo:
- data i godzina wejścia/wyjścia,
- imię i nazwisko,
- stanowisko,
- własnoręczny podpis.
Zbiór marketingowy
Przykładowo:
- imię i nazwisko,
- adres mailowy,
- miejscowość,
- forma prowadzonej działalności,
- branża,
- wysokość rocznych obrotów,
- wiek.
Zbiór danych do celów marketingowych będzie podlegał obowiązkowi rejestracji w GIODO, gdyż nie spełnia ustawowych przesłanek zwolnienia z tego obowiązku. Dane osobowe zbierane do celów marketingowych są przetwarzane w określonym celu marketingu produktów i usług. Stanowią odrębny zbiór.
Zidentyfikowane zbiory danych zawierające dane osobowe można odnieść do programów, w których są przetwarzane, tworząc kolejny obowiązkowy punkt Polityki Bezpieczeństwa Informacji, czyli opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.
„Ochrona danych osobowych w biurze rachunkowym”
- Ochrona danych osobowych w biurze rachunkowym (cz. 7) - Programy komputerowe online a umowa powierzenia przetwarzania danych osobowych
- Ochrona danych osobowych w biurze rachunkowym (cz. 5) - Zbiór danych osobowych - jak dokonać rejestracji w GIODO?
- Ochrona danych osobowych w biurze rachunkowym (cz. 4) - Na jakich zbiorach danych działa biuro rachunkowe?
- Ochrona danych osobowych w biurze rachunkowym (cz. 3) - Czym jest przetwarzanie danych osobowych?
- Ochrona danych osobowych w biurze rachunkowym (cz. 2) - Istota ochrony danych osobowych czyli RODO w biurze rachunkowym