Czwartek, 25 kwietnia 2019
Strona główna
Masz pytania? Infolinia RODO:
22 487 86 70 lub +48 724 570 436

Promocje Pokaż/ukryj

PAKIET RODO: DOKUMENTACJA + CONSULTING PRAWNY + E-SZKOLENIE Z CERTYFIKACJĄ 5 OSÓB - 99 zł + 23% VAT
99 PLN 499 PLN

Biura rachunkowe - Pakiet RODO: Dokumentacja + E-szkolenie z Certyfikacją 5 osób + Rejestry Czynności + Consulting Prawny - 99 zł +23% VAT
99 PLN 399 PLN

Szkolenie RODO VIP - 29 kwietnia 2019 r. Warszawa - z pakietem dokumentacji + konsulting + e-szkolenie 10 osób - 299 zł +23% VAT
299 PLN 890 PLN





Business Woman in Office

Jeśli mają Państwo pytania dotyczące oferty zapraszamy na infolinię, pon.- pt. w godz. 9 -17, tel.: 22 487-86-70 lub +48 724 570 436

Dział Sprzedaży:

zapytanie@rbdo.pl

Dział Prawny:
faq@rbdo.pl

Biuro RBDO
ul. Kopalniana 22a/7
01-321 Warszawa
NIP: 118-165-16-57
Regon: 140741937



RODO w biurach rachunkowo-księgowych. Jak się przygotować?

Biura rachunkowe znajdują się w specyficznej sytuacji jeżeli chodzi o obowiązki wynikające z RODO. Po pierwsze, działają one – podobnie jak większość przedsiębiorców – jako administratorzy danych osobowych (w stosunku do danych własnych pracowników oraz klientów lub osób reprezentujących klientów). Po drugie, biura rachunkowe działają jako „procesorzy”, czyli podmioty przetwarzające w rozumieniu art. 28 RODO w odniesieniu do danych przekazywanych przez klientów. Dotyczy to np. sytuacji, w których firma będąca klientem biura rachunkowego przekazuje do niego dane swoich pracowników lub klientów.

p1_rbdo

Należy jednak pamiętać, że ten sam podział ról występował już pod dotychczas obowiązującymi przepisami – już od 1998 roku, RODO nie wprowadza tu rewolucji, a jedynie modyfikuje i rozszerza pewne znane już obowiązki …

Tym, co istotnie się zmienia jest przerzucenie ciężaru dowodu na podmiot zobowiązany oraz wprowadzenie mechanizmu administracyjnych kar pieniężnych – słusznie krytykowany jest sposób ich sformułowania, RODO w art. 83 ustanawia jedynie ogólne ich granice (od 0 do 10 milionów euro oraz od 0 do 20  milionów euro), precyzując jedynie, że mają one być proporcjonalne i odstraszające. Wiele pozostanie w sferze dyskrecjonalnej władzy urzędnika z Urzędu Ochrony danych – z dniem 25 maja 2018 roku dotychczasowy Generalny Inspektor Ochrony Danych stał się Prezesem Urzędu Ochrony Danych. Skargi od ewentualnych decyzji nowego organu będzie można wnosić do sądów administracyjnych.

Nie tylko rejestr czynności przetwarzania

Każdy administrator danych osobowych ma obowiązek prowadzić rejestr czynności przetwarzania, o którym stanowi art. 30 ust. 1 RODO – wyjątki od tego obowiązku przewidziane w art. 30 ust. 5 RODO zostały sformułowane tak wąsko, że w praktyce trudno wskazać podmiot prowadzący działalność gospodarczą, który w całości będzie z tego obowiązku zwolniony. Wystarczy bowiem, że firma, która zatrudnia mniej niż 250 osób przetwarza dane osobowe „niesporadycznie”, by zwolnienie nie mogło być zastosowanie. W największym skrócie – należy przyjąć, że każdy administrator danych osobowych powinien prowadzić rejestr czynności przetwarzania.

Biuro rachunkowe będzie musiało prowadzić dodatkowo inny dokument, o którym stanowi art. 30 ust. 2 RODO – rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu konkretnego administratora danych.

Choć formalnie brak prowadzenia tych dokumentów zagrożony jest wysokimi karami pieniężnymi – same wspomniane wyżej dokumenty to jedynie tabele, z określonymi polami informacyjnymi, ich prowadzenie nie powinno znacząco angażować czasowo lub być szczególnie trudne.

Umowy powierzenia przetwarzania

Klient biura rachunkowego, który przekazuje w celu świadczenia usługi dane swoich pracowników lub klientów może ponosić przez PUODO odpowiedzialność administracyjną o charakterze finansowym za błędy, niedopatrzenia lub braki leżące po stronie biura rachunkowego, jako swojego procesora. Inaczej mówiąc, biuro rachunkowe działające jako procesor, jeżeli zignorowało osiągnięcie zgodności z RODO, naraża na odpowiedzialność finansową nie tylko siebie, ale także swojego klienta, który przekazał mu dane osobowych, w stosunku do których jest administratorem.

Dlatego nie może dziwić presja klientów, by biuro rachunkowe w formie umowy powierzenia przetwarzania zobowiązało się do przestrzeganie określonych procedur, zabezpieczeń oraz metod ich weryfikowania – ponieważ klient będący administratorem w ten sposób zabezpiecza swój własny interes.

Należy przy tym pamiętać, że umowy powierzenia przetwarzania, zawarte jeszcze na gruncie art. 31 ustawy o ochronie danych z 1997 roku trzeba zaktualizować, ponieważ od 25 maja 2018 roku minimalne warunki, jakim umowa powierzenia musi odpowiadać określa art. 28 RODO, który jest znacznie bardziej rozbudowany od art. 31 ustawy z 1997 roku – wymaga np. określania w umowie powierzenia sposobu wykonywania inspekcji i audytów przez administratora u swojego procesora.

Generalnie – zawarcie umowy powierzenia przetwarzania zgodnej z art. 28 RODO leży w interesie obu stron, zarówno klienta biura który przekazuje dane innych osób, jak i samego biura rachunkowego.

Zgłaszanie naruszeń ochrony danych osobowych

Naruszenie danych osobowych to nie tylko wyciek danych, ale także naruszenie ich integralności lub poufności – jeżeli np.  pracownik biura rachunkowego przez pomyłkę zniszczy lub zgubi dokumenty niezbędne do ustalenia wysokości wynagrodzenia pracowników klienta – dojdzie do naruszenia danych osobowych w postaci naruszenia ich dostępności. Każdy podmiot zobowiązanych powinien przyjąć wewnętrzną procedurę dokumentowania takich naruszeń oraz ich klasyfikowania, ponieważ nie wszystkie naruszenia trzeba zgłaszać do PUODO, co więcej, obowiązek zgłoszenia naruszenia spoczywa na administratorze a nie procesorze – procesor powinien niezwłocznie o naruszeniu poinformować administratora, a dopiero ten powinien je zaklasyfikować i podjąć decyzję, czy powiadomi o nim PUODO czy nie.

Szacowanie ryzyka

W przeciwieństwo do przepisów krajowych obowiązujących do 25 maja 2018 roku, szczegółowe zasady zabezpieczania danych osobowych nie są już określone w powszechnie obowiązujących przepisach – RODO nakłada jedynie obowiązek stosowania zabezpieczeń odpowiednich do stwierdzonych poziomów ryzyka. Jak długie mają być hasła do służbowych komputerów, poczty aplikacji i programów, jakie stosować szafki na dokumenty, jak postępować z kluczami do pomieszczeń lub mebli biurowych, czy pozwalać pracowników na zabieranie dokumentów do domu – na te pytania musi odpowiedzieć we własnym zakresie każdy podmiot zobowiązany oddzielnie, należy jednak pamiętać o jednym, niezależnie od tego jakie decyzje podejmiemy, musimy udokumentować, że ryzyko dla danych osobowych zostało oszacowane wedle powtarzalnej metodologii, a inaczej mówiąc, podmiot zobowiązany musi potrafić uzasadnić, że przyjęte rozwiązanie rzeczywiście są odpowiednie.

AUTOR:

Karol Cieniak – Dyrektor Działu Prawnego

Dyrektor Działu Prawnego, prawnik z bogatym doświadczeniem w zakresie wdrożeń systemów bezpieczeństwa informacji w polskich i międzynarodowych organizacjach.

M: +48 666 335 207
faq@rbdo.pl

  • Absolwent Kolegium Prawa Akademii im. Leona Koźmińskiego specjalizacji Europejskie i Polskie Prawo Gospodarcze i Finansowe
  • Uczestnik Studiów Podyplomowych „Wykonywanie funkcji administratora bezpieczeństwa informacji i inspektora ochrony danych” w Instytucie Nauk Prawnych Polskiej Akademii Nauk (PAN).
  • Specjalista Prawa w zakresie ochrony danych osobowych. Wieloletni praktyk w zakresie audytów i wdrożeń systemów ochrony danych osobowych w polskich i międzynarodowych organizacjach.
  • Twórca autorskich materiałów wdrożeniowych w zakresie przetwarzania danych osobowych oraz e-szkoleń w tym obszarze tematycznym.
  • Autor publikacji: Ochrona danych osobowych pod kontrolą (2015), Opracowanie Rozporządzenia UE z 27 kwietnia 2016 r.(2016)
  • Prowadzi szkolenia w niezwykle zaangażowany sposób. Płynnie wiąże wiedzę teoretyczną z praktycznymi umiejętnościami oraz z przykładami wdrożeń w organizacjach, czyniąc dla nich najtrudniejsze kwestie ciekawymi i zrozumiałymi.

Zaufali nam m.in.

Zapytaj o wdrożenie

Infolinia
Jeśli potrzebują Państwo więcej informacji jakie wdrożenie wybrać, prosimy o kontakt na infolinię (czynna 9-17) lub przesłanie wiadomości przez formularz.

Infolinia: 222-905-320
Na Państwa pytanie odpowiemy w ciągu najbliższych godzin.
Zapewniamy Państwu najwyższą jakość usług. Do każdego zamówienia zapewniamy wsparcie prawnika - bez żadanego limitu!

Zaufało nam już ponad 5000 firm, instytucji i jednostek organizacyjnych!
Zapraszamy do współpracy!