Tło strzałki Strzałka
0 0
dni
0 0
godz
0 0
min
0 0
sek

RODO w biurze rachunkowym - jak się przygotować?

Wielkość tekstu:

Dnia 25 maja 2018 roku w życie wchodzi RODO (GDPR) czyli inaczej mówiąc unijne Rozporządzenie w sprawie ochrony danych osobowych. Wyłącza to stosowanie obecnych przepisów w zakresie ochrony danych osobowych na rzecz rozporządzenia i nowych przepisów krajowych, które jeszcze są w fazie projektu. Wprowadzenie RODO w biurze rachunkowym jest obowiązkiem każdej osoby prowadzącej firmę tego typu.

Dane osobowe w biurze rachunkowym

Danymi osobowymi są wszelkie dane, które wskazują na konkretną osobę czyli dające możliwość zidentyfikowania konkretnej osoby. Będzie to np. imię i nazwisko, PESEL, numer IP, adres e-mail jeżeli wskazuje nazwisko i imię wraz z domeną firmy, w której osoba jest zatrudniona.

Biuro powinno zidentyfikować zbiory danych i czynności przetwarzania

Zbiory danych osobowych

Identyfikacja zbiorów danych to wypisanie w kolumnie kategorii danych jakie w biurze są przetwarzane. Będą to zapewne m.in.:

  • kontrahenci (występują w: CRM,dokumenty księgowe i umowy)

  • osoby kontaktowe (telefon, komputer, CRM)

  • pracownicy (system kadrowy, teczki osobowe)

  • osoby współpracujące na umowy cywilnoprawne (system kadrowy, segregatory)

  • zbiory danych powierzonych biuru rachunkowemu od klientów (pracownicy klientów, kontrahenci klientów).

Mimo że RODO nie nakazuje wprost prowadzenia rejestru zbiorów danych ich zidentyfikowanie pozwoli określić jakie dane mamy w biurze, na jakiej podstawie dane przetwarzamy (tzw. przesłanka legalności), kto powinien mieć do nich dostęp a kto nie. Będzie również ułatwieniem by określić co na co dzień tak naprawdę robimy z danymi, do jakich czynności je wykorzystujemy, a następnie jakie wiąże się z tym ryzyko wycieku danych, utraty, ich nieuprawnionego wykorzystania.

RODO w biurze rachunkowym

Ocena legalności danych osobowych

Dane osobowe osób fizycznych można przetwarzać jedynie pod warunkiem, że ten kto dane przetwarza (administrator lub podmiot przetwarzający) ma do tego podstawę, a najczęstszą podstawą są:

  • przepisy prawa np. dane kontrahenta - prawo podatkowe (przepisy ustawy o VAT, rozporządzenie w sprawie kpir) np. wystawienie faktury z użyciem danych; dane pracownika - kodeks pracy, ustawy ubezpieczeniowe np. prowadzenie akt osobowych, ustawa o ZFŚS np. dane o zarobkach małżonka dla celów przyznania dofinansowania z funduszu - w tym przypadku zgoda osoby nie jest potrzebna;

  • umowa z osobą, której dane dotyczą - np. firma świadcząca usługi remontowe posiada imię i nazwisko oraz adres zamieszkania osoby zlecające z uwagi, że jest to miejsce wykonania umowy (malowanie ścian mieszkania) - w tym przypadku zgoda osoby nie jest potrzebna;

  • zgoda osoby, której dane dotyczą - np. wykorzystanie adresu e-mail do celów przesyłania newslettera na podstawie zgody osoby, której adres dotyczy na przesyłanie informacji marketingowych - dotyczy sytuacji w których nie ma podstaw prawnych ani umowy, która dla celów realizacji wymagałaby posiadania określonych danych osobowych.

Ważne!
W przypadku biura rachunkowego najczęstszą przesłanką będzie umowa o prowadzenie usług księgowo-kadrowych. Należy pamiętać, że biuro jest jednocześnie:
> administratorem danych - ma swoich kontrahentów, pracowników
> podmiotem przetwarzającym - przetwarza dane dostarczone do biura przez klientów (kontrahenci klienta, pracownicy klienta).

Upoważnienie do przetwarzania danych w wFirma dla biur rachunkowych

Pracownicy lub współpracownicy biura rachunkowego powinni uzyskać upoważnienie do przetwarzania danych osobowych adekwatne do stanowiska i czynności jakie na danym stanowisku wykonują. Dlatego też wypełniając obowiązek RODO dotyczący monitorowania dostępu do danych należy kontrolować kto w firmie ma jakie prawa dostępu do danych poprzez wydawanie odpowiednich upoważnień.

Zobacz jak sporządzić upoważnienie do przetwarzania danych osobowych w systemie.

Rejestr czynności przetwarzania w wFirma dla biur rachunkowych

Obowiązek dotyczy firm zatrudniających powyżej 250 osób oraz tych zatrudniających mniej osób ale przetwarzających dane na dużą skalę. Prowadzenie przez firmę rejestru czynności przetwarzania może być realizowane w formie uzupełnianej i monitorowanej na bieżąco tabeli.

Kalendarz szkoleń pracowników

RODO nakazuje prowadzić szkolenia dla pracowników. Mogą być to szkolenia wewnętrzne np. e-lerningowe. Nie mówi o tym jak często, jednak przyjęło się, że minimum to szkolenie prowadzone przy zatrudnianiu pracownika i odnawiane co 2 lata a najlepiej co rok.

Zobacz jak zaplanować kalendarz szkoleń pracowników w zakładce KADRY  » KALENDARZ.

Wypełnienie obowiązków wobec osób, których dane w firmie są przetwarzane

Przepisy dotyczące ochrony danych osobowych dają osobom fizycznym pewne prawa:

  • prawo do bycia poinformowanym o operacjach przetwarzania

  • prawo dostępu

  • prawo do sprostowania/uzupełnienia danych

  • prawo do usunięcia danych (prawo do bycia zapomnianym)

  • prawo do ograniczenia przetwarzania

  • prawo do przenoszenia danych

  • prawo do sprzeciwu

  • prawo do tego, by nie podlegać profilowaniu.

Nie wszystkie jednak prawa zawsze danej osobie przysługują.

Zobacz jak w wFirma dla biur rachunkowych realizować prawa osób fizycznych: Prawa osób, których dane dotyczą realizowane w systemie.

Zapewnienie bezpieczeństwa danych w biurze rachunkowym wg RODO

Nowe przepisy wymieniają katalog przykładowych 4 czynności jakie mogą prowadzić do zachowania bezpieczeństwa danych osobowych:

  • pseudonimizacja i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Nie wszystkie czynności trzeba stosować. RODO podaje przykłady ale ostateczne środki ochrony bezpieczeństwa określa administrator. Zobacz: zapewnienie bezpieczeństwa danych w biurze rachunkowym wg RODO.

Procedura zgłaszania naruszenia

Jeżeli w firmie nastąpi naruszenie czyli inaczej mówiąc incydent przedsiębiorca ma 72 godziny na zgłoszenie naruszenia do Urzędu Ochrony Danych Osobowych - UODO (dawniej GIODO). Przy kwalifikacji naruszenia ocenia się skutki jakie dane naruszenie może nieść dla osoby/osób fizycznych godząc w jej/ich wolność osobistą.

Powołanie Inspektora Ochrony Danych Osobowych tzw. IODO

Obowiązek powołania IODO nie jest obligatoryjny czyli ostatecznie każda firma sama decyduje czy powołuje Inspektora czy nie. W praktyce IODO powinien być powołany na pewno w firmie, której działalność wiąże się z bardzo dużą ilością przetwarzanych danych osobowych (tzw. duża skala, której definicji i zakresu jednak wprost nie określono), a już w szczególności gdy dotyczy to danych wrażliwych np. szpitale.

Kary za naruszenia w ochronie danych osobowych

Maksymalne kary za naruszenia są wysokie bowiem wynoszą do 20 mln Euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa w zależności co jest wyższe.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów