Jak zabezpieczyć swój interes, przekazując dane osobowe do biura rachunkowego
Powszechnym zjawiskiem jest korzystanie, zwłaszcza przez mniejsze organizacje, z outsourcingu księgowego a mianowicie z usług biur rachunkowych. Wiąże się to naturalnie z przetwarzaniem danych osobowych. Dowiedz się, jakie wymogi należy spełnić w związku z przekazywaniem danych do biura rachunkowego.
Z artykułu dowiesz się:
- na jakiej podstawie przekazać dane do biura rachunkowego,
- czy ADO odpowiada za dane przekazane do biura,
- jak zweryfikować biuro,
- jak dokonać audytu biura w kontekście ochrony danych osobowych.
ADO przekazuje dane osobowe do biura rachunkowego
W związku ze świadczeniem usług rachunkowych na rzecz administratora danych osobowych biuro rachunkowe przetwarza przekazane przez niego dane osobowe m.in.:
- kontrahentów i klientów administratora,
- pracowników i inny personel administratora,
- osób reprezentujących administratora.
Generalnie biuro jest podmiotem przetwarzającym
Zgodnie z zawartą umową administrator w celu umożliwienia wykonania usługi przez biuro rachunkowe wysyła do tego biura faktury VAT, które wystawił swoim kontrahentom. Na tej podstawie biuro prowadzi m.in. ewidencję VAT, podatkową księgę przychodów i rozchodów a także oblicza zaliczki na należny podatek od towarów i usług oraz dochodowy. Na fakturach tych widnieją dane osobowe kontrahentów administratora.
Na jakiej podstawie biuro rachunkowe przetwarza dane osobowe przekazane przez ADO? Otóż biuro nie ma własnej podstawy przetwarzania tych danych. Przetwarza je w imieniu swojego klienta i w celu realizacji usługi na jego rzecz. To klient jest administratorem i decyduje o celach i zakresie przetwarzanych danych. Oznacza to, że biuro rachunkowe ma status procesora i administrator powinien z nim zawrzeć umowę powierzenia przetwarzania danych.
Umowa o powierzeniu przetwarzania danych osobowych powinna być zawarta w formie pisemnej lub elektronicznej. W treści umowy zawsze trzeba wskazać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora oraz pozostałe kwestie wyliczone w art. 28 ust. 3 RODO.
Czasami biuro stanie się ADO
Natomiast w zakresie danych osobowych, które samodzielnie pozyskuje biuro, staje się ono administratorem danych osobowych.
Biuro rachunkowe świadczy usługi na rzecz organizacji A. Kontrahentem organizacji A jest organizacja B. Przedstawiciel biura pozyskuje dane osobowe przedstawiciela organizacji B samodzielnie z Centralnej Ewidencji i Informacji o Działalności Gospodarczej.
Administrator odpowie za błędy biura
Decydując się na korzystanie z usług biura rachunkowego, administrator musi mieć na względzie, że w przypadku naruszenia ochrony danych zawinionego przez biuro to on ponosi za to odpowiedzialność – w zakresie danych przekazanych w ramach umowy powierzenia przetwarzania. Wszak administrator ma obowiązek korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO). Innymi słowy zawarcie umowy z biurem rachunkowym jako podmiotem przetwarzającym w żaden sposób nie wyłącza ani nie ogranicza odpowiedzialności ADO.
To na kliencie korzystającym z biura rachunkowego spoczywa odpowiedzialność za wybór odpowiedniego procesora – tj. dającego gwarancje, że powierzone mu dane nie zostaną utracone albo nie wyciekną na zewnątrz.
Co za tym idzie, nie jest dopuszczalne zawarcie w umowie powierzenia przetwarzania danych osobowych rozwiązań wyłączających odpowiedzialność administratora danych osobowych. Takie rozwiązania byłyby bezskuteczne.
Zalecany audyt przed powierzeniem przetwarzania danych
Z tego względu administrator, nim zawrze umowę powierzenia przetwarzania danych z biurem rachunkowym, powinien dążyć do przeprowadzenia audytu w zakresie bezpieczeństwa danych.
Administrator może wysłać do biura ankietę do wypełnienia, w której wypyta biuro o podstawowe kwestie mające znaczenie dla wypełniania obowiązków podmiotu przetwarzającego. Mniej bezpieczną alternatywą jest odebranie od biura stosownego oświadczenia.
Lista pytań audytowych dla procesora
|
L.p. |
Pytanie |
Odpowiedź |
|
1. |
Czy wszyscy pracownicy / współpracownicy zostali przeszkoleni z zasad przetwarzania danych osobowych zawartych w RODO? Jeśli tak, to kiedy? |
Tak, przed wejściem w życie RODO lub w momencie zatrudnienia (jeśli zatrudnienie nastąpiło po 25 maja 2018 r.) |
|
2. |
Czy został powołany inspektor ochrony danych? |
Nie |
|
3. |
Czy do przetwarzania danych osobowych są dopuszczone wyłącznie osoby posiadające imienne upoważnienia? |
Tak |
|
4. |
Czy osoby, które zostały upoważnione do przetwarzania danych osobowych, zostały równocześnie zobowiązane do zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczenia? |
Tak |
|
5. |
Czy wdrożono wewnętrzną dokumentację (polityki, instrukcje, procedury) przetwarzania danych osobowych zgodnie z RODO? Jeśli tak, proszę wskazać jakie. |
Procedura bezpieczeństwa informacji (PBI), Instrukcja zarządzania systemem informacji (IZSI) |
|
6. |
Czy kiedykolwiek miało miejsce naruszenie ochrony danych osobowych? Jeżeli tak, proszę opisać, jakie zostały podjęte działania zaradcze i jakie skutki miało przedmiotowe naruszenie. |
Nie |
|
7. |
Czy przeprowadzane są niezależne audyty ochrony danych osobowych? Jeśli tak, to jak często i kto je przeprowadza? |
Nie |
|
8. |
Czy stosuje się fizyczne zabezpieczenia pomieszczeń/ obszarów przetwarzania danych osobowych przed dostępem osób nieuprawnionych? Jeśli tak, proszę opisać jakie. |
Informacje są w PBI |
|
9. |
Czy są stosowane środki służące ochronie systemów przetwarzania danych przed działaniem tzw. złośliwego oprogramowania? |
Informacje są w IZSI |
|
10. |
Czy są stosowane środki służące ochronie danych przed ich utratą? Jeśli tak, proszę je zwięźle wymienić, np. regulaminy backup, archiwizacja, inne (jakie?) |
Informacje są w IZSI |
|
11. |
Czy jest zapewniona rozliczalność działań podejmowanych przez użytkowników systemów informatycznych, np. czy istnieje możliwość stwierdzenia, kto i kiedy modyfikował dane konkretnej osoby lub miał do nich wgląd? |
Tak |
|
12. |
Czy w przypadku przekazywania danych, podlegających ochronie, środkami telekomunikacyjnymi lub na nośnikach wymiennych, ich poufność, integralność i autentyczność jest zabezpieczona metodami kryptograficznymi (np. szyfrowanie)? |
Tak |
|
13. |
Czy stosowane środki i metody przetwarzania gwarantują możliwość realizacji wymienionych w art. 12 – 22 RODO praw osób, których dane dotyczą? |
Tak |
|
14. |
Czy są stosowane środki służące ochronie danych przed nieuprawnionym dostępem poprzez jego wykrywanie i zapobieganie? Jeśli tak, proszę je zwięźle wymienić, np. IPS, IDS, firewall itp. |
Informacje są w IZSI |
|
15. |
Czy stacje robocze i komputery przenośne, w których przetwarzane są dane osobowe, zostały zabezpieczone przed nieautoryzowanym uruchomieniem, np. za pomocą hasła BIOS, hasła programu szyfrującego, klucza autoryzacyjnego? |
Tak. |
|
17. |
Czy organizacja przekazuje dane do państwa trzeciego? Jeżeli tak, proszę wskazać okoliczności i podstawę przekazywania danych do państwa trzeciego. |
Nie |
Audytowanie biura rachunkowego w trakcie trwania umowy powierzenia
Podmiot przetwarzający ma obowiązek:
- udostępnić administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w tym przepisie
- umożliwiać administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczyniać się do nich (art. 28 ust. 3 lit. h RODO).
Z powyższego wynika, że administrator może poddawać procesora audytowi nie tylko przed zawarciem umowy powierzenia, ale także w jej trakcie.
Aby przeprowadzenie audytu było możliwe, należy zastrzec w umowie prawo kontroli podmiotu przetwarzającego z punktu widzenia zgodności tego przetwarzania z przepisami prawa oraz postanowieniami umowy.
Aby audyt w trakcie trwania umowy powierzenia przetwarzania miał sens, administrator powinien uzyskać:
- dostęp do pomieszczeń biura, w których przetwarzane są dane;
- wgląd do danych przetwarzanych przez biuro (w ramach umowy powierzenia) oraz stosowanej przez niego dokumentacji.
Dodatkowo warto, by administrator zagwarantował sobie możliwość wydawania biuru zaleceń co do sposobu wyeliminowania stwierdzonych nieprawidłowości oraz obowiązek procesora niezwłocznego zastosowania się do tych zaleceń. Natomiast w przypadku braku zaleceń ze strony administratora biuro rachunkowe powinno być zobligowane do samodzielnego opracowania i wdrożenia rozwiązań eliminujących wykryte w toku kontroli niezgodności, a także do poinformowania administratora o zastosowanych rozwiązaniach.
Jak udokumentować audyt
W wykonaniu art. 28 RODO, ale też zgodnie z zasadą rozliczalności (art. 5 RODO), z przeprowadzonego audytu powinien być spisany protokół. W protokole tym, podpisanym przez administratora i biura rachunkowe, powinny znaleźć się wnioski z kontroli, a w szczególności wszelkie wykryte niezgodności z przepisami prawa lub postanowieniami umowy powierzenia przetwarzania danych.
- RODO na YouTube - ochrona danych osobowych jako obowiązek youtubera
- Biuletyn Informacji Publicznej - administrator musi zawrzeć umowę powierzenia przetwarzania danych
- Kody QR a bezpieczeństwo danych osobowych
- Skarga do WSA na decyzję UODO – jak ją złożyć
- RODO a KZP - zasady przetwarzania danych osobowych w kasie zapomogowo-pożyczkowej
- RODO w marketingu - ochrona danych osobowych przetwarzanych w celach marketingowych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
