Biura rachunkowe w rękach GIODO

Jeżeli Generalny Inspektor Ochrony Danych Osobowych zakaże przedsiębiorcy prowadzącemu biuro rachunkowe, przetwarzania danych osobowych, to tym samym zakaże mu świadczenia usług.

Przedsiębiorcy usługowo prowadzący księgi rachunkowe często nie przestrzegają przepisów ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Tak twierdzą eksperci i Generalny Inspektor Ochrony Danych Osobowych. Pomimo, że nie są prowadzone statystyki dotyczące wyników kontroli GIODO w tych firmach,  można szacować, że problem dotyczy nawet 80 procent biur rachunkowych.

Brakuje dokumentacji

Według Sławomira Dziudzika, dyrektora Polskiej Izby Biur Rachunkowych, ich właściciele po prostu nie mają świadomości, że ciążą na nich obowiązki dotyczące ochrony danych. Zgodnie z ustawą, administrator danych, którym jest klient, może powierzyć ich przetwarzanie innemu podmiotowi, np. biuru rachunkowemu. Musi się to jednak odbyć poprzez podpisanie umowy określającej zakres i cel przetwarzania danych – twierdzi dyrektor PIBR. Tymczasem nie wszystkie biura regulują tę kwestię.
Sławomir Dziudzik podkreśla, że fakt, iż odpowiedzialność za zabezpieczenie danych spoczywa na administratorze, nie wyłącza odpowiedzialności podmiotu, któremu je powierzono. Tak więc biuro rachunkowe ma obowiązek zabezpieczenia zbioru danych.

W praktyce większość firm z branży o to nie dba. Często wchodząc do biura rachunkowego, widzimy półki z dokumentami zawierającymi dane pracowników i kontrahentów klientów biura, Brak także zamykanych szaf. Jak się okazuje, biura rachunkowe często nie wdrożyły podstawowych rozwiązań, wynikających z obowiązujących przepisów. Nie mają one nawet dokumentacji dotyczącej sposobu przetwarzania danych osobowych. Pracownikom nie wystawiono upoważnień do dostępu do danych. Nikt w firmie nie ma też wiedzy o przetwarzanych zbiorach i o obowiązku zgłaszania ich do rejestru GIODO lub ABI, w przypadku jego powołania.

Brak zabezpieczeń

GIODO przyznaje, że zdarzają się przypadki niestosowania odpowiednich zabezpieczeń systemów komputerowych przed atakami i dostępem do danych osób nieuprawnionych.

Przepisy wykonawcze do ustawy o ochronie danych osobowych określają trzy poziomy bezpieczeństwa przetwarzania danych w systemach informatycznych. Przykładowo środki bezpieczeństwa na poziomie wysokim stosuje się, gdy co najmniej jedno urządzenie systemu informatycznego, wykorzystywanego do przetwarzania danych osobowych jest podłączone do Internetu.

Inny przykład złego zabezpieczenia danych osobowych, związany jest z serwisowaniem albo naprawą komputerów. Podczas tych czynności dostęp do danych uzyskują niekiedy osoby do tego nieupoważnione – twierdzi GIODO.
W przypadku np. wadliwie działającego wiatraczka w komputerze, osoba dokonująca naprawy nie powinna mieć dostępu do twardego dysku. Oznacza to dostęp zapisanych na nim danych. Wtedy trzeba, albo zaszyfrować dane, albo usunąć twardy dysk na czas naprawy sprzętu w serwisie.
Czasem konieczne jest jednak zapewnienie serwisantom dostępu do wszystkich danych zapisanych na dysku. Może tak być np. gdy zlecana praca ma polegać na naprawie błędów w bazie. Jeżeli dostęp do danych jest niezbędny do przeprowadzenia naprawy, wówczas z firmą jej dokonującą trzeba zawrzeć umowę powierzenia danych osobowych.

Zakaz, a nawet Sąd

GIODO przyznaje, że nie jest uprawniony do nakładania kar za naruszenie przepisów ustawy o ochronie danych osobowych. Jego zadaniem jest dbałość o zgodne z prawem przetwarzanie tych danych. Czyni to m. in. poprzez wydawanie decyzji administracyjnych, w których – w razie stwierdzenia uchybień – zakazuje przetwarzania danych, albo nakazuje wprowadzenie dodatkowych zabezpieczeń, czy zmianę sposobu przetwarzania danych.

Trzeba zdawać sobie sprawę z tego, że jeżeli wydamy decyzję zakazującą biuru rachunkowemu przetwarzania danych, to tym samym zakażemy mu działalności. Dlatego, gdy to jest możliwe, wskazujemy błędy i nakazujemy ich usunięcie. Tylko w wyjątkowych sytuacjach zakazujemy przetwarzania danych osobowych, np. do czasu wprowadzenia stosownych zmian.

Informacje o popełnionych przestępstwach, GIODO przekazuje do prokuratury. To do organów ścigania i sądów karnych należy decyzja jakie przepisy prawa zostały naruszone i jaką karę za to nałożyć. Biorąc pod uwagę ustawę o ochronie danych osobowych, może to być grzywna, kara ograniczenia wolności, pozbawienia wolności do dwóch lat.