Biura rachunkowe muszą mieć na uwadze, że korzystając z usług zewnętrznych podmiotów, którym udostępniają posiadane dane osobowe, powinny również zadbać o umowy powierzenia przetwarzania danych. Należy bowiem pamiętać, że przetwarzaniem danych jest już samo ich gromadzenie.
Umowa powierzenia przetwarzania osobowych a dostawcy usług hostingowych i programistycznych
Grupą podmiotów, z którymi biuro rachunkowe powinno podpisać umowy powierzenia są przede wszystkim:
- firmy dostarczające programy księgowe, kadrowe, magazynowe, CRM, rozliczeniowe on-line;
- firmy hostingowe wynajmujące powierzchnię serwerów, na których przechowywane są dane biura rachunkowego;
- firmy zobowiązujące się do wykonania i przechowywania kopii zapasowych tzw. backupów.
Dostawcy usług hostingowych czy też oprogramowania on-line będą zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych przetwarzać dane osobowe, w szczególności w zakresie utrwalania, przechowywania i udostępniania. W związku z powyższym biuro rachunkowe, korzystając z usług podmiotów zewnętrznych o wskazanym charakterze powinno zadbać o stworzenie i podpisanie umowy powierzenia przetwarzania danych osobowych.
W przypadku wyżej wymienionych podmiotów zastosowanie będą miały przepisy Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, które wykluczają przyjęcie odpowiedzialności za treść tych danych. Nie ponosi odpowiedzialności za przechowywane dane również ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę, nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.
Jednak wracając do ustawy o ochronie danych osobowych, umowy powierzenia będą konieczne z tym, że zgodnie z powyższym podmiot, któremu powierzono dane w tym przypadku nie będzie odpowiadał za ich merytoryczną poprawność czy legalność.
Umowa powierzenia przetwarzania danych osobowych to obowiązek administratora!
Należy pamiętać, że przed GIODO odpowiedzialnym w zakresie ochrony danych osobowych jest ich administrator. A administratorem nawet po podpisaniu umowy o powierzeniu przetwarzania danych pozostaje biuro rachunkowe. Jednak ustawa nakłada również przyjęcie odpowiedzialności przez usługodawcę czyli podmiot, który przyjął na siebie czynności związane z przetwarzaniem danych osobowych.
W związku z powyższym, podejmując współpracę z firmami dostarczającymi oprogramowanie, w szczególności programy księgowe on-line czy też dostawców serwerów istotne jest zadbanie o umowy powierzenia przetwarzania danych osobowych.
Porady online
Prowadzisz firmę i masz pytania?
Skorzystaj z porad ekspertów Poradnika Przedsiębiorcy
Programy księgowe on-line - rozwiązanie w ochronie danych osobowych
Ustawa o ochronie danych osobowych nakłada na prowadzących biura rachunkowe szereg obowiązków związanych z zachowaniem bezpieczeństwa danych osobowych, zarówno tych należących bezpośrednio do biura, jak i tych powierzonych do przetwarzania w biurze od samych klientów. Oprócz kwestii organizacyjnych, wysokie wymagania stawia się przetwarzaniu danych w systemach informatycznych - a kto w dzisiejszych czasach nie używa w biurze rachunkowym komputerów?
Środki bezpieczeństwa przetwarzania danych w systemie informatycznym
Biura rachunkowe korzystające z systemów informatycznych dla celów przetwarzania danych osobowych (czyli w praktyce każde biuro, które korzysta z księgowych lub innych niededykowanych programów komputerowych) podlegają Rozporządzeniu ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Przepisy nakładają na administratorów danych korzystających z systemów informatycznych przy ich przetwarzaniu obowiązek prowadzenia dodatkowej dokumentacji, jaką jest np. Instrukcja zarządzania systemem informatycznym, ale również i stosowania technicznych środków zapewniających bezpieczeństwo. Wśród nich wyróżnia się m.in. konieczność:
- zmiany haseł w określonym odstępie czasu lub stosowania haseł dwuskładnikowych,
- tworzenia kopii zapasowych systemu (tzw. backupy - kopie bezpieczeństwa),
- przechowywania kopii bezpieczeństwa w miejscu innym niż to, w którym następuje przetwarzanie danych.
Porady online
Prowadzisz firmę i masz pytania?
Skorzystaj z porad ekspertów Poradnika Przedsiębiorcy
Programy komputerowe nieakceptowane przez GIODO
Wciąż jeszcze w niektórych biurach rachunkowych korzysta się ze “starego” oprogramowania, czy też ogólnie dostępnych, darmowych poczt e-mail, które nie spełniają wymogów ustawy o ochronie danych osobowych, chociażby z uwagi na to, że są prześwietlane w celu wypracowania profilu użytkownika danego konta oraz jego “znajomych”. Systemy takie jak popularny excel czy word nie posiadają w stałych funkcjach opcji trwałego zapisywania identyfikatora użytkownika wprowadzającego daną zmianę. Tym samym nie spełniają założeń rozporządzenia i nie będą akceptowane w razie kontroli przez GIODO.
Przy wyborze oprogramowania komputerowego, jakie będzie używane przez biuro rachunkowe, ale także i poczty e-mail należy dokładnie “prześwietlić” dostawcę. To czy spełnia on wymagania ustawy o ochronie danych osobowych jest dla biura kluczową kwestią. W razie kontroli GIODO bada bowiem, komu dane są powierzane i czy podmiot, któremu powierzono dane wywiązuje się z wymagań w zakresie ich ochrony.
