Tylko teraz możesz BEZPŁATNIE przetestować PortalFK.pl przez 24h! GWARANTUJEMY:
Od 25 maja 2018 r. zaczną obowiązywać przepisy europejskiego rozporządzenia o ochronie danych osobowych (RODO). Wprowadzają one dużo zmian, które dotyczą służb finansowo księgowych, biur rachunkowych i doradców podatkowych. Poznaj wskazówki eksperta, aby przygotować się do nowych przepisów i uniknąć wysokich kar.
Po pierwsze każdy musi mieć świadomość, jak definiowane są w nowych przepisach „dane osobowe”, bowiem to w odniesieniu do nich nałożono obowiązki ochrony i odpowiedniego przetwarzania.
Dane osobowe są definiowane, jako „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować na podstawie:
Rozporządzenie nie ma zastosowania do działalności osobistej i domowej.
Nowe przepisy zakładają, że już na etapie projektowania systemu przetwarzania danych (np. systemu finansowo-księgowego, magazynowego), przedsiębiorca ma obowiązek uwzględniać zasady ochrony danych osobowych, czyli dobrać takie rozwiązania organizacyjne i techniczne, które zapewnią ochronę tych danych. Rozporządzenie nie określa bezpośrednio, jakie konkretnie zabezpieczenia w zakresie ochrony danych osobowych mają być wprowadzone.
Nie ma znaczenia fakt, czy dane osobowe będą przechowywane w formie elektronicznej, czy tradycyjnej oraz czy będą przetwarzane w sposób zautomatyzowany lub też niezautomatyzowany czy będą przetwarzane w chmurze czy na serwerach w jednostce. Ciężar odpowiedzialności za dokonanie odpowiedniego wyboru spoczywa na administratorze i podmiocie przetwarzającym.
Klient biura rachunkowego czy doradcy podatkowego powierza firmie faktury sprzedażowe i zakupowe, dokumenty pracownicze, umowy, wyciągi bankowe czy też inne potwierdzenia dokonywanych transakcji. Oznacza to, że powierza pracownikom biura rachunkowego:
A więc w myśl RODO, biura rachunkowe lub doradcy podatkowi będą nie tylko administratorami „swoich” danych osobowych, odpowiedzialnymi za przestrzeganie przepisów oraz zobowiązanymi do wykazania ich przestrzegania zgodnie z zasadą rozliczalności, ale będą także podmiotami przetwarzającymi dane osobowe.
Wszystkie przekazywane do biura rachunkowego dokumenty są własnością i dotyczą firmy klienta, a zatem to klient jest tzw. administratorem danych osobowych. Klient pozostaje administratorem danych i jest zobowiązany, zgodnie z ustawą, do dochowania ich należytej ochrony, natomiast administrator danych to organ, jednostka organizacyjna, podmiot lub m.in. osoby fizyczne, firmy, decydujące o celach i środkach przetwarzania danych osobowych.
Przyjmując zbiory danych, biuro rachunkowe powinno, zatem zabezpieczyć się, aby posiadać status uprawnień do przetwarzania danych. To w interesie klienta, jako administratora danych jest podpisanie z biurem rachunkowym umowy dotyczącej ich powierzenia. Z umowy powinno wynikać, że przekazane dane, za które nadal odpowiada ich administrator, będą przetwarzane przez podmiot świadczący usługę prowadzenia ksiąg z dochowaniem należytej staranności i zgodnie z przepisami ustawy o ochronie danych osobowych.
Administrator danych może korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi RODO.
Będzie to można stwierdzić m. in. poprzez posiadanie odpowiedniego certyfikatu lub wdrożenie kodeksu postępowania, zatwierdzonego przez organ nadzorczy. Biuro rachunkowe czy doradca podatkowy, podpisując z klientem umowę powierzenia, zobowiązuje się wykorzystywać powierzone mu dane jedynie w zakresie, jaki został określony w umowie.
Zgodnie z nowym rozporządzeniem nie będzie już konieczne przygotowywanie polityki bezpieczeństwa (choć jej posiadanie w pewnych wypadkach może być wskazane) oraz rejestrowanie zbiorów danych. Niektórzy administratorzy danych będą musieli prowadzić rejestr czynności przetwarzania danych osobowych. Taki obowiązek będą mieli np. te podmioty, które zatrudniają ponad 249 pracowników.
Obowiązek rejestracji czynności przetwarzania obejmie również innych przedsiębiorców i inne podmioty, jeżeli przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych tzw. danych wrażliwe (np. zdrowia, finansów) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.
Zniknie funkcja administratora bezpieczeństwa informacji (ABI), natomiast pojawi się inspektor ochrony danych (IOD), którego rola będzie zbliżona do zadań ABI. Jednak nowe przepisy wzmocnią rolę inspektorów, np. jego wyznaczenie stanie się w niektórych przypadkach obowiązkiem, a nie jak dotąd, uprawnieniem administratora danych osobowych. Inspektora ochrony danych powinni wyznaczyć administrator i podmiot przetwarzający m.in., gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.
Administrator danych zobowiązany jest we własnym zakresie ocenić ryzyko i oszacować, jakie rozwiązania będą najlepsze do zastosowania w prowadzonej przez siebie działalności.
Administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
W przypadku administratorów danych rejestr czynności przetwarzania danych osobowych powinien zawierać następujące informacje:
Biuro rachunkowe czy doradca podatkowy będzie przetwarzał dane swoich klientów na podstawie umowy powierzenia, zatem rejestr wszystkich kategorii czynności przetwarzania powinien zawierać:
Elementy tych rejestrów są bardzo podobne do tych, które obecnie muszą zawierać zgłoszenia zbioru do rejestracji u GIODO oraz wewnętrzne rejestry zbiorów danych osobowych prowadzone przez ABI na podstawie ustawy o ochronie danych. Nowe rejestry będą musiały mieć formę pisemną, w tym formę elektroniczną.
Podsumowanie
Podmioty przetwarzające dane takie jak biura rachunkowe czy doradcy będą zobowiązane od przygotowania i utrzymania rejestrów dotyczących przetwarzanych danych. W rejestrach będą uwzględniane m.in. powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń i incydentów, rozwój i utrzymanie zasad ochrony prywatności dla każdej linii produktowej, przechowywanie potwierdzonych zgód na przetwarzanie danych itd.
Pozyskując klienta warto podkreślić, ie poza podstawowymi usługami można zaoferować, jako swój atut, znajomość i stosowanie prawa dotyczącego ochrony danych osobowych.
Tylko teraz możesz BEZPŁATNIE przetestować PortalFK.pl przez 24h! GWARANTUJEMY:
Jeśli masz jakiekolwiek pytania skorzystaj z indywidualnej porady grona naszych wybitnych Ekspertów.
@ Wiedza i Praktyka Sp. z o.o. \\ Wszystkie prawa zastrzeżone.