Poradnik Przedsiębiorcy

Umowa powierzenia przetwarzania danych osobowych w biurze rachunkowym

Biura rachunkowe często nie zdają sobie sprawy z konieczności ochrony danych osobowych pozyskanych od swoich klientów. Ustawa o ochronie danych osobowych nakłada bowiem wiele obowiązków.

Dodatkowo planowane na przyszły rok unijne regulacje mają wprowadzić zmiany w obowiązujących dotychczas krajowych przepisach. Skutkować będą dużymi sankcjami pieniężnymi dla podmiotów niestosujących się do ochrony danych osobowych i nierespektujących wprowadzonych regulacji. Prowadząc biuro rachunkowe, warto przygotować się już dzisiaj na nadchodzące zmiany.

Polityka bezpieczeństwa informacji w biurach rachunkowych

GIODO, czyli Generalny Inspektor Ochrony Danych Osobowych to polski organ sprawujący ochronę nad danymi osobowymi. Wskazuje on wytyczne m.in. do wdrażania polityki bezpieczeństwa, która przedstawia zasady, procedury, plany wdrożenia i egzekwowanie ochrony danych osobowych. Do jej najważniejszych elementów należą:

  • kontrola dostępu osób do danych osobowych,

  • klasyfikowanie informacji,

  • polityka czystego biurka i czystego ekranu,

  • bezpieczeństwo przekazywania informacji,

  • bezpieczeństwo instalowania oprogramowania,

  • konieczność tworzenia kopii zapasowych,

  • ochrona przed szkodliwym oprogramowaniem,

  • zarządzanie infrastrukturą techniczną,

  • zabezpieczenia kryptograficzne,

  • bezpieczeństwo komunikacji i ochrona prywatności oraz identyfikacji osób,

  • konieczność określenia wykazu pomieszczeń, w których przetwarzane są dane,

  • określenie struktury zbiorów,

  • wskazanie przepływu danych,

  • odpowiednie środki techniczne.

Sposoby przetwarzania danych osobowych przez podmioty oraz dostępne środki ochrony są wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. W  2018 r. przepisy te ma zastąpić unijna regulacja RODO, do której będą dostosowywane krajowe akty prawne.

Dane osobowe przetwarzane w biurze rachunkowym

Dane osobowe przetwarzane w biurze rachunkowym mają źródło w powierzonych przez klientów dokumentach pracowniczych, umowach, fakturach czy wyciągach bankowych. Do kategorii przetwarzanych przez biura rachunkowe danych osobowych i zbiorów danych zawierających informacje gospodarcze, a nawet tajemnicę handlową mogącą zawierać klauzulę poufności, w szczególności należą dane o wielkości transakcji klienta, dane jego kontrahentów, dane jego pracowników czy jego samego. Dane osobowe umożliwiające zidentyfikowanie osoby, to dane takie jak numery PESEL czy dane z kopii dowodów osobistych. Niewłaściwe zabezpieczenie danych osobowych przez udostępnianie ich osobom postronnym czy przetwarzanie danych przez pracowników bez oparcia o właściwą politykę bezpieczeństwa informacji naraża biura rachunkowe na dużą odpowiedzialność materialną.

Zgodnie ze wspomnianą polityką bezpieczeństwa informacji, biuro rachunkowe jest zobowiązane zabezpieczyć pozyskane dane. Przetwarzanie ich musi odbywać się zgodnie z umową oraz przy praktykowaniu nawyków takich jak m.in.:

  • aktualizowanie wewnętrznych regulacji (regulaminów) w tym zakresie,

  • inwentaryzację sprzętu i oprogramowania,

  • okresowe analizy,

  • minimalizowanie ryzyka dostępu do danych osób niepowołanych,

  • dbanie o posiadanie stosownych uprawnień przez osoby przetwarzające dane,  

  • szkolenia,

  • monitorowanie dostępu,

  • utworzenie zasad gwarantujących bezpieczną pracę,

  • zgłaszanie incydentów oraz przeprowadzanie okresowych audytów.

Należy pamiętać, że klient przekazujący dane osobowe dla biura rachunkowego pozostaje administratorem tych danych. To on jest zobowiązany do zachowania staranności w celu ochrony danych swoich kontrahentów, zgodnie z art. 7 ustawy o ochronie danych osobowych. Biuro rachunkowe ma za to zadanie dokładać wszelkiej staranności, żeby przetwarzanie danych było zgodne z przepisami prawa. Właściwym zabezpieczeniem obu stron - klienta i biura rachunkowego, określającym ich prawa i obowiązki w sprawie ochrony danych osobowych, jest umowa powierzenia przetwarzania danych osobowych. 

Umowa powierzenia przetwarzania danych osobowych w biurze rachunkowym

Biuro rachunkowe przetwarza dane na podstawie zawartej z klientem umowy powierzenia przetwarzania danych osobowych. Umowa powierzenia może być załącznikiem do obowiązującej w biurze rachunkowym polityki bezpieczeństwa oraz występować obok właściwej umowy o świadczenie usług księgowych. Podpisywana jest więc między biurem rachunkowym a klientem, który chce skorzystać z usług biura rachunkowego, powierzając mu wszystkie dokumenty potrzebne do prowadzenia jego spraw, a które zawierają zwykłe i wrażliwe dane osobowe. Oprócz elementów oczywistych w umowie, takich jak określenie miejsca i daty jej zawarcia, wskazania stron jako zleceniodawcy-klienta i wykonawcy-biura rachunkowego, podpisów - należy zadbać o właściwie sformułowane postanowień umowy ze względu na jej przedmiot - ochronę danych osobowych.

Przedmiot umowy powierzenia przetwarzania danych osobowych w biurze rachunkowym

Ważnym elementem umowy jest oświadczenie klienta - osoby prowadzącej działalność gospodarczą (przedsiębiorcy) - w tym przypadku zleceniodawcy dla biura rachunkowego o fakcie, że jest on administratorem danych osobowych na podstawie ustawy. To on deklaruje, że przetwarza dane zgodnie z obowiązującymi przepisami. Potwierdza on, że cel umowy jest bezpośrednio związany z jego działalnością gospodarczą lub zawodową. Na podstawie tej umowy określa, że powierza zgromadzone dane osobowe wykonawcy, którym jest biuro rachunkowe, które zobowiązuje się do przetwarzania powierzonych mu danych w celach wyłącznie określonych w tej umowie. Jest to przedmiot, esencja umowy powierzenia przetwarzania danych osobowych.

Zakres umowy i cel powierzenia przetwarzania danych osobowych w biurze rachunkowym

Jak zostało wspomniane powyżej, przedmiotem umowy jest zgodne z obowiązującymi przepisami prawa korzystanie z powierzonych przez klienta danych osobowych. Celem powierzenia danych jest prawidłowe świadczenie usług przez biuro rachunkowe. Udostępnienie przez klienta danych i przekazanie ich często odbywa się za pośrednictwem systemu informatycznego. Należy pamiętać o uwzględnieniu tego sposobu w umowie. Należy też wskazać, że wtedy biuro rachunkowe może przechowywać powierzone dane. Oświadczenie biura rachunkowego o niekorzystaniu z powierzonych danych w innych celach niż umowne to kolejna ważne postanowienie umowy. Klient może określić, że powierzenie danych osobowych następuje z wyłączeniem pewnych danych.

Prawa i obowiązki stron umowy powierzenia przetwarzania danych osobowych w biurze rachunkowym

Obie strony zobowiązują się w umowie do przestrzegania przepisów ustawy o ochronie danych osobowych i przepisów aktów wykonawczych do tej ustawy. Biuro rachunkowe zobowiązuje się stosować środki techniczne i organizacyjne, które mają zapewnić ochronę przetwarzania danych powierzonych przez klienta.  

Najważniejszym aspektem jest nieudostępnianie danych osobom nieupoważnionym i niwelowanie zagrożenia, że ktokolwiek przejmie dane, będąc nieuprawnionym. Istotna jest również ochrona przed  uszkodzeniem lub zniszczeniem danych.

W tym miejscu biuro rachunkowe zapewnia też klienta, że spełnia wszelkie wymagania określone w przepisach rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji i przetwarzania danych.  Możliwe jest wskazanie w umowie, że biuro rachunkowe może powierzyć  przetwarzanie  powierzonych danych innym podmiotom, na co klient wyraża zgodę.  

Biuro rachunkowe musi ponadto zadbać, by wybrany przez siebie dostawca usług informatycznych był renomowany. co ma zagwarantować maksymalny stopień ochrony danych osobowych. Podmioty odpowiedzialne za przetwarzanie danych muszą być obecne w biurze rachunkowym i udostępniać klientowi dane na jego wniosek. W przypadku zmiany  kompetentnych do tego podmiotów biuro rachunkowe jest zobowiązane poinformować klienta o tym fakcie. Podpowierzanie danych można przekazać tylko podmiotom gwarantującym należyte wypełnianie obowiązków, co należy zawrzeć w umowie.

Okres obowiązywania umowy o powierzenie danych i jej rozwiązanie

Datą zawarcia umowy jest dzień podpisania umowy przez biuro rachunkowym z klientem. Określony czas, wskazujący datę od - do, będzie okresem świadczenia usług księgowych. Od chwili zawarcia umowy do czasu, na który została zawarta obowiązują jej postanowienia. Biuro rachunkowe musi przechowywać dane osobowe przez wskazany w umowie okres, nawet po rozwiązaniu umowy.

Rozwiązanie umowy może nastąpić na podstawie przewidzianych przesłanek lub jeśli umowa świadczenia usług na to zezwala, to w każdym czasie. Wówczas wszystkie powierzone dane powinny zostać zwrócone.

Odpowiedzialność stron za zobowiązania umowy

Biuro rachunkowe jest odpowiedzialne za powierzone dane, ale w dalszym ciągu ich administratorem pozostaje klient. Biuro nie może dopuścić do udostępnienia danych osobom nieupoważnionym, przejęcia danych przez osobę nieuprawnioną czy do uszkodzenia i zniszczenia danych.

Dodatkowe informacje jako postanowienia końcowe umowy powierzenia przetwarzania danych osobowych w biurze rachunkowym

Warto zaznaczyć, że w sprawach spoza postanowień umownych zastosowanie mają przepisy ustawy o ochronie danych osobowych, regulaminy świadczenia usług w danym biurze rachunkowym oraz przepisy Kodeksu cywilnego.

W końcowych postanowieniach można zawrzeć umowę prorogacyjną, czyli określenie konkretnego sądu (należy go wskazać), który będzie właściwy do rozstrzygnięcia ewentualnego sporu.  Można zaznaczyć również możliwość wprowadzania zmian do umowy, ale należy podać, jaką formę musi przyjąć taka zmiana - najczęściej w umowach wskazuje się, aby wszelkie zmiany były wprowadzane w formie pisemnej pod rygorem nieważności.