RODO w biurze rachunkowym - jak się przygotować?

Dnia 25 maja 2018 roku w życie wchodzi RODO (GDPR) czyli inaczej mówiąc unijne Rozporządzenie w sprawie ochrony danych osobowych. Wyłącza to stosowanie obecnych przepisów w zakresie ochrony danych osobowych na rzecz rozporządzenia i nowych przepisów krajowych, które jeszcze są w fazie projektu. Wprowadzenie RODO w biurze rachunkowym jest obowiązkiem każdej osoby prowadzącej firmę tego typu.

Dane osobowe w biurze rachunkowym

Danymi osobowymi są wszelkie dane, które wskazują na konkretną osobę czyli dające możliwość zidentyfikowania konkretnej osoby. Będzie to np. imię i nazwisko, PESEL, numer IP, adres e-mail jeżeli wskazuje nazwisko i imię wraz z domeną firmy, w której osoba jest zatrudniona.

Biuro powinno zidentyfikować zbiory danych i czynności przetwarzania

Zbiory danych osobowych

Identyfikacja zbiorów danych to wypisanie w kolumnie kategorii danych jakie w biurze są przetwarzane. Będą to zapewne m.in.:

  • kontrahenci (występują w: CRM,dokumenty księgowe i umowy)

  • osoby kontaktowe (telefon, komputer, CRM)

  • pracownicy (system kadrowy, teczki osobowe)

  • osoby współpracujące na umowy cywilnoprawne (system kadrowy, segregatory)

  • zbiory danych powierzonych biuru rachunkowemu od klientów (pracownicy klientów, kontrahenci klientów).

Mimo że RODO nie nakazuje wprost prowadzenia rejestru zbiorów danych ich zidentyfikowanie pozwoli określić jakie dane mamy w biurze, na jakiej podstawie dane przetwarzamy (tzw. przesłanka legalności), kto powinien mieć do nich dostęp a kto nie. Będzie również ułatwieniem by określić co na co dzień tak naprawdę robimy z danymi, do jakich czynności je wykorzystujemy, a następnie jakie wiąże się z tym ryzyko wycieku danych, utraty, ich nieuprawnionego wykorzystania.

rodo w biurze rachunkowym

Ocena legalności danych osobowych

Dane osobowe osób fizycznych można przetwarzać jedynie pod warunkiem, że ten kto dane przetwarza (administrator lub podmiot przetwarzający) ma do tego podstawę, a najczęstszą podstawą są:

  • przepisy prawa np. dane kontrahenta - prawo podatkowe (przepisy ustawy o VAT, rozporządzenie w sprawie kpir) np. wystawienie faktury z użyciem danych; dane pracownika - kodeks pracy, ustawy ubezpieczeniowe np. prowadzenie akt osobowych, ustawa o ZFŚS np. dane o zarobkach małżonka dla celów przyznania dofinansowania z funduszu - w tym przypadku zgoda osoby nie jest potrzebna;

  • umowa z osobą, której dane dotyczą - np. firma świadcząca usługi remontowe posiada imię i nazwisko oraz adres zamieszkania osoby zlecające z uwagi, że jest to miejsce wykonania umowy (malowanie ścian mieszkania) - w tym przypadku zgoda osoby nie jest potrzebna;

  • zgoda osoby, której dane dotyczą - np. wykorzystanie adresu e-mail do celów przesyłania newslettera na podstawie zgody osoby, której adres dotyczy na przesyłanie informacji marketingowych - dotyczy sytuacji w których nie ma podstaw prawnych ani umowy, która dla celów realizacji wymagałaby posiadania określonych danych osobowych.

Ważne!
W przypadku biura rachunkowego najczęstszą przesłanką będzie umowa o prowadzenie usług księgowo-kadrowych. Należy pamiętać, że biuro jest jednocześnie:
> administratorem danych - ma swoich kontrahentów, pracowników
> podmiotem przetwarzającym - przetwarza dane dostarczone do biura przez klientów (kontrahenci klienta, pracownicy klienta).

Upoważnienie do przetwarzania danych w mojebiuro24.pl

Pracownicy lub współpracownicy biura rachunkowego powinni uzyskać upoważnienie do przetwarzania danych osobowych adekwatne do stanowiska i czynności jakie na danym stanowisku wykonują. Dlatego też wypełniając obowiązek RODO dotyczący monitorowania dostępu do danych należy kontrolować kto w firmie ma jakie prawa dostępu do danych poprzez wydawanie odpowiednich upoważnień.

Zobacz jak sporządzić upoważnienie do przetwarzania danych osobowych w systemie.

Rejestr czynności przetwarzania w mojebiuro24.pl

Obowiązek dotyczy firm zatrudniających powyżej 250 osób oraz tych zatrudniających mniej osób ale przetwarzających dane na dużą skalę. Prowadzenie przez firmę rejestru czynności przetwarzania może być realizowane w formie uzupełnianej i monitorowanej na bieżąco tabeli.

Kalendarz szkoleń pracowników

RODO nakazuje prowadzić szkolenia dla pracowników. Mogą być to szkolenia wewnętrzne np. e-lerningowe. Nie mówi o tym jak często, jednak przyjęło się, że minimum to szkolenie prowadzone przy zatrudnianiu pracownika i odnawiane co 2 lata a najlepiej co rok.

Zobacz jak zaplanować kalendarz szkoleń pracowników w zakładce KADRY  » KALENDARZ.

Wypełnienie obowiązków wobec osób, których dane w firmie są przetwarzane

Przepisy dotyczące ochrony danych osobowych dają osobom fizycznym pewne prawa:

  • prawo do bycia poinformowanym o operacjach przetwarzania

  • prawo dostępu

  • prawo do sprostowania/uzupełnienia danych

  • prawo do usunięcia danych (prawo do bycia zapomnianym)

  • prawo do ograniczenia przetwarzania

  • prawo do przenoszenia danych

  • prawo do sprzeciwu

  • prawo do tego, by nie podlegać profilowaniu.

Nie wszystkie jednak prawa zawsze danej osobie przysługują.

Zobacz jak w mojebiuro24.pl realizować prawa osób fizycznych: Prawa osób, których dane dotyczą realizowane w systemie.

Zapewnienie bezpieczeństwa danych w biurze rachunkowym wg RODO

Nowe przepisy wymieniają katalog przykładowych 4 czynności jakie mogą prowadzić do zachowania bezpieczeństwa danych osobowych:

  • pseudonimizacja i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Nie wszystkie czynności trzeba stosować. RODO podaje przykłady ale ostateczne środki ochrony bezpieczeństwa określa administrator. Zobacz: zapewnienie bezpieczeństwa danych w biurze rachunkowym wg RODO.

Procedura zgłaszania naruszenia

Jeżeli w firmie nastąpi naruszenie czyli inaczej mówiąc incydent przedsiębiorca ma 72 godziny na zgłoszenie naruszenia do Urzędu Ochrony Danych Osobowych - UODO (dawniej GIODO). Przy kwalifikacji naruszenia ocenia się skutki jakie dane naruszenie może nieść dla osoby/osób fizycznych godząc w jej/ich wolność osobistą.

Powołanie Inspektora Ochrony Danych Osobowych tzw. IODO

Obowiązek powołania IODO nie jest obligatoryjny czyli ostatecznie każda firma sama decyduje czy powołuje Inspektora czy nie. W praktyce IODO powinien być powołany na pewno w firmie, której działalność wiąże się z bardzo dużą ilością przetwarzanych danych osobowych (tzw. duża skala, której definicji i zakresu jednak wprost nie określono), a już w szczególności gdy dotyczy to danych wrażliwych np. szpitale.

Kary za naruszenia w ochronie danych osobowych

Maksymalne kary za naruszenia są wysokie bowiem wynoszą do 20 mln Euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa w zależności co jest wyższe.