Generalny Inspektor Ochrony Danych Osobowych wielokrotnie ostrzegał, że przedsiębiorcy prowadzący biura rachunkowe bardzo często nie dbają o przestrzeganie przepisów dotyczących ochrony przetwarzanych przez nich danych osobowych. Taki stan rzeczy spowodowany jest głównie nieświadomością w zakresie obciążających ich obowiązków. Zasadniczo w zakresie dokumentów otrzymanych od swoich klientów (tj. faktur, dokumentów pracowniczych, umów, wyciągów bankowych) biura rachunkowe nie stają się administratorami tych danych. Mają jednak obowiązek właściwego ich zabezpieczenia zgodnie z regulacjami ustawy o ochronie danych osobowych. Do najczęstszych błędów popełnianych przez biura należą: brak zabezpieczenia dokumentacji, do której mają dostęp osoby postronne, brak wymaganej dokumentacji (tj. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym), brak upoważnień do przetwarzania danych osobowych dla pracowników biura oraz brak odpowiednich zabezpieczeń w używanych komputerach.
Biura rachunkowe najczęściej przetwarzają dane osobowe, przekazane im przez inne podmioty na zasadach powierzenia im tych danych. W takich przypadkach administratorami tych danych pozostają nadal podmioty przekazujące te dane (tj. przedsiębiorcy, pracodawcy). Biuro przetwarza te dane na podstawie umowy określającej zakres i cel ich przetwarzania. Jak bowiem wynika z art. 31 ust. 1 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Przy czym podmiot, który otrzymał dane, może je przetwarzać wyłącznie w zakresie i celu przewidzianym w tej umowie.
Biura rachunkowe, które przetwarzają dane osobowe na podstawie umów powierzenia, muszą podjąć szereg działań mających zabezpieczyć zbiór danych otrzymanych od klienta. Takie środki należy podjąć jeszcze przed wykonaniem jakichkolwiek operacji związanych z przetwarzaniem tych danych. W przypadku powierzenia przetwarzania danych odpowiedzialność za przestrzeganie przepisów dotyczących ochrony danych spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Natomiast w zakresie, w którym powierzane dane nie pochodzą od administratora i nie są wyłącznie powierzone celem wykonania na nich określonych czynności, biuro rachunkowe samodzielnie pełni rolę administratora np. w odniesieniu do zbiorów danych, które tworzy samo biuro.
Rodzaj dokumentacji w zakresie zapewnienia prawidłowej ochrony danych osobowych, jaki powinien opracować administrator danych lub podmiot, który przetwarza dane na podstawie umowy powierzenia, określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024). Na tę dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumenty te powinny być prowadzone w formie pisemnej.
Polityka bezpieczeństwa powinna zawierać:
Z kolei instrukcja powinna zawierać w szczególności:
System informatyczny, w którym przetwarzane są dane osobowe, musi mieć określony poziom bezpieczeństwa, uzależniony od kategorii danych, które podlegają przetwarzaniu. Wyróżnia się trzy poziomy:
Poziom podstawowy ma zastosowanie, gdy w systemie informatycznym nie są przetwarzane dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych, nie jest połączone z siecią publiczną. Opis środków bezpieczeństwa stosowany na wspomnianych poziomach określa załącznik do powołanego rozporządzenia.
Zasadniczo administrator danych zobowiązany jest zgłosić do rejestracji u GIODO zbiory przetwarzanych danych osobowych. Ustawa o ochronie danych osobowych zawiera w art. 43 katalog wyłączeń z obowiązku tej rejestracji. Z takiego obowiązku zwolnieni są m.in.: administratorzy danych w stosunku do danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się. Biuro rachunkowe w zakresie przetwarzanych danych, które zostały mu powierzone przez klienta, nie ma obowiązku zgłaszania ich do rejestracji u GIODO. Przykładowo, biuro nie ma obowiązku zgłaszania do rejestracji u GIODO zbiorów danych powierzonych mu przez klienta obejmujących dane niezbędne do wystawienia jego pracownikom deklaracji podatkowych. Również dane pracodawcy służące wyłącznie dla celów wystawienia faktury, a także dane pracowników, które zostają powierzone biuru, nie podlegają takiej rejestracji.
Wzór upoważnienia do przetwarzania danych osobowych dostępny jest w serwisie www.druki.gofin.pl, w dziale Prawo pracy.
Biuro rachunkowe nie ma obecnie obowiązku powoływania administratora bezpieczeństwa informacji (ABI). Na mocy art. 36a ustawy o ochronie danych osobowych administrator danych może (nie musi) powołać administratora bezpieczeństwa informacji, do którego zadań należy m.in. sprawdzanie zgodności przetwarzania danych osobowych w firmie z przepisami o ochronie danych osobowych. Przy czym powołanie administratora bezpieczeństwa informacji jest uprawnieniem, a nie obowiązkiem administratora danych. Podstawową zaletą związaną z powołaniem ABI jest zwolnienie administratora danych z obowiązku rejestrowania u GIODO zbiorów przetwarzanych przez niego danych osobowych. Taki wewnętrzny rejestr zbiorów danych przetwarzanych przez administratora danych prowadzi bowiem powołany przez niego ABI. Oczywiście przedsiębiorca prowadzący biuro rachunkowe może powołać ABI, który będzie dbał o zabezpieczenie i ochronę przetwarzanych danych powierzanych biuru przez jego klientów. Może również prowadzić wewnętrzny rejestr zbiorów przetwarzanych danych, w stosunku do których administratorem danych jest samo biuro. W takim przypadku nie ma już obowiązku zgłaszania ich do rejestracji u GIODO.
Obowiązujące przepisy określają tylko trzy podstawowe wymogi dla kandydata na ABI, tj.:
Dwie pierwsze przesłanki mają charakter obiektywny. Zdolność do czynności prawnych ocenia się z uwzględnieniem przepisów Prawa cywilnego, natomiast kwestia niekaralności oceniana jest na podstawie informacji z Krajowego Rejestru Karnego. Do złożenia takiego zaświadczenia administrator danych może zobowiązać kandydata na ABI. Można jednak spotkać się ze stanowiskiem, że administrator danych może jedynie wymagać złożenia przez kandydata na ABI oświadczenia o jego niekaralności. Przesłanka odpowiedniej wiedzy z zakresu przepisów o ochronie danych osobowych ma charakter subiektywny. Ocena czy kandydat na ABI spełnia wymóg posiadania odpowiedniej wiedzy w zakresie ochrony danych osobowych należy bowiem do administratora danych. Przy dokonywaniu oceny spełniania przez kandydata na ABI wymogu odpowiedniej wiedzy administrator danych może oczywiście uwzględniać np. ukończone przez niego kursy, szkolenia czy też posiadane doświadczenie zawodowe.
Wszystkie osoby, które mają do czynienia z danymi osobowymi, muszą posiadać upoważnienie do ich przetwarzania. Przetwarzaniem danych są wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Administrator danych zobowiązany jest prowadzić ewidencję osób, które upoważnione są do przetwarzania danych w firmie. Taka ewidencja powinna zawierać:
Obecnie przepisy ustawy o ochronie danych osobowych nie zawierają wzoru takiego upoważnienia. Stąd administrator danych może przygotować taki dokument we własnym zakresie.
Kary za naruszenie obowiązku ochrony danych osobowych | |
Rodzaj naruszenia | Zagrożenie karą |
przetwarzanie danych w zbiorze pomimo zakazu albo przetwarzanie danych przez osobę do tego nieuprawnioną |
grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2 |
udostępnianie lub umożliwianie dostępu do danych osobom nieupoważnionym przez osoby zobowiązane do administrowania zbiorem danych lub zobowiązane do ochrony danych osobowych |
grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2, jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku |
brak zabezpieczenia przez administrującego zbiorem danych (nawet nieumyślnie) przed zabraniem ich przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem |
grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku |
brak zgłoszenia do rejestracji zbioru danych |
grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku |
udaremnianie lub utrudnianie inspektorowi wykonania czynności kontrolnej |
grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2 |
Podstawa prawna
Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 ze zm.)
|