Biura rachunkowe często nie zdają sobie sprawy z konieczności ochrony danych osobowych pozyskanych od swoich klientów. Przepisy o ochronie danych osobowych nakładają bowiem wiele obowiązków. Ponadto nakładają duże sankcje pieniężne dla podmiotów niestosujących się do ochrony danych osobowych i nierespektujących wprowadzonych regulacji. Prowadząc biuro rachunkowe, warto przygotować się do właściwej ochrony danych osobowych. Czy każdemu potrzebna jest umowa powierzenia przetwarzania danych osobowych w biurze rachunkowym?
Dane osobowe przetwarzane w biurze rachunkowym
Dane osobowe przetwarzane w biurze rachunkowym mają źródło w powierzonych przez klientów dokumentach pracowniczych, umowach, fakturach czy wyciągach bankowych. Do kategorii przetwarzanych przez biura rachunkowe danych osobowych i zbiorów danych zawierających informacje gospodarcze, a nawet tajemnicę handlową mogącą zawierać klauzulę poufności, w szczególności należą dane o wielkości transakcji klienta, dane jego kontrahentów, dane jego pracowników czy jego samego. Dane osobowe umożliwiające zidentyfikowanie osoby, to dane takie jak numery PESEL czy dane z kopii dowodów osobistych. Niewłaściwe zabezpieczenie danych osobowych przez udostępnianie ich osobom postronnym czy przetwarzanie danych przez pracowników bez oparcia o właściwą politykę bezpieczeństwa informacji naraża biura rachunkowe na dużą odpowiedzialność materialną.
Biuro rachunkowe jest zobowiązane zabezpieczyć pozyskane dane. Przetwarzanie ich musi odbywać się zgodnie z umową oraz przy praktykowaniu nawyków takich jak m.in.:
-
aktualizowanie wewnętrznych regulacji (regulaminów) w tym zakresie,
-
inwentaryzację sprzętu i oprogramowania,
-
okresowe analizy,
-
minimalizowanie ryzyka dostępu do danych osób niepowołanych,
-
dbanie o posiadanie stosownych uprawnień przez osoby przetwarzające dane,
-
szkolenia,
-
monitorowanie dostępu,
-
utworzenie zasad gwarantujących bezpieczną pracę,
-
zgłaszanie incydentów oraz przeprowadzanie okresowych audytów.
Należy pamiętać, że klient przekazujący dane osobowe dla biura rachunkowego pozostaje administratorem tych danych. To on jest zobowiązany do zachowania staranności w celu ochrony danych swoich kontrahentów. Biuro rachunkowe ma za to zadanie dokładać wszelkiej staranności, żeby przetwarzanie danych było zgodne z przepisami prawa. Właściwym zabezpieczeniem obu stron - klienta i biura rachunkowego, określającym ich prawa i obowiązki w sprawie ochrony danych osobowych, jest umowa powierzenia przetwarzania danych osobowych.
Umowa powierzenia przetwarzania danych osobowych w biurze rachunkowym
Biuro rachunkowe przetwarza dane na podstawie zawartej z klientem umowy powierzenia przetwarzania danych osobowych. Umowa powierzenia może być załącznikiem do obowiązującej w biurze rachunkowym polityki bezpieczeństwa oraz występować obok właściwej umowy o świadczenie usług księgowych. Podpisywana jest więc między biurem rachunkowym a klientem, który chce skorzystać z usług biura rachunkowego, powierzając mu wszystkie dokumenty potrzebne do prowadzenia jego spraw, a które zawierają zwykłe i wrażliwe dane osobowe. Oprócz elementów oczywistych w umowie, takich jak określenie miejsca i daty jej zawarcia, wskazania stron jako zleceniodawcy-klienta i wykonawcy-biura rachunkowego, podpisów - należy zadbać o właściwie sformułowane postanowień umowy ze względu na jej przedmiot - ochronę danych osobowych.
Przedmiot umowy powierzenia przetwarzania danych osobowych w biurze rachunkowym
Ważnym elementem umowy jest oświadczenie klienta - osoby prowadzącej działalność gospodarczą (przedsiębiorcy) - w tym przypadku zleceniodawcy dla biura rachunkowego o fakcie, że jest on administratorem danych osobowych na podstawie ustawy. To on deklaruje, że przetwarza dane zgodnie z obowiązującymi przepisami. Potwierdza on, że cel umowy jest bezpośrednio związany z jego działalnością gospodarczą lub zawodową. Na podstawie tej umowy określa, że powierza zgromadzone dane osobowe wykonawcy, którym jest biuro rachunkowe, które zobowiązuje się do przetwarzania powierzonych mu danych w celach wyłącznie określonych w tej umowie. Jest to przedmiot, esencja umowy powierzenia przetwarzania danych osobowych.
Zakres umowy i cel powierzenia przetwarzania danych osobowych w biurze rachunkowym
Jak zostało wspomniane powyżej, przedmiotem umowy jest zgodne z obowiązującymi przepisami prawa korzystanie z powierzonych przez klienta danych osobowych. Celem powierzenia danych jest prawidłowe świadczenie usług przez biuro rachunkowe. Udostępnienie przez klienta danych i przekazanie ich często odbywa się za pośrednictwem systemu informatycznego. Należy pamiętać o uwzględnieniu tego sposobu w umowie. Należy też wskazać, że wtedy biuro rachunkowe może przechowywać powierzone dane. Oświadczenie biura rachunkowego o niekorzystaniu z powierzonych danych w innych celach niż umowne to kolejna ważne postanowienie umowy. Klient może określić, że powierzenie danych osobowych następuje z wyłączeniem pewnych danych.
Prawa i obowiązki stron umowy powierzenia przetwarzania danych osobowych w biurze rachunkowym
Obie strony zobowiązują się w umowie do przestrzegania przepisów o ochronie danych osobowych i przepisów aktów wykonawczych do tej ustawy. Biuro rachunkowe zobowiązuje się stosować środki techniczne i organizacyjne, które mają zapewnić ochronę przetwarzania danych powierzonych przez klienta.
Najważniejszym aspektem jest nieudostępnianie danych osobom nieupoważnionym i niwelowanie zagrożenia, że ktokolwiek przejmie dane, będąc nieuprawnionym. Istotna jest również ochrona przed uszkodzeniem lub zniszczeniem danych. Możliwe jest wskazanie w umowie, że biuro rachunkowe może powierzyć przetwarzanie powierzonych danych innym podmiotom, na co klient wyraża zgodę.
Biuro rachunkowe musi ponadto zadbać, by wybrany przez siebie dostawca usług informatycznych był renomowany, co ma zagwarantować maksymalny stopień ochrony danych osobowych. Podmioty odpowiedzialne za przetwarzanie danych muszą być obecne w biurze rachunkowym i udostępniać klientowi dane na jego wniosek. W przypadku zmiany kompetentnych do tego podmiotów biuro rachunkowe jest zobowiązane poinformować klienta o tym fakcie. Podpowierzanie danych można przekazać tylko podmiotom gwarantującym należyte wypełnianie obowiązków, co należy zawrzeć w umowie.
Okres obowiązywania umowy o powierzenie danych i jej rozwiązanie
Datą zawarcia umowy jest dzień podpisania umowy przez biuro rachunkowym z klientem. Określony czas, wskazujący datę od - do, będzie okresem świadczenia usług księgowych. Od chwili zawarcia umowy do czasu, na który została zawarta obowiązują jej postanowienia. Biuro rachunkowe musi przechowywać dane osobowe przez wskazany w umowie okres, nawet po rozwiązaniu umowy.
Rozwiązanie umowy może nastąpić na podstawie przewidzianych przesłanek lub jeśli umowa świadczenia usług na to zezwala, to w każdym czasie. Wówczas wszystkie powierzone dane powinny zostać zwrócone.
Odpowiedzialność stron za zobowiązania umowy
Biuro rachunkowe jest odpowiedzialne za powierzone dane, ale w dalszym ciągu ich administratorem pozostaje klient. Biuro nie może dopuścić do udostępnienia danych osobom nieupoważnionym, przejęcia danych przez osobę nieuprawnioną czy do uszkodzenia i zniszczenia danych.
Dodatkowe informacje jako postanowienia końcowe umowy powierzenia przetwarzania danych osobowych w biurze rachunkowym
Warto zaznaczyć, że w sprawach spoza postanowień umownych zastosowanie mają przepisy o ochronie danych osobowych, regulaminy świadczenia usług w danym biurze rachunkowym oraz przepisy Kodeksu cywilnego.
W końcowych postanowieniach można zawrzeć umowę prorogacyjną, czyli określenie konkretnego sądu (należy go wskazać), który będzie właściwy do rozstrzygnięcia ewentualnego sporu. Można zaznaczyć również możliwość wprowadzania zmian do umowy, ale należy podać, jaką formę musi przyjąć taka zmiana - najczęściej w umowach wskazuje się, aby wszelkie zmiany były wprowadzane w formie pisemnej pod rygorem nieważności.