Jakie są zasady ochrony danych osobowych w biurze rachunkowym?

Jakie są zasady ochrony danych osobowych w biurze rachunkowym?

Do biura rachunkowego przekazywane obowiązki przez podmioty gospodarcze są związane z prowadzeniem kadr, księgowości oraz kontaktów z Zakładem Ubezpieczeń Społecznych i Urzędem Skarbowym. Do ich usług należą również świadczenia doradcze przy wypełnianiu wniosków o zapomogi w formie dotacji unijnych, samorządowych czy też pisanie biznesplanów. Dane osobowe, które są przekazywane należą do wrażliwych i poufnych. Stąd konieczność wdrożenia przepisów RODO, które są nieodzownym elementem dla biura rachunkowego.

Jakie dane przetwarza biuro rachunkowe?

Dane osobowe to innymi słowy szereg informacji, dzięki którym możemy zidentyfikować daną osobę. Ustawa RODO nie posiada zamkniętego wykazu owych danych. Zatem obowiązkiem każdego biura rachunkowego jest ocena, czy informacje przekazane przez klienta mają charakter danych osobowych.

W biurze rachunkowym najczęstszymi udostępnianymi danymi osobowymi przez klienta są tzw. dane zwykłe podatnika. Są to m.in.:

  • imię i nazwisko,
  • adres zamieszkania,
  • numer dowodu osobistego,
  • numery NIP i PESEL,
  • adres e-mail.

Kolejną kategorię w biurze rachunkowym stanowią dane wrażliwe. Mogą dotyczyć one m.in. skazań,  orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, jak i informacje o stanie zdrowia pracownika.

Przetwarzanie danych osobowych przez biuro rachunkowe na cele gospodarcze

Przetwarzaniem danych osobowych nazywamy wszystkie operacje, które dokonywane są na danych osobowych klienta w tym ich opracowywanie, zbieranie, nanoszenie zmian i przechowywanie. Wykonanie choćby jednej czynności traktowane jest jako przetwarzanie danych osobowych.

Dane osobowe klienta mogą zostać przetworzone przez biuro rachunkowe tylko i wyłącznie
w uzasadnionych celach. Bezpodstawne wykorzystanie danych osobowych klienta jest karalne.

Umowa o powierzenie danych osobowych

Współpraca biura rachunkowego z klientem, wiąże się z obowiązkowym zawarciem umowy
o przetwarzaniu danych osobowych. Umowa przedstawia przedsiębiorcę jako administratora danych, który upoważnia biuro rachunkowe do przetwarzania danych osobowych na określonych warunkach odpowiedzialności. Brak niniejszego dokumentu równa się z ryzykiem przejęcia statusu administratora danych osobowych, które zobowiązuje do zgłoszenia GIODO (Generalny Inspektor Ochrony Danych Osobowych) zbiorów danych osobowych.

Zabezpieczenia techniczne

Dane muszą być odpowiednio zabezpieczone przed niedozwolonym przetwarzaniem oraz zniszczeniem. Podstawowymi formami zabezpieczeń są m.in.:

  • zabezpieczenie komputerów i programów komputerowych w biurze,
  • hasła dostępowe – ich złożoność i częstotliwość ich zmiany,
  • zabezpieczenie poczty elektronicznej,
  • dostęp do dokumentów poza biurem – dla kogo, w jakim miejscu i w jakim zakresie,
  • osoba odpowiedzialna za tworzenie kopii bezpieczeństwa,
  • zabezpieczenia mebli i miejsc w których przechowywane są dokumenty w wersji papierowej oraz klucze dostępu.

Powołanie Inspektora Ochrony Danych

Inspektor ochrony danych to konstrukcja wprowadzona przez RODO, której założenia zbliżone są do przepisów UODO. W związku z tym biuro rachunkowe powinno zdecydować, czy sposób w jaki prowadzone przez nie działalności nakłada na biuro obowiązek powołania Inspektora Ochrony Danych.

Podmioty, które przetwarzają dane na dużą skalę są zobligowane do powołania IOD. Dla większości biur rachunkowych jest do dobrowolny wybór, choć powołując IOD możemy dodatkowo podnieść poziom bezpieczeństwa danych osobowych.

Naruszenie ochrony danych osobowych

Naruszenie danych osobowych występuje, gdy dane ucierpiały w wyniku incydentu zagrażającego bezpieczeństwu, wskutek którego została naruszona poufność, dostępność lub integralność danych. W przypadku naruszenia należy zgłosić bezzwłocznie organowi nadzorczemu o zaistniałej sytuacji, nie później niż w terminie 72 h od stwierdzenia naruszenia. Klient biura rachunkowego, jako administrator danych, zostaje poinformowany o naruszeniu przez Prezesa Urzędu Ochrony Danych Osobowych (UODO). Konsekwencją nieuprawnionego przetwarzania danych grozi kara w postaci grzywny lub pozbawienia wolności do lat dwóch.

Biuro Rachunkowe
Skontaktuj się z nami