Poradnik Przedsiębiorcy

Ochrona danych osobowych w biurze rachunkowym (cz. 6) - Czy wiesz, że klient biura rachunkowego może zażądać umowy powierzenia danych osobowych?

Klient biura rachunkowego, który ma świadomość, iż jest administratorem danych osobowych, przekazując co miesiąc swoje dokumenty (zbiory danych osobowych) przedstawicielom podmiotu prowadzącego księgi rachunkowe czy też kadry, może zażądać od biura umowy powierzenia danych. Istotne jest, że w zasadzie biuro rachunkowe w ogóle nie powinno działać bez spełnienia wymogów Ustawy o ochronie danych osobowych - w tym bez podpisania z klientem umowy powierzenia danych osobowych.

Klient biura rachunkowego jako administrator danych osobowych

Klientami biura rachunkowego są firmy, przy czym nie ma znaczenia, czy są to jednoosobowe działalności gospodarcze czy też spółki. Większość z firm jest administratorami danych osobowych, zbierając bazy klientów w celach marketingowych, czy też przechowując dane osobowe zatrudnionych pracowników. Jako administratorzy danych firmy mają obowiązek zabezpieczenia interesów osób, których dane dotyczą, a wynika to bezpośrednio z zapisów Ustawy o ochronie danych osobowych.

"Art. 26. 1. Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:

1) przetwarzane zgodnie z prawem,

2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, (...)

3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,

4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania."

Kiedy powierzyć dane osobowe, a kiedy upoważnić do ich przetwarzania?

Przetwarzanie danych osobowych - kiedy umowa?

Umowę przetwarzania danych osobowych podpisuje się, gdy administrator danych powierza (zleca) przetwarzanie danych innemu, zewnętrznemu podmiotowi. Przykładem takiego powierzenia jest właśnie relacja klient - biuro rachunkowe.

Upoważnienie do przetwarzania danych osobowych

Ma miejsce zwykle w stosunku do osób, które współpracują wewnętrznie z danym podmiotem będącym administratorem danych. Biuro rachunkowe więc będzie do przetwarzania danych upoważniało np.:

  • pracowników,
  • osoby współpracujące na podstawie umowy zlecenie,
  • stażystów,
  • praktykantów.

Co jednak istotne, również przy upoważnieniu do przetwarzania danych konieczne jest, by osoby upoważnione miały rzeczywiście dostęp do danych i przetwarzały je w określonym celu.

Art. 39

1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

    1) imię i nazwisko osoby upoważnionej,

    2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

    3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Umowa powierzenia danych osobowych

Przepisy Ustaw o ochronie danych osobowych pozwalają więc na powierzenie czynności przetwarzania danych osobowych innemu podmiotowi, np. biuru rachunkowemu. Określają jednak pewne zasady tego powierzenia.

Umowa przetwarzania danych osobowych na piśmie

Przepisy stanowią, że można powierzyć przetwarzanie danych innemu podmiotowi, ale powinno się to odbyć w drodze pisemnej umowy. W przypadku biura rachunkowego konieczne byłoby stworzenie odrębnej umowy powierzenia czynności przetwarzania danych osobowych lub też dodanie odpowiednich zapisów do umowy o świadczenie usług księgowych czy kadrowych.

Przetwarzanie danych wyłącznie w zakresie i celu wynikającym z umowy   

Niezbędnym elementem umowy powierzenia przetwarzania danych jest określenie zakresu oraz celu, w jakim mogą być przetwarzane. Aby określić zakres, konieczne jest zidentyfikowanie zbiorów danych, na jakich będą prowadzone działania. Cel natomiast wiąże się z przedstawieniem przeznaczenia wykorzystania powierzanych danych. Ten element umowy można uznać niejako za najważniejszy. Podmiot, któremu powierzono dane, będzie mógł je bowiem wykorzystywać jedynie w zakresie i celu wskazanym w umowie.

Polecamy

Czym jest giełda wierzytelności (giełda długów)?

Biuro rachunkowe, któremu powierzono przetwarzanie danych musi być na to przygotowane

Działanie zgodne z Ustawą o ochronie danych osobowych wymaga od podmiotu, któremu powierzono przetwarzanie danych osobowych, spełnienie określonych wymagań. Przed rozpoczęciem przetwarzania danych biuro rachunkowe zobowiązane jest zatem podjąć środki zabezpieczające powierzone mu zbiory danych.

Zabezpieczenie danych osobowych:

  • zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych uwzględniając stopień zagrożeń oraz kategorię danych objętych ochroną,
  • zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
  • prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środki w tym celu zastosowane,
  • wyznaczenie administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony,
  • dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienie,
  • zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane,
  • prowadzenie ewidencji osób upoważnionych do ich przetwarzania, która powinna zawierać:

1) imię i nazwisko osoby upoważnionej,

2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym,

  • osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia,

Dodatkowo podmiot, któremu powierzono przetwarzanie danych, musi przestrzegać przepisów, jakie w drodze rozporządzenia Minister właściwy do spraw administracji publicznej określił dla:

  • sposobu prowadzenia i zakresu dokumentacji dotyczącej ochrony danych osobowych,
  • podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Co istotne, w zakresie przestrzegania przepisów dotyczących zabezpieczenia danych osobowych biuro rachunkowe, któremu klient powierzył do przetwarzania dane osobowe, ponosi odpowiedzialność jak administrator danych.

Administrator danych wciąż pozostaje administratorem

Pomimo tego, że biuro odpowiedzialne jest jak administrator danych, tytuł administratora danych pozostaje wciąż na kliencie. Umowa powierzenia danych nie przenosi statusu administratora danych na podmiot, któremu powierzono przetwarzanie tych danych, ale powoduje, iż odpowiedzialność za ochronę tych danych ponoszą zarówno klient (jako administrator), jak i biuro rachunkowe (jako podmiot uprawniony, któremu powierzono przetwarzanie danych).

Biuro rachunkowe, któremu powierzono dane osobowe podlega kontroli

Każdy podmiot przetwarzający dane osobowe (bez względu, czy ma tego świadomość, czy też nie) podlega kontroli wykonanej przez Generalnego Inspektora Danych Osobowych. Jej zakres obejmuje kwestię zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

Klienci świadomi swoich obowiązków jako administratorzy danych będą dążyć do podpisania umów powierzenia przetwarzania danych, jako że to na nich spoczywa obowiązek zapewnienia ochrony zbiorów, w jakich są posiadaniu. Biuro rachunkowe powinno umożliwić podpisanie takich umów, co jednak wiąże się z koniecznością spełnienia dodatkowych obowiązków, które i tak powinny być spełnione, jako że nakazuje to Ustawa o ochronie danych osobowych. Każde biuro rachunkowe przetwarza dane osobowe. Wciąż często słyszane stwierdzenie: my nie przetwarzamy danych osobowych nie może być więc odpowiedzią na wniosek klienta o podpisanie umowy powierzenia przetwarzania danych.