Wdrożenie RODO na przykładzie biura rachunkowego
Przepisy RODO w biurze rachunkowym wynikają z rozporządzenia Parlamentu Europejskiego oraz Rady Europejskiej 2016/679 z dnia 27 kwietnia 2016 roku. Tym rygorystycznym obowiązkom od 25 maja 2018 muszą sprostać wszystkie biura rachunkowe. Bez różnicy jest tutaj ich wielkość, przepisy dotyczą zarówno biur jednoosobowych jak i wielkich korporacji czy specjalistycznych kancelarii prawno-podatkowych. Krótko mówiąc, regulacje obejmują bez wyjątku wszystkie firmy, a także instytucje, które przechowują i przetwarzają dane osobowe – bez względu na liczbę zatrudnionych pracowników, czy charakter działalności.
RODO w biurze rachunkowym
Obowiązki RODO dla biur rachunkowych to długi wykaz zasad dotyczący przechowywania i przetwarzania danych osobowych, które są identyczne dla wszystkich członków Unii Europejskiej. Skończyły się czasy, kiedy biura rachunkowe beztrosko przetwarzały dane osobowe pracowników swoich klientów, będąc w sprzeczności nawet poprzednich przepisów tj. Ustawy o ochronie danych osobowych z 1997 roku. Biuro rachunkowe, jako podmiot przetwarzający dane na zlecenie i w imieniu swoich klientów, musi zapewnić odpowiednią ochronę powierzonych sobie danych, a także zastosować w tym celu odpowiednie środki bezpieczeństwa (techniczne i organizacyjne). Wymagać tego powinny zapisy tak zwanej umowy powierzenia pomiędzy klientem biura rachunkowego (administratorem danych) a samym biurem. Treść takiej umowy powinna uwzględniać wytyczne wynikające z aktualnych przepisów RODO.
Proces wdrożenia RODO w biurze rachunkowym
Skoro już wiesz, że RODO w biurze rachunkowym jest obowiązkowe, to teraz w skrócie przedstawię Ci najważniejsze warunki, które należy spełnić by sprostać wymaganiom przepisów o ochronie danych osobowych. Proces generalnie jest czasochłonny i wymaga doświadczenia, ale od początku:
Powołaj Inspektora Ochrony Danych (IOD)
Jest to jedna z najważniejszych czynności, która pomoże w prawidłowy sposób wdrożyć RODO w biurze rachunkowym. Przesłanki, obligujące nas do powołania inspektora określa art. 37 ust. 1 RODO:
1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.
W związku z przywołanym fragmentem rozporządzenia, inspektora powinny powołać jednostki, które na dużą skalę przetwarzają dane osobę lub mające do czynienia ze szczególnymi kategoriami danych. Za przykład mogą tu posłużyć wielkie korporacje, biura świadczące usługi dla agencji ochrony posiadającej informacje z Krajowego Rejestru Karnego czy przychodni medycznej. Jednak decyzję o powołaniu IOD powinno rozważyć każde biuro. Należy pamiętać, że zatrudniony specjalista w materii ochrony danych pomoże nam kontrolować proces przetwarzania, przygotuje odpowiednią dokumentację i zabezpieczy biuro rachunkowe przed ewentualnymi błędami, które mogą nas słono kosztować. Przewidziane kary związane z nieprzestrzeganiem RODO mogą wynosić nawet 20 mln Euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa – w zależności od tego, która z kwot jest wyższa.
Wprowadź w biurze odpowiednią dokumentację
Jest ona kolejnym bardzo istotnym krokiem w dążeniu biur do spełnienia wymagań wynikających z rozporządzenia RODO. Nie jest to łatwe zadanie, ze względu na szczególny charakter tego typu jednostek. Każda z nich powinna dbać o odpowiednią, a ponadto wyczerpującą dokumentacje zawierającą między innymi: klauzule informacyjne, rejestry czynności przetwarzania, trudne do skonstruowania umowy powierzenia czy podpisywane przez pracowników upoważnienia związane z RODO. W przygotowywaniu dokumentacji w przypadku biur rachunkowych warto także zwrócić uwagę na art. 30 ust 1, 2 oraz 5 RODO. Biura w związku z przetwarzaniem danych zarówno w roli administratora jak i procesora obowiązkowo powinny prowadzić wspomniane wyżej rejestry czynności przetwarzania zarówno na własne potrzeby jak i dla każdego klienta w stosunku do którego wykonują swoje usługi. Brak odpowiednio przygotowanej dokumentacji jest powodem do nałożenia kary przez organy administracyjne.
Zabezpiecz dane, zarówno swoje jak i te powierzone przez inne podmioty
Na biurach rachunkowych ciąży podwójna odpowiedzialność wynikająca z tego, że administrują one danymi z zakresu prowadzonej przez siebie działalności, a ponadto występują w roli podmiotu przetwarzającego (procesora) świadczącego usługi przetwarzania w imieniu swoich klientów (np. dane osobowe z faktur czy umów). Administrator, który przekazuje swoje dane na podstawie umowy powierzenia daje biurom rachunkowym swojego rodzaju kredyt zaufania wierząc w to, że dane będą przetwarzane w prawidłowy sposób. Z tego powodu tak ważne jest, aby były one w prawidłowy sposób zabezpieczone. Przykładami obrony przed naruszeniami przepisów rozporządzenia RODO mogą być między innymi:
- odpowiednie zabezpieczenia informatyczne oraz fizyczne;
- poszerzanie świadomości pracowników poprzez organizowanie szkoleń zakresu RODO;
- sprawdzanie procesów przetwarzania danych poprzez organizacje audytów;
- przeprowadzanie analiz, które pomagają określić poziom ryzyka dla występujących w biurze procesów przetwarzania;
- wprowadzenie odpowiedniej, profesjonalnie przygotowanej dokumentacji w postaci polityki bezpieczeństwa czy instrukcji zarządzania systemem informatycznym.
Zarówno procesor jak i administrator danych mogą być pociągnięci do odpowiedzialności za nieprzestrzeganie norm wynikających z RODO.
Starannie dobierz firmy, z którymi podejmujesz współpracę
W przypadku korzystania przez biuro rachunkowe z usług oferowanych przez firmy zewnętrzne, którymi dla przykładu mogą być przedsiębiorstwa oferujące usługi BHP, informatyczne czy archiwizacyjne – trzeba być świadomym tego, że art. 28 ust. 1 nakłada na administratorów obowiązek powierzania danych jedynie podmiotom, które zapewniają odpowiednie gwarancje wdrożenia środków technicznych, a także organizacyjnych, by przetwarzanie chroniło prawa osób, których dane dotyczą. Nieocenioną pomoc w weryfikacji przyszłych procesorów może zapewnić inspektor ochrony danych osobowych przygotowując odpowiednie umowy powierzenia czy pomagając w negocjacjach między firmami poprzez zadawanie odpowiednich pytań związanych z przestrzeganiem RODO w firmie, której zamierzamy powierzyć dane.
Rafał Wielgus, Kacper Kałagate
Nazywam się Rafał Wielgus, jestem międzynarodowym audytorem wiodącym ISO 27001 i Inspektorem Ochrony Danych. Świadczę kompleksowe usługi z zakresu ochrony danych osobowych, skutecznie wdrażam RODO dla firm i instytucji, prowadzę szkolenia oraz audyty.
Posiadam prawie 20 lat doświadczenia w bezpieczeństwie systemów i sieci komputerowych. Jako jeden z nielicznych w Polsce dysponuję wiedzą praktyczną w zakresie Certified Information Systems Security Professional (CISSP). Szkolony również przez ABW i SKW.
Treść komentarza
Czemu RODO czasem nakłada karę do 10 milionów euro a czasem do 20 milionów euro ?
Skąd ta różnica?