RODO wprowadza przykładowe zabezpieczenia danych osobowych jednak nie mówi wprost jakie środki ochrony danych osobowych przedsiębiorcy powinni stosować. Jednym ze środków bezpieczeństwa ochrony danych osobowych w biurze rachunkowym jest stały monitoring procesów w firmie, w których biorą udział dane osobowe osób fizycznych.
Uproszczona analiza ryzyka ochrony danych dla biur rachunkowych
Biura rachunkowe powinny co najmniej raz w roku powinny przeprowadzić uproszczoną analizę ryzyka zestawiając informacje:
jakie dane osobowe przetwarzane są w biurze
jak wykorzystujemy dane - w jakim celu i w jakim zakresie
czy nie posiadamy zbyt dużo danych, których nie wykorzystujemy do żadnej czynności związanej z prowadzeniem biura rachunkowego
czy przesyłamy dane osobowe innym podmiotom - jakim i w jakim celu
które dane są najbardziej cenne z punktu widzenia biura rachunkowego oraz wyciek których danych osobowych mógłby spowodować największe niechciane skutki (ingerencja w godność i prawa osoby fizycznej)
jakie wdrożono zabezpieczenia i czy działają one poprawnie (zabezpieczeniem są np. umowy powierzenia danych osobowych z firmami, którym dane osobowe powierzamy (dostawcy programów księgowych, usług hostingowych); zahasłowanie dostępu do komputera i systemów informatycznych z których przedsiębiorca korzysta bezpiecznym hasłem; pilnowanie procedury wylogowywania się z systemów informatycznych, w których przetwarzane są dane osobowe)
czy coś jeszcze można zrobić by lepiej chronić dane.
Korzystanie z usług zewnętrznych podmiotów
W przypadku korzystania z usług zewnętrznych podmiotów takich jak np. wFirma dla biur rachunkowych czyli z systemu księgowo-kadrowego online należy zadbać o podpisanie umowy powierzenia danych osobowych. W takim przypadku bowiem część obowiązków związanych z przetwarzaniem danych osobowych wykonywał będzie podmiot przetwarzający np. backupy techniczne, zabezpieczenia infrastruktury technicznej.
System uprawnień i upoważnienia do przetwarzania danych osobowych
Firmy zatrudniające pracowników powinny ponadto zadbać o system uprawnień - czyli upoważnienia do przetwarzania danych osobowych oraz wewnętrzne szkolenia czyli nic innego jak uświadomienie osób o tym że w codziennej pracy powinny dbać o ochronę danych.