Biura rachunkowe odpowiadają za ochronę danych osobowych

Udział biura rachunkowego w działalności ich klientów przejawia się m.in. w tworzeniu określonych zbiorów informacji, a następnie na odpowiednim ich przetwarzaniu i przekazywaniu organom zarządzającym przedsiębiorstwem. Zadanie to wymaga przetwarzania ogromnych ilości danych, przede wszystkim finansowych.

Nie mniej istotne są informacje o charakterze osobowym, umożliwiające identyfikowanie osoby fizycznej, jeżeli jej tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników, określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, tekst jedn. DzU z 2016 r., poz. 922; dalej: uodo). Mogą to być np. takie dane, jak: imię, nazwisko, adres zamieszkania, PESEL, NIP. Do danych osobowych zalicza się również informacje o osobach fizycznych prowadzących własną działalność gospodarczą. Z tego katalogu wyłączone są osoby prawne i inne jednostki organizacyjne (sp. z o.o., stowarzyszenia, fundacje). Przetwarzaniem jest każda czynność wykonywana na danych osobowych (art. 7 pkt 2 uodo), taka jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, zwłaszcza wykonywana w systemach informatycznych.

Dowody i zapisy

Informacje, które można uznać za dane osobowe, są zawarte w zasadzie we wszystkich zbiorach składających się na księgi rachunkowe. Dowody księgowe, dokumentujące operacje gospodarcze, zawierają określenie stron transakcji (nazwiska i adresy), podpisy wystawcy dowodu oraz osób, którym wydano lub od których przyjęto składniki aktywów, a także podpisy osób odpowiedzialnych za sprawdzenie i zakwalifikowanie dowodu do ujęcia w księgach rachunkowych. Dziennik obejmuje chronologiczne ujęcie zdarzeń, jakie nastąpiły w danym okresie sprawozdawczym. Każdy zapis nie tylko powinien umożliwiać jego jednoznaczne powiązanie ze sprawdzonymi i zatwierdzonymi dowodami księgowymi, ale także zawierać zrozumiały tekst, skrót lub kod opisu operacji. Zapis księgowy, a pośrednio także dziennik mogą tym samym określać dane osób fizycznych. Wychodząc od zapisu księgowego, można ustalić tożsamość osób, sięgając do odpowiednio uporządkowanego zbioru dowodów źródłowych. Poruszając się w tak skomponowanym zestawie zbiorów danych, nietrudno zatem ustalić tożsamość określonej osoby fizycznej i zweryfikować posiadane na jej temat informacje o charakterze osobowym.

Rzetelne prowadzenie ksiąg

Ustawa o rachunkowości (dalej: uor) wymaga, aby konta ksiąg pomocniczych były prowadzone m.in. dla rozrachunków z kontrahentami, pracownikami (imienna ewidencja wynagrodzeń obejmująca informacje z całego okresu zatrudnienia), operacji sprzedaży (kolejno numerowane własne faktury i inne dowody, ze szczegółowością niezbędną dla celów podatkowych), operacji zakupu (obce faktury i inne dowody, ze szczegółowością niezbędną do wyceny składników aktywów i do celów podatkowych), operacji gotówkowych w przypadku prowadzenia kasy. Rzetelne prowadzenie ksiąg pomocniczych wymaga precyzyjnego określenia danych osobowych pracowników i kontrahentów, którymi często są także osoby fizyczne. To tylko wybrane przykłady, które pokazują, że każda jednostka zobowiązana do prowadzenia ksiąg rachunkowych przetwarza w systemie księgowym dziesiątki, jeśli nie setki danych osób fizycznych.

Jakie sankcje

Ustawa o ochronie danych osobowych nakłada na podmioty przetwarzające dane osobowe wiele obowiązków. Biuro rachunkowe powinno zadbać o przetwarzanie danych osobowych zgodnie z prawem. Nie tylko tych powierzonych przez klienta (wówczas to klient, jako „właściciel" powierzonych danych, jest ich administratorem), ale również administrowanych przez biuro, np. danych osobowych zatrudnianych przez siebie pracowników. Jeśli podmiot, przetwarzający powierzone mu dane lub będący ich bezpośrednim administratorem, nie spełnia wymogów uodo, jest to działanie niezgodne z prawem i podlegające odpowiedzialności karnej. Zgodnie z uodo, odpowiedzialności takiej podlega m.in. ten, kto przetwarza dane osobowe, choć jest to niedopuszczalne, albo przetwarza je bez odpowiedniego uprawnienia.

Odpowiedzialność karną ponosi także administrator danych, który udostępnia lub umożliwia dostęp do nich osobom nieupoważnionym. Podlega jej również naruszenie przez administratora (choćby nieumyślnie) obowiązku zabezpieczenia danych osobowych przed ich zabraniem przez osobę nieupoważnioną, uszkodzeniem lub zniszczeniem, obowiązku rejestracji zbioru w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO), a także niedopełnienie obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji, umożliwiających korzystanie z praw przyznanych jej w uodo.

27 kwietnia 2016 r. Parlament Europejski i Rada uchwaliły pakiet legislacyjny, odnoszący się do ochrony danych osobowych. Rozporządzenie 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. ogólne rozporządzenie o ochronie danych) wejdzie w życie 25 maja 2018 r. Na jego podstawie możliwe będzie nakładanie przez organy kontroli danych osobowych także sankcji finansowych za nieprzestrzeganie przepisów uodo, nawet do wysokości 4 proc. całkowitego rocznego obrotu przedsiębiorstwa.

Trzeba działać z wyprzedzeniem

Dlatego już dziś warto się zatroszczyć o przestrzeganie przepisów uodo i wdrożyć właściwe zabezpieczenia – środki organizacyjno-techniczne zapewniające bezpieczeństwo przetwarzanych danych, w zależności od rodzaju informacji oraz zagrożeń jakie mogą wystąpić. Niestety, uodo nie wskazuje wprost, jakiego rodzaju środki zastosować. Administrator danych zobowiązany jest we własnym zakresie ocenić ryzyko i oszacować, jakie rozwiązania będą najlepsze do zastosowania w prowadzonej przez siebie działalności. Jednym z podstawowych elementów zwiększenia bezpieczeństwa przetwarzania danych osobowych jest wdrożenie właściwej dokumentacji. Ustawa wręcz nakazuje prowadzenie dokumentacji, na którą składają się polityka bezpieczeństwa danych osobowych oraz instrukcja zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych >patrz tabela.

W trakcie tworzenia wykazu zbiorów danych osobowych – w ramach polityki bezpieczeństwa – może się okazać, że niektóre z nich należy zgłosić do rejestru prowadzonego przez GIODO. Każdy zbiór danych osobowych podlega takiej rejestracji, jednak uodo przewiduje wyjątki, zwalniające z tego obowiązku.

Biura rachunkowe mogą skorzystać z tego typu „zwolnień", gdy przetwarzają zbiory danych, dotyczących osób korzystających z ich usług jako doradcy podatkowego (często księgowy jest również doradcą podatkowym lub na odwrót) lub przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej (art. 43 ust. 1 pkt 5 i 8 uodo).

Podmiotem zobowiązanym do rejestracji zbioru, zawierającego dane osobowe, jest wyłącznie administrator danych, czyli ten, kto decyduje o celach i środkach ich przetwarzania. Gdy biuro rachunkowe nie jest administratorem przetwarzanych danych, a jedynie otrzymało je od swoich klientów w celu przeprowadzenia określonych rozliczeń lub innych czynności, wówczas klient jako administrator wymienionych danych osobowych jest odpowiedzialny za ewentualny obowiązek rejestracji zbioru. Biuro rachunkowe jest jedynie podmiotem przetwarzającym na podstawie umowy powierzenia przetwarzania danych (art. 31 uodo wskazuje, że taka umowa powinna zostać zawarta na piśmie; w praktyce bardzo często ten obowiązek jest zaniedbywany).

Powierzenie przetwarzania danych osobowych nie zwalnia biura rachunkowego z obowiązku chronienia i zabezpieczenia danych osobowych przetwarzanych w imieniu klienta. Biuro rachunkowe jest obowiązane przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające ich zbiór, o których mowa w art. 36–39 uodo, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a uodo (m.in. wdrożenie rozwiązań technicznych i  organizacyjnych, zapewniających bezpieczeństwo przetwarzanych danych, posiadanie stosownej dokumentacji odnoszącej się do przetwarzania danych osobowych, udzielenie osobom wykonującym poszczególne czynności upoważnienia do przetwarzania danych itd.). W zakresie przestrzegania tych przepisów biuro rachunkowe ponosi odpowiedzialność jak administrator danych. W pozostałym zakresie odpowiedzialność za przestrzeganie przepisów uodo spoczywa oczywiście na administratorze danych (kliencie), co nie wyłącza odpowiedzialności biura, które zawarło umowę, za przetwarzanie danych niezgodnie z tą umową. Innymi słowy, biuro nie może wykorzystywać wymienionych danych dla własnych celów, np. marketingowych.

Przetwarzanie danych osobowych jest złożoną materią i nie da się odpowiedzieć w sposób uniwersalny, kompleksowy na wszystkie pytania dotyczące ich przetwarzania w biurach rachunkowych. Każdą sytuację należy oceniać oddzielnie i weryfikować poszczególne przypadki pod kątem istniejącego stanu faktycznego. Może się okazać, że jedno biuro rachunkowe nie będzie miało obowiązku rejestracji określonego zbioru danych (przetwarzanego w formie papierowej), a inne biuro już tak, mimo że dotyczy to takiego samego zbioru (tu przetwarzanego wyłącznie w formie elektronicznej).

Autor jest radcą prawnym, wspólnikiem kancelarii prawnej Olech i Wspólnicy z Poznania

Zdaniem eksperta

Prof. dr hab. inż. Zbigniew Luty, przewodniczący Rady Naukowej Stowarzyszenia Księgowych w Polsce, kierownik Katedry Rachunkowości Finansowej i Kontroli wrocławskiego Uniwersytetu Ekonomicznego

Cyberprzestrzeń to techniczny system globalnej komunikacji między państwami, instytucjami, indywidualnymi osobami, w transporcie (samolotowym, morskim), obronności (między systemami dowodzenia) itp. Cyberbezpieczeństwo to bezpieczeństwo informacji w tym systemie, które nie jest łatwo zapewnić. Działa rynek hakerski, na którym występuje m.in. obrót środkami pieniężnymi i kradzionymi informacjami. Niezbędne jest uszczelnienie przepływów finansowych i kontrola kont bankowych, ochrona wszelkich informacji dotyczących danych osobowych. Musimy jednak mieć na uwadze, że cyberbezpieczeństwo może być także przyczyną utraty prywatności obywateli.

Atakowane są krytyczne węzły informacji biznesowej. Im większa wartość informacji i im wyższy koszt legalnego jej pozyskania, tym bardziej jest narażona na atak – pojawia się zatem problem wyceny jej wartości.