RODO w księgowości i w biurze rachunkowym – sprawdź, jak przygotować się na nowe przepisy

Katarzyna Trzpioła

Autor: Katarzyna Trzpioła

Dodano: 22 marca 2018
e3e9f4386c8f61f43c286c86fc6d65aef195069a-medium

Od 25 maja 2018 r. zaczną obowiązywać przepisy europejskiego rozporządzenia o ochronie danych osobowych (RODO). Wprowadzają one dużo zmian, które dotyczą służb finansowo księgowych, biur rachunkowych i doradców podatkowych. Poznaj wskazówki eksperta, aby przygotować się do nowych przepisów i uniknąć wysokich kar.

Po pierwsze każdy musi mieć świadomość, jak definiowane są w nowych przepisach „dane osobowe”, bowiem to w odniesieniu do nich nałożono obowiązki ochrony i odpowiedniego przetwarzania.

Dane osobowe

Dane osobowe są definiowane, jako „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować na podstawie:

  • Imienia i nazwiska,
  • Numeru identyfikacyjnego, 
  • Danych o lokalizacji
  • Identyfikatora internetowego
  • Jednego bądź kilku szczególnych czynników określających: fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
W praktyce oznacza to, że każdy przedsiębiorca, który gromadzi lub w jakikolwiek inny sposób przetwarza powyższe dane – nawet w ograniczonym stopniu, jak np. prowadząc stronę internetową za pomocą plików cookies czy ujmując w księgach lub PKPIR nazwy kontrahentów osób fizycznych i ich spółek – będzie musiał wykonać wiele czynności związanych z implementacją RODO.

Rozporządzenie nie ma zastosowania do działalności osobistej i domowej.

Nowe przepisy zakładają, że już na etapie projektowania systemu przetwarzania danych (np. systemu finansowo-księgowego, magazynowego), przedsiębiorca ma obowiązek uwzględniać zasady ochrony danych osobowych, czyli dobrać takie rozwiązania organizacyjne i techniczne, które zapewnią ochronę tych danych. Rozporządzenie nie określa bezpośrednio, jakie konkretnie zabezpieczenia w zakresie ochrony danych osobowych mają być wprowadzone.

Nie ma znaczenia fakt, czy dane osobowe będą przechowywane w formie elektronicznej, czy tradycyjnej oraz czy będą przetwarzane w sposób zautomatyzowany lub też niezautomatyzowany czy będą przetwarzane w chmurze czy na serwerach w jednostce. Ciężar odpowiedzialności za dokonanie odpowiedniego wyboru spoczywa na administratorze i podmiocie przetwarzającym.

W ramach wprowadzonej przez RODO zasady tzw. privacy by default przedsiębiorca będzie musiał wprowadzić w swoich systemach informatycznych ochronę prywatności, jako domyślne ustawienie systemów. Dotyczy to w szczególności systemów finansowo księgowych w których są zawarte dane klientów i transakcji z nimi prowadzonymi.

Przetwarzanie danych

Klient biura rachunkowego czy doradcy podatkowego powierza firmie faktury sprzedażowe i zakupowe, dokumenty pracownicze, umowy, wyciągi bankowe czy też inne potwierdzenia dokonywanych transakcji. Oznacza to, że powierza pracownikom biura rachunkowego:

  • dane kontrahentów, zarówno dostawców, jak i odbiorców,
  • dane wartościowe dotyczące informacji o wielkości dokonywanych przez klienta transakcji;
  • dane zatrudnionych pracowników (w tym dane wrażliwe, np. zwolnienia lekarskie, stopień niepełnosprawności), jeżeli usługa poszerzona jest o prowadzenie kadr.

A więc w myśl RODO, biura rachunkowe lub doradcy podatkowi będą nie tylko administratorami „swoich” danych osobowych, odpowiedzialnymi za przestrzeganie przepisów oraz zobowiązanymi do wykazania ich przestrzegania zgodnie z zasadą rozliczalności, ale będą także podmiotami przetwarzającymi dane osobowe.

Wszystkie przekazywane do biura rachunkowego dokumenty są własnością i dotyczą firmy klienta, a zatem to klient jest tzw. administratorem danych osobowych. Klient pozostaje administratorem danych i jest zobowiązany, zgodnie z ustawą, do dochowania ich należytej ochrony, natomiast administrator danych to organ, jednostka organizacyjna, podmiot lub m.in. osoby fizyczne, firmy, decydujące o celach i środkach przetwarzania danych osobowych.

Biuro rachunkowe lub kancelaria podatkowa będą administratorem danych osobowych swoich pracowników, ale będą także podmiotem przetwarzającym w stosunku do danych osobowych, które uzyskają od swoich klientów, w toku prowadzonych spraw. W takiej sytuacji przetwarzanie danych osobowych musi, co do zasady, odbywać się na podstawie pisemnej umowy. Przepisy rozporządzenia określają minimalną treść takiej umowy i wymuszają ścisłą współpracę pomiędzy administratorem i podmiotem przetwarzającym w zakresie ochrony danych osobowych.

Przyjmując zbiory danych, biuro rachunkowe powinno, zatem zabezpieczyć się, aby posiadać status uprawnień do przetwarzania danych. To w interesie klienta, jako administratora danych jest podpisanie z biurem rachunkowym umowy dotyczącej ich powierzenia. Z umowy powinno wynikać, że przekazane dane, za które nadal odpowiada ich administrator, będą przetwarzane przez podmiot świadczący usługę prowadzenia ksiąg z dochowaniem należytej staranności i zgodnie z przepisami ustawy o ochronie danych osobowych.

Administrator danych może korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych,  aby przetwarzanie spełniało wymogi RODO.

Będzie to można stwierdzić m. in. poprzez posiadanie odpowiedniego certyfikatu lub wdrożenie kodeksu postępowania, zatwierdzonego przez organ nadzorczy. Biuro rachunkowe czy doradca podatkowy, podpisując z klientem umowę powierzenia, zobowiązuje się wykorzystywać powierzone mu dane jedynie w zakresie, jaki został określony w umowie.

Zapewnienie odpowiedniego poziomu ochrony danych powinno stać się jednym z kryteriów wyboru przez klientów usług biura rachunkowego czy kancelarii podatkowej.

Rejestr czynności przetwarzania danych osobowych

Zgodnie z nowym rozporządzeniem nie będzie już konieczne przygotowywanie polityki bezpieczeństwa (choć jej posiadanie w pewnych wypadkach może być wskazane) oraz rejestrowanie zbiorów danych. Niektórzy administratorzy danych będą musieli prowadzić rejestr czynności przetwarzania danych osobowych. Taki obowiązek będą mieli np. te podmioty, które zatrudniają ponad 249 pracowników.

Obowiązek rejestracji czynności przetwarzania obejmie również innych przedsiębiorców i inne podmioty, jeżeli przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych tzw. danych wrażliwe (np. zdrowia, finansów) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Inspektor danych osobowych

Zniknie funkcja administratora bezpieczeństwa informacji (ABI), natomiast pojawi się inspektor ochrony danych (IOD), którego rola będzie zbliżona do zadań ABI. Jednak nowe przepisy wzmocnią rolę inspektorów, np. jego wyznaczenie stanie się w niektórych przypadkach obowiązkiem, a nie jak dotąd, uprawnieniem administratora danych osobowych. Inspektora ochrony danych powinni wyznaczyć administrator i podmiot przetwarzający m.in., gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

Administrator danych

Administrator danych zobowiązany jest we własnym zakresie ocenić ryzyko i oszacować, jakie rozwiązania będą najlepsze do zastosowania w prowadzonej przez siebie działalności.

Administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Biura rachunkowe oraz doradcy podatkowi mogą przeprowadzić audyty prowadzonej działalności ww. zakresie i skorzystać ze szkoleń dla swoich pracowników.

W przypadku administratorów danych rejestr czynności przetwarzania danych osobowych powinien zawierać następujące informacje:

  • Imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także - gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych,
  • Cele przetwarzania,
  • Opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
  • Kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
  • Dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - gdy ma to zastosowanie,
  • Planowane terminy usunięcia poszczególnych kategorii danych - jeżeli jest to możliwe,
  • Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa przetwarzania - jeżeli jest to możliwe.

Biuro rachunkowe czy doradca podatkowy będzie przetwarzał dane swoich klientów na podstawie umowy powierzenia, zatem rejestr wszystkich kategorii czynności przetwarzania powinien zawierać:

  • Imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu, którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
  • Kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
  • Informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w niektórych przypadkach również o dokumentacji odpowiednich zabezpieczeń - gdy ma to zastosowanie,
  • Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa - jeżeli jest to możliwe.

Elementy tych rejestrów są bardzo podobne do tych, które obecnie muszą zawierać zgłoszenia zbioru do rejestracji u GIODO oraz wewnętrzne rejestry zbiorów danych osobowych prowadzone przez ABI na podstawie ustawy o ochronie danych. Nowe rejestry będą musiały mieć formę pisemną, w tym formę elektroniczną.

Podsumowanie

Podmioty przetwarzające dane  takie jak biura rachunkowe czy doradcy będą zobowiązane od przygotowania i utrzymania rejestrów dotyczących przetwarzanych danych. W rejestrach będą uwzględniane m.in. powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń i incydentów, rozwój i utrzymanie zasad ochrony prywatności dla każdej linii produktowej, przechowywanie potwierdzonych zgód na przetwarzanie danych itd.

Ważne dla biur rachunkowych

Pozyskując klienta warto podkreślić, ie poza podstawowymi usługami można zaoferować, jako swój atut, znajomość i stosowanie prawa dotyczącego ochrony danych osobowych.

Katarzyna Trzpioła

Autor: Katarzyna Trzpioła

Doktor nauk ekonomicznych w zakresie nauk o zarządzaniu, adiunkt na Wydziale Zarządzania Uniwersytetu Warszawskiego, praktyk, wieloletni szkoleniowiec i dydaktyk, autorka wielu publikacji z zakresu rachunkowości finansowej podatkowej, MSSF i rachunkowości zarządczej. Współpracuje z następującymi redakcjami: Portal FK, Rachunkowości i Podatki dla praktyków, Nowe Standardy Sprawozdawczości
Nie ma jeszcze komentarzy do tego dokumentu.
Zaloguj się aby dodać komentarz
Poradnia 48h

Jeśli masz jakiekolwiek pytania skorzystaj z indywidualnej porady grona naszych wybitnych Ekspertów.