Rachunkowość

RODO: obowiązki biur rachunkowych jako administratorów danych osobowych

Fotolia.com
Firma świadcząca usługi księgowe oraz kadrowe jest administratorem danych osobowych, np. swoich pracowników, oraz podmiotem przetwarzającym takie dane powierzone przez klientów, znajdujące się na fakturach czy umowach.

25 maja 2018 r. na terenie całej Unii Europejskiej rozpocznie się stosowanie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, popularnie zwane RODO. Wszystkie firmy, jednostki administracji publicznej, organizacje pozarządowe lub inne podmioty przetwarzające dane osobowe, zobowiązane są do przystosowania swojej działalności do wymogów nowej regulacji.

Jedna z branż, w której przetwarzanych jest wiele danych osobowych, są firmy świadczące usługi księgowe, a często i kadrowe dla swoich klientów, czyli biura rachunkowe. Z uwagi na skalę prowadzonej działalności, realizacja wymogów RODO powinna być potraktowana z należytą powagą.

1. Biuro rachunkowe musi zabezpieczyć dane swoje i powierzone.

Biuro rachunkowe świadczące usługi księgowe oraz kadrowe na rzecz innych podmiotów występuje w podwójnej roli. Jest administratorem danych osobowych (np. danych swoich pracowników) oraz podmiotem przetwarzającym (procesorem) danych osobowych powierzonych do przetwarzania przez klientów (danych osobowych znajdujących się na fakturach, umowach z pracownikami, współpracownikami itp.) W związku z tym musi wypełniać obowiązki przypisane obu tym funkcjom i zabezpieczyć zarówno swoje dane, jak i dane powierzone.

Przede wszystkim należy zastanowić się, czy przetwarzane przez biuro dane mają swoją podstawę prawną. RODO w art. 6 wymienia podstawy prawne, które legalizują przetwarzanie danych osobowych. W przypadku biura rachunkowego w znakomitej większości przypadków podstawą prawną przetwarzania będzie wykonanie umowy oraz wypełnienie obowiązku prawnego ciążącego na administratorze (wynikającego np. z przepisów prawa pracy czy ustaw podatkowych)

2. Umowa pomiędzy biurem rachunkowym a klientem dotyczy nie tylko świadczenia usług księgowych i kadrowych.

Każdy przedsiębiorca współpracujący z biurem rachunkowym, powierzając dane osobowe do przetwarzania, powinien zawrzeć z nim umowę powierzenia, która może (ale nie musi) być odrębnym dokumentem, niezależnym do umowy o współpracy. Dotychczas, przy wyborze partnera biznesowego, któremu zamierzaliśmy powierzyć dane osobowe, faktycznie liczyły się dwa atrybuty – jakość świadczonych usług oraz ich cena. Teraz administrator – czyli przedsiębiorca, klient biura rachunkowego – ma w obowiązku upewnić się, że będzie współpracował z podmiotem, który zapewnił wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w RODO.

Spotykanymi na rynku metodami takiego sprawdzenia są np: ankiety, oświadczenia woli, klauzule umowne czy – w przypadkach ogromnego wolumenu danych, ich wrażliwości bądź celów – zlecanie audytów bezpieczeństwa u potencjalnych partnerów.

Złożenie oświadczenia, że biuro rachunkowe spełnia wymagania RODO, będzie w wielu przypadkach warunkować zawarcie umowy z klientem. Dlatego w przypadku biur rachunkowych tak istotne jest odpowiednie przygotowanie się do RODO. Braki w tym zakresie mogą nie tylko powodować ryzyko nałożenia kary przez organ nadzorczy, ale również doprowadzić do utraty klientów – zarówno obecnych, jak i przyszłych.

RODO szczegółowo opisuje, co powinno się znaleźć w umowie powierzenia danych do przetwarzania i jakie obowiązki względem administratora (klienta powierzającego dane osobowe) ma procesor (biuro rachunkowe).

W umowach powierzenia mają się znajdować m.in. klauzule dotyczące akceptacji osób, którym dane będą „podpowierzane" (czyli np. firmy świadczącej na rzecz biura usługi IT), możliwości kontroli lub inspekcji biura rachunkowego, określenie czasu – przeważnie bardzo krótkiego – w którym klient ma być powiadomiony o ewentualnym incydencie naruszenia ochrony danych osobowych i wiele innych.

Wyjątkowo istotne z punktu widzenia biura jest przetwarzanie danych wyłącznie w celu wykonania umowy i zgodnie z udokumentowanymi poleceniami lub instrukcjami. Nie ma ono prawnej możliwości wykorzystania tych danych np. do marketingu usług własnych lub innych celów. Takie działanie stanowiłoby przetwarzanie danych w określonym celu bez podstawy prawnej.

3. Biuro rachunkowe musi prowadzić rejestry czynności przetwarzania.

Ze względu na podwójną rolę biura rachunkowego – administratora i procesora, biuro rachunkowe powinno prowadzić rejestr czynności przetwarzania zarówno na własne potrzeby w stosunku do swoich procesów i baz danych, jak i dla każdego klienta, którego dane otrzymuje do przetwarzania. Artykuł 30 ust. 1 i 2 RODO szczegółowo opisuje, co powinno się znaleźć w każdym z tych rejestrów.

W rejestrach należy opisać kategorię przetwarzania, tj. konkretny proces, który jest dokonywany przez procesora lub administratora np.: „obsługa księgowa" lub „obsługa kadrowo – płacowa", gdy taka jest świadczona. Co ważne, rejestr podmiotu przetwarzającego musi być prowadzony odrębnie dla każdego administratora, czyli klienta biura rachunkowego.

Sporo wątpliwości nastręcza odpowiedź na pytanie, czy istnieje obowiązek prowadzenia własnego rejestru czynności przetwarzania administratora w stosunku do swoich procesów przetwarzania danych osobowych, gdy mamy do czynienia z mikro lub małymi przedsiębiorcami. Rzeczywiście, RODO w art. 30 ust. 5 zwalnia z takiego obowiązku podmioty zatrudniające poniżej 250 osób. Jednak nie dotyczy to sytuacji, w których:

1) przetwarzanie danych może naruszać prawa i wolności osób, których dane dotyczą,

2) przetwarzanie danych nie ma sporadycznego charakteru,

3) zakres przetwarzania obejmuje szczególne kategorie danych,

4) zakres przetwarzania danych obejmuje wyroki skazujące i dotyczy naruszeń prawa.

W przypadku biura rachunkowego nie można uznać, że przetwarzanie danych ma charakter sporadyczny, a co za tym idzie prowadzenie rejestru czynności przetwarzania jest obligatoryjne. Ponadto, wystarczy jedna sytuacja, gdy może dojść do przetwarzania danych osobowych wrażliwych (np. związanych z wypadkiem i obszarem BHP) i przetwarzaniu poddane zostaną dane szczególnie chronione.

4. Zmiany – na co zwrócić szczególną uwagę?

Biuro rachunkowe, tak jak każda inna jednostka organizacyjna przetwarzająca dane osobowe, musi wprowadzić u siebie kilka istotnych zasad i procedur.

Rozporządzenie kładzie szczególny nacisk na prawa osób fizycznych i ich wiedzę o tym, co dzieje się z ich danymi osobowymi. Administrator musi za każdym razem zrealizować obowiązek informacyjny w stosunku do osób fizycznych. Dotyczy to nie tylko pracowników czy zleceniobiorców świadczących usługi na rzecz biura rachunkowego, ale również wszystkich kontrahentów prowadzących jednoosobową działalność gospodarczą. Warto więc opracować wzór umów zawieranych przez biuro rachunkowe, wprowadzając do niego odpowiednie klauzule informacyjne, z których osoba fizyczna dowie się m.in. kto jest administratorem jej danych osobowych, jakie ma prawa, jaka jest podstawa prawna i cel przetwarzania, komu będą one przekazywane a także przez jaki czas będą przetwarzane.

Ta ostatnia kwestia często budzi kontrowersje. Już bowiem na etapie zbierania danych osobowych trzeba jasno określić cel, do którego są one nam potrzebne i maksymalny czas ich przechowywania. Należy zweryfikować posiadane bazy danych i procesy przetwarzania, aby określić odpowiedni czas przechowywania danych.

Przykład

W przypadku akt osobowych RODO nakłada obowiązek ich przechowywania przez 50 lat od zakończenia stosunku pracy. Z kolei umowy zlecenia z osobami fizycznymi należy przechowywać co najmniej 10 lat od zakończenia umowy. Tyle bowiem wynosi okres przedawnienia roszczeń. Warto jednak przewidzieć ewentualne wszczęcie postępowania w ostatniej chwili i przerwanie biegu przedawnienia, poprzez dodanie do tego czasu odpowiedniego okresu zabezpieczającego, np. jednego roku. Po ustaniu celu przetwarzania i upływie odpowiedniego okresu należy dane usunąć lub zanonimizować.

5. Co oznacza, że biuro posiada odpowiednie zabezpieczenia organizacyjne i techniczne?

RODO nie zawiera zamkniętego katalogu środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych. Wymaga natomiast wykazania tego, że stosowane przez biuro środki i metody są skuteczne. RODO wskazuje cele jakie należy osiągnąć. Nie zawiera konkretnych wytycznych, często natomiast operuje pojęciami „adekwatny" czy „odpowiedni". Z pomocą mogą przyjść pewnego rodzaju standardy bezpieczeństwa: normy obowiązujące w danej dziedzinie bądź po prostu pewne elementy zdrowego rozsądku.

Przykład

Gdy kupujemy szafę na dokumenty, to warto wybrać taką z zamkiem z certyfikatem, a nie bez certyfikatu. Przesyłając wyciąg ze zbioru danych mailem warto zaszyfrować plik, a hasło przesłać smsem itp.

Zasad bezpieczeństwa jest mnóstwo, ale biuro powinno wybrać te pasujące do charakteru przetwarzania danych i poziomu bezpieczeństwa w firmie.

Wyjątkowo istotne jest ciągłe podnoszenie świadomości pracowników poprzez regularne szkolenia i bieżące konsultowanie wątpliwości jakie pojawiają się w codziennej pracy.

W dalszym ciągu sposób przetwarzania danych osobowych powinien być kompleksowo opisany w polityce bezpieczeństwa przetwarzania danych osobowych. To powinien być główny dokument, który wraz z załącznikami i innymi procedurami będzie stanowić trzon przedmiotowego obszaru.

RODO nakłada na administratorów obowiązek prowadzenia odpowiednich rejestrów naruszeń i zgłaszania incydentu do organu nadzorczego w ciągu 72 godzin. Ponadto powinni oni opracować rejestr czynności przetwarzania (art. 30 RODO) i – o ile ich to dotyczy – dokumentację oceny skutków przetwarzania danych (art. 35 RODO).

Wyjątkowo istotne jest skrupulatne przestrzeganie zaprojektowanych procedur przez osoby upoważnione do przetwarzania danych osobowych, tak aby ich zapisy nie pozostały „martwe". Wdrożenie RODO, co do zasady, powinno podnieść poziom i jakość funkcjonowania organizacji, a nie przeszkadzać w biznesie. Procedury powinny opisywać stan faktyczny, a nie sztucznie dokumentować nierealizowalne obowiązki.

6. Kiedy jest potrzebny inspektor ochrony danych osobowych?

RODO wprowadza funkcję inspektora ochrony danych osobowych (IOD), w miejsce administratora bezpieczeństwa informacji (ABI). IOD będzie pełnić bardzo doniosłą rolę w procesie ochrony danych. Ma on podlegać bezpośrednio najwyższemu kierownictwu jednostki Ma pełnić nie tylko funkcję doradczą czy monitorującą, ale być również łącznikiem zarówno dla organu nadzorczego, jak i osoby, której dane są przetwarzane przez administratora. Powołanie inspektora ochrony danych osobowych jest obligatoryjne zawsze gdy:

- dane przetwarza organ lub podmiot publiczny,

- główna działalność administratora lub procesora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres, lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę,

- główna działalność administratora lub procesora polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii (np. o stanie zdrowia) oraz danych o wyrokach skazujących za przestępstwa.

W przypadku większości biur rachunkowych co do zasady nie mamy do czynienia z żadną z powyższych przesłanek. Pomimo tego należy rozważyć powołanie inspektora ochrony danych osobowych ze względów bezpieczeństwa oraz precyzyjnego ustrukturyzowania wewnętrznie obszaru przetwarzania danych.

7. Dostęp informatyka do systemu IT to już przetwarzanie danych.

Zgodnie z RODO, każdy system, który przetwarza dane osobowe, powinien zapewnić realizację zasady:

- rozliczalności (właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko danemu użytkownikowi czy podmiotowi),

- integralności (właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany),

- poufności (właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom)

– w szczególności w zakresie uwierzytelniania użytkownika, zbierania i przechowywania logów systemowych. Krótko mówiąc, powinniśmy być w stanie wykazać, kto i kiedy wprowadził, modyfikował i usunął dane osobowe w systemie.

Rozporządzenie jest „technologicznie neutralne". Wymienia funkcjonalności, które są pewnego rodzaju fundamentem bezpieczeństwa IT, a są to:

- pseudonimizacja (przetworzenie danych w taki sposób, by nie można było ich przypisać konkretnej osobie, której dane dotyczą) i szyfrowanie danych osobowych;

- zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów (odporność systemów to zdolność do prawidłowego funkcjonowania pomimo dużego obciążenia) i usług przetwarzania;

- zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Kluczowe jest to, aby wykazać przestrzeganie wszystkich powyższych zasad. Na okoliczność kontroli Urzędu Ochrony Danych Osobowych biuro rachunkowe powinno nie tylko przedstawić dokumentację opisującą wdrożenie przedmiotowych zasad, ale np. pokazać w jaki sposób szyfrowane są dane czy jak działają backupy.

Wdrażając wszystkie środki i funkcjonalności RODO powinniśmy uwzględnić charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i różnej wadze zagrożenia. Innymi słowy, biuro rachunkowenie musi budować zabezpieczeń na miarę NATO. Zabezpieczenia powinny być adekwatne do ryzyk w naszym biznesie oraz aktualne w kontekście kosztu ich wdrażania.

Co istotne, przeważająca większość biur rachunkowych korzysta z programów dostawców systemów IT czy usług informatycznych świadczonych przez inne firmy. Jest to sytuacja, w której zasadne jest zawarcie odpowiedniej umowy powierzenia przetwarzania danych osobowych pomiędzy biurem rachunkowym i takim serwisem. Ważne jest dochowanie tego obowiązku, ponieważ sam dostęp lub możliwość dostępu do danych klientów przez informatyka jest przetwarzaniem.

Monika Maćkowska-Morytz, adwokat, Kaczmarczyk Orzechowski Legal Services

Maciej Mackiewicz, adwokat, Kaczmarczyk Orzechowski Legal Services

Źródło: Rzeczpospolita

REDAKCJA POLECA

NAJNOWSZE Z RP.PL