Co każdy pracownik biura rachunkowego powinien wiedzieć o RODO?

Zgodnie z zapisami RODO biuro rachunkowe pełni dwie funkcje. Funkcję administratora danych osobowych np. wobec swoich pracowników i klientów oraz funkcję podmiotu przetwarzającego dane klientów swoich klientów i ich pracowników. Co to oznacza i o czym musisz pamiętać, aby uniknąć kłopotów? Dowiesz się z tego artykułu.

Biuro rachunkowe jako administrator danych osobowych

Wobec własnych pracowników i klientów biuro rachunkowe pełni funkcję administratora danych osobowych, czyli jednostki decydującej o celach i środkach przetwarzania danych osobowych. Wynika to z art. 4 pkt 7 rozporządzenia RODO.

Do podstawowych obowiązków administratora danych osobowych należą:

• zapewnienie ochrony przetwarzania danych osobowych poprzez odpowiednie środki techniczne i organizacyjne,
• prowadzenie rejestru czynności przetwarzania,
• prowadzenie dokumentacji opisującej środki zapewniające ochronę danych osobowych.

Zatrudnianie pracowników wiążę się z gromadzeniem danych podlegających szczególnej ochronie np. zwolnień lekarskich. Rozporządzenie Ministra Kultury z 15 lutego 2005 r. w sprawie warunków przechowywania dokumentacji osobowej i płacowej pracodawców (Dz.U. 2005 nr 32 poz. 284) reguluje wymagania odnośnie do przechowywania ww. dokumentów.

Biuro rachunkowe jako podmiot przetwarzający dane osobowe

Administratorem danych osobowych przekazanych przez klienta do biura rachunkowego pozostaje przedsiębiorca, który jest właścicielem dokumentów i którego firmy one dotyczą. To klient zgodnie z przepisami jest zobowiązany do ich należytej ochrony. Biuro rachunkowe jedynie przetwarza powierzone dane.

Podmiot przetwarzający dane osobowe jest zobligowany do prowadzenia rejestru kategorii przetwarzania, który zawiera:

• nazwę oraz dane kontaktowe podmiotu przetwarzającego dane osobowe (oraz inspektora ochrony danych, jeśli został powołany),
• kategorie przetwarzań dokonywanych przez każdego z inspektorów,
• kategorie odbiorców, którym dane zostały lub zostaną ujawnione,
• ogólny opis środków technicznych i organizacyjnych zapewniających ochronę danych osobowych.

Wdrażane procedury i środki bezpieczeństwa muszą być adekwatne do zagrożeń. Oznacza to konieczność stałego monitorowania zabezpieczeń i przyjętych rozwiązań.

Umowa powierzenia przetwarzania danych osobowych

W interesie klienta jest podpisanie z biurem rachunkowym umowy powierzenia przetwarzania danych osobowych. Umowa powierzenia gwarantuje administratorowi danych, że biuro rachunkowe wykorzysta powierzone dane tylko w zakresie określonym w umowie.

Umowa powierzenia danych osobowych powinna określać:

• cel i zakres powierzenia danych,
• sposób zabezpieczenia danych i możliwość kontroli i weryfikacji zabezpieczeń przez Administratora,
• sposób informowania o naruszeniu danych,
• zakres odpowiedzialności i konsekwencje za naruszenie zasad bezpieczeństwa.

W umowie warto również określić, co stanie się z danymi po zakończeniu współpracy przedsiębiorcy z biurem rachunkowym.

Czy dane na fakturach to dane osobowe?

To zależy. Część z nich dotyczy osób fizycznych prowadzących działalność gospodarczą. Mimo że dane te są widoczne dla wszystkich w CEiDG, podlegają ochronie prawnej, ponieważ nadal są związane z osobami fizycznym.

Dane przedsiębiorstw będących osobami prawnym np. spółek z ograniczoną odpowiedzialnością czy spółek akcyjnych, osób prawnych, jednostek samorządu terytorialnego czy fundacji nie podlegają ochronie jako dane osobowe.

Nie narażaj biura rachunkowego na wysokie kary

Klienci coraz bardziej świadomie traktują kwestie związane z ochroną danych osobowych. Pozyskując i gromadząc dane np. z Internetu, nieświadomie biuro rachunkowe naraża się na przykre konsekwencje. W wielu przypadkach są one trudne do przewidzenia, dlatego dobrym rozwiązaniem jest rozszerzenie ochrony ubezpieczeniowej o odpowiedzialność cywilną i administracyjną za naruszenie RODO.

Warto przy tym pamiętać, że za naruszenie przepisów RODO grożą kary sięgające nawet kilku milionów euro. W Polsce podmiotem uprawnionym do przeprowadzenia kontroli w tym zakresie jest Urząd Ochrony Danych Osobowych. Ryzyko kontroli wzrasta w przypadku naruszenia ochrony danych osobowych, które może wywołać negatywne konsekwencja majątkowe, dyskryminację, kradzież tożsamości itp.