Poradnik Przedsiębiorcy

Umowa powierzenia przetwarzania danych osobowych w biurze rachunkowym

Biura rachunkowe często nie zdają sobie sprawy z konieczności ochrony danych osobowych pozyskanych od swoich klientów. Ustawa o ochronie danych osobowych nakłada bowiem wiele obowiązków.

Dodatkowo planowane na przyszły rok unijne regulacje mają wprowadzić zmiany w obowiązujących dotychczas krajowych przepisach. Skutkować będą dużymi sankcjami pieniężnymi dla podmiotów niestosujących się do ochrony danych osobowych i nierespektujących wprowadzonych regulacji. Prowadząc biuro rachunkowe, warto przygotować się już dzisiaj na nadchodzące zmiany.

Polityka bezpieczeństwa informacji w biurach rachunkowych

GIODO, czyli Generalny Inspektor Ochrony Danych Osobowych to polski organ sprawujący ochronę nad danymi osobowymi. Wskazuje on wytyczne m.in. do wdrażania polityki bezpieczeństwa, która przedstawia zasady, procedury, plany wdrożenia i egzekwowanie ochrony danych osobowych. Do jej najważniejszych elementów należą:

  • kontrola dostępu osób do danych osobowych,

  • klasyfikowanie informacji,

  • polityka czystego biurka i czystego ekranu,

  • bezpieczeństwo przekazywania informacji,

  • bezpieczeństwo instalowania oprogramowania,

  • konieczność tworzenia kopii zapasowych,

  • ochrona przed szkodliwym oprogramowaniem,

  • zarządzanie infrastrukturą techniczną,

  • zabezpieczenia kryptograficzne,

  • bezpieczeństwo komunikacji i ochrona prywatności oraz identyfikacji osób,

  • konieczność określenia wykazu pomieszczeń, w których przetwarzane są dane,

  • określenie struktury zbiorów,

  • wskazanie przepływu danych,

  • odpowiednie środki techniczne.

Sposoby przetwarzania danych osobowych przez podmioty oraz dostępne środki ochrony są wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. W  2018 r. przepisy te ma zastąpić unijna regulacja RODO, do której będą dostosowywane krajowe akty prawne.

Dane osobowe przetwarzane w biurze rachunkowym

Dane osobowe przetwarzane w biurze rachunkowym mają źródło w powierzonych przez klientów dokumentach pracowniczych, umowach, fakturach czy wyciągach bankowych. Do kategorii przetwarzanych przez biura rachunkowe danych osobowych i zbiorów danych zawierających informacje gospodarcze, a nawet tajemnicę handlową mogącą zawierać klauzulę poufności, w szczególności należą dane o wielkości transakcji klienta, dane jego kontrahentów, dane jego pracowników czy jego samego. Dane osobowe umożliwiające zidentyfikowanie osoby, to dane takie jak numery PESEL czy dane z kopii dowodów osobistych. Niewłaściwe zabezpieczenie danych osobowych przez udostępnianie ich osobom postronnym czy przetwarzanie danych przez pracowników bez oparcia o właściwą politykę bezpieczeństwa informacji naraża biura rachunkowe na dużą odpowiedzialność materialną.

Zgodnie ze wspomnianą polityką bezpieczeństwa informacji, biuro rachunkowe jest zobowiązane zabezpieczyć pozyskane dane. Przetwarzanie ich musi odbywać się zgodnie z umową oraz przy praktykowaniu nawyków takich jak m.in.:

  • aktualizowanie wewnętrznych regulacji (regulaminów) w tym zakresie,

  • inwentaryzację sprzętu i oprogramowania,

  • okresowe analizy,

  • minimalizowanie ryzyka dostępu do danych osób niepowołanych,

  • dbanie o posiadanie stosownych uprawnień przez osoby przetwarzające dane,  

  • szkolenia,

  • monitorowanie dostępu,

  • utworzenie zasad gwarantujących bezpieczną pracę,

  • zgłaszanie incydentów oraz przeprowadzanie okresowych audytów.

Należy pamiętać, że klient przekazujący dane osobowe dla biura rachunkowego pozostaje administratorem tych danych. To on jest zobowiązany do zachowania staranności w celu ochrony danych swoich kontrahentów, zgodnie z art. 7 ustawy o ochronie danych osobowych. Biuro rachunkowe ma za to zadanie dokładać wszelkiej staranności, żeby przetwarzanie danych było zgodne z przepisami prawa. Właściwym zabezpieczeniem obu stron - klienta i biura rachunkowego, określającym ich prawa i obowiązki w sprawie ochrony danych osobowych, jest umowa powierzenia przetwarzania danych osobowych.