spis treści
zamknij
BHPEX Logo

Blog bezpieczeństwa w pracy

Biuro rachunkowe ma obowiązek ochrony danych osobowych

19 sierpnia 2016 5

Biura rachunkowe głównie przetwarzają dane osobowe otrzymane od klientów. Z reguły posiadają też własne zbiory danych, obejmujące np. dane klientów, czy zbiory prowadzone do celów marketingowych. Wiąże się z tym szereg obowiązków.

Powierzenie przetwarzania danych

Powołanie ABI jest prawem, a nie obowiązkiem. Jeśli firma się na to zdecyduje, to ma 3 dni na zgłoszenie ABI do specjalnego rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. W przypadku ABI powołanych przed 1 stycznia 2015 r., czas na ich zarejestrowanie jest do 30 czerwca 2015 r. Po tym dniu niezarejestrowani ABI przestaną automatycznie pełnić swoje funkcje.

Biuro rachunkowe, by móc wykonywać czynności na zlecenie klienta, musi dokonywać operacji na danych osobowych otrzymywanych od klienta, np. danych dotyczących pracowników, czy kontrahentów.

Przetwarzanie takich danych przez biuro rachunkowe powinno się odbywać na podstawie, zawartej z klientem, pisemnej umowy o powierzenie przetwarzania danych osobowych. Wymaga tego art. 31 ustawy o ochronie danych osobowych. W umowie o powierzenie przetwarzania danych muszą się znaleźć postanowienia, dotyczące zakresu danych. Mowa tu o rodzaju i celu przetwarzania danych (do czego są przeznaczone). W razie ewentualnej kontroli, GIODO może sprawdzić, czy taka umowa została zawarta. Nie musi to być dokument odrębny od umowy o świadczenie usług rachunkowych. Można do umowy z klientem wprowadzić postanowienia regulujące powierzenie przetwarzania danych.

Obowiązki biura rachunkowego

Klient, który powierzył biuru przetwarzanie danych, nadal jest administratorem danych osobowych. To on jako administrator danych powinien ustalić, czy konkretny zbiór danych podlega obowiązkowi rejestracji w GIODO. Ewentualnie może om powołać u siebie administratora bezpieczeństwa informacji (ABI), który będzie prowadził wewnętrzny rejestr zbiorów danych. To klient biura, rejestrując zbiór danych osobowych, powinien podać informacje o tym, komu powierzono przetwarzanie danych osobowych.

Zatem biuro rachunkowe, w odniesieniu do danych osobowych powierzonych mu przez klienta, nie ma obowiązku zgłaszania ich zbioru do rejestracji w GIODO, bo nie jest administratorem tych danych. Nie oznacza to jednak, że w związku z otrzymaniem tych danych nie ma żadnych obowiązków. W żadnym przypadku obowiązki biura rachunkowego nie kończą się na uzyskaniu od klienta oświadczenia, że zgadza się on na przetwarzanie tych danych przez biuro.

Podmiot, któremu powierzono przetwarzanie danych (tu: biuro rachunkowe), musi przetwarzać dane zgodnie z umową powierzenia, czyli nie ma prawa wykorzystywać ich do innych celów, niż określone w umowie. Ma też obowiązki związane z zabezpieczeniem danych i prowadzeniem dokumentacji. Przed rozpoczęciem przetwarzania danych musi zastosować środki zabezpieczające zbiór danych. Mowa o nich w art. 36-39 ustawy o ochronie danych osobowych. W szczególności zobowiązany jest do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne powzięte dla ich ochrony:

  • polityka bezpieczeństwa oraz
  • instrukcja zarządzania systemem informatycznym.

Ma obowiązek dopuszczenia do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora danych oraz prowadzenia ewidencji osób upoważnionych do przetwarzania danych.

Biuro rachunkowe powinno też spełnić wymagania określone w rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024).

Co ważne, w zakresie przestrzegania tych przepisów biuro rachunkowe, któremu powierzono przetwarzanie danych, ponosi odpowiedzialność na takich samych zasadach jak administrator danych. Może zostać skontrolowane i ukarane przez GIODO.

Biuro rachunkowe Administratorem Danych Osobowych

W odniesieniu do danych, które zostały powierzone przez klienta, biuro nie jest ich administratorem. Jednak jak prawie każdy przedsiębiorca, także biura rachunkowe posiadają dane osobowe, w stosunku do których są administratorami danych, np. zbiory danych dla celów marketingowych. Na administratorze danych spoczywają obowiązki nie tylko związane z zabezpieczeniem danych i prowadzeniem dokumentacji związanej z ich przetwarzaniem. Musi się on też liczyć z obowiązkiem poinformowania osób, których dane są przetwarzane, o przysługujących im prawach, a także koniecznością rejestracji zbioru danych w GIODO. Chyba, że w firmie powołano administratora bezpieczeństwa informacji i zarejestrowano go w GIODO – wówczas to on prowadzi rejestr zbiorów danych.

Komentarze (5)

Treść komentarza

Na świecie nie ma rzeczy idealnych i choć biuro rachunkowe ma obowiązek ochrony danych osobowych, zawsze się ktoś potknie, czasami też zdarza się to nie świadomie.

Treść komentarza

Hmm, naprawdę ciekawe. Do tej pory nie wiedziałam, że biuro rachunkowe pełni rolę takiego medium transmisyjnego, pośrednika. Bezpieczniej chyba jest zarejestrować administratora danych osobowych w firmie; w GIODO.

Treść komentarza

Biuro rachunkowe ma obowiązek ochrony danych osobowych więc jeżeli nie wykona zadania mu powierzonego, Generalny Inspektor Ochrony Danych Osobowych może nałożyć karę grzywny.

Dodaj komentarz