fbpx

Prowadzisz biuro rachunkowe? Sprawdź, jakie obowiązki wiążą się z przetwarzaniem danych osobowych na zlecenie innych firm. W tym artykule podzielę się z Tobą najważniejszymi aspektami RODO w biurze rachunkowym, które musisz wziąć pod uwagę. To pomoże Ci skutecznie i szybko wdrożyć RODO w Twoim biurze rachunkowym i zapewnić bezpieczeństwo danych, do których masz dostęp poprzez świadczone usługi.

RODO w biurze rachunkowym – podwójna rola.

Biura rachunkowe są w bardzo specyficznej sytuacji. Zgodnie z RODO będą pełnić dwie funkcje. Po pierwsze, prowadząc biuro rachunkowe będziesz administratorem danych – np. swoich klientów i pracowników, jeśli zatrudniasz dodatkowe osoby. To już nakłada na Ciebie obowiązki związane z przetwarzaniem danych. A to jeszcze nie koniec.

Po drugie, będziesz podmiotem przetwarzającym dla danych klientów swoich klientów lub ich pracowników. Jednym słowem: Twój klient zlecając Ci obsługę księgową powierza Ci jednocześnie przetwarzanie danych swoich klientów i kontrahentów. Bez danych na rachunkach i fakturach nie byłoby przecież możliwe wykonanie tych usług. Dodatkowo, może się zdarzyć, że powierzenie danych będzie dotyczyło także dane osobowych pracowników Twojego klienta. Taka sytuacja będzie miała miejsce, jeśli np. prowadzisz także obsługę kadrową i płacową swoich klientów.

Pełnienie tych dwóch ról jednocześnie nakłada na biura rachunkowe dodatkowe obowiązki związane z przetwarzaniem danych. W dalszej części tego artykułu skupiam się więc przede wszystkim na tych obowiązkach, które wynikają z roli podmiotu przetwarzającego.

Czy dane na fakturach to dane osobowe?

Być może teraz zastanawiasz się, czy faktycznie informacje pozyskiwane od Twojego klienta w trakcie współpracy są danymi osobowymi? Tu wyjaśnienia wymaga definicja tego, kogo dotyczą dane osobowe, ponieważ przez kilka ostatnich lat w Polsce różnie traktowano dane osób prowadzących działalność gospodarczą. W związku z tym nic dziwnego, że i na tym gruncie powstało wiele rozbieżności.

Wiele osób łudzi się, że dane na fakturach nie są danymi osobowymi. Tymczasem część z nich z pewnością będzie dotyczyło osób fizycznych, a to jest już wystarczającym argumentem do uznania, że są to dane osobowe. Dane osobowe związane są bowiem z osobami fizycznymi. W tym również mieszczą się dane osób fizycznych prowadzących działalność gospodarczą, mimo że ich dane są widoczne dla wszystkich w CEiDG.

Danymi osobowymi nie są natomiast dane osób prawnych, w tym przedsiębiorstw będących osobami prawnymi (spółki z ograniczoną odpowiedzialnością, spółki akcyjne), jak i dane o firmie, formie prawnej czy dane kontaktowe osoby prawnej. Danymi osobowymi nie są również dane jednostek samorządu terytorialnego, stowarzyszeń rejestrowych czy fundacji. Obecnie więc, zgodnie z motywem 14 RODO, dane osób prowadzących działalność gospodarczą, jak i wspólników spółek osobowych bez wątpienia należy potraktować jako dane osobowe. A takie podejście rozszerza zdecydowanie krąg danych osobowych.

Jest więc wysoce prawdopodobne, że w usługach księgowych i biurowych będziesz mieć do czynienia z danymi osobowymi. Będą to dane nie tylko Twoich klientów, ale także ich klientów i kontrahentów, jeśli są osobami fizycznymi prowadzącymi działalność gospodarczą. Nie można więc nigdy wykluczyć, że na fakturach czy umowach znajdą się dane osobowe.

Kiedy jesteś procesorem danych?

Jak więc wyraźnie widać dane osobowe będą niezbędne do prawidłowej i terminowej realizacji usług Twojego biura rachunkowego. Powierzenie danych osobowych to pojęcie, które stosujemy między innymi w odniesieniu do usług, w których jedna firma powierza drugiej czynności na danych osobowych. Podmiot, któremu dane się powierza nazwywamy podmiotem przetwarzającym lub procesorem. Obie definicje są w użyciu i mogą być stosoowane zamiennie.

Powierzenie danych ma miejsce przede wszystkim, jeśli prowadzisz usługi księgowe, kadrowe, informatyczne lub biurowe (np. wirtualna asystentka). Stajesz się automatycznie procesorem i nie ma możliwości, aby zrzec się tej roli lub przenieść tę odpowiedzialność na inną osobą. Dlatego tak istotne jest, aby dokładnie wiedzieć z czym konkretnie wiąże się bycie procesorem danych osobowych. Pamiętaj, że procesor nie staje się administratorem danych, które mu powierzono i nie może samodzielnie decydować o celach i sposobach przetwarzania danych.

W dalszej części dowiesz się jakie dwa podstawowe obowiązki nakłada w tej sytuacji na Ciebie RODO, a także na co warto zwrócić uwagę będąc podmiotem przetwarzającym.

 

Obowiązki RODO w biurze rachunkowym.

Zgodnie z art. 28 RODO przetwarzanie danych na zlecenie innych podmiotów będących administratorami danych wymaga zawarcia umowy powierzenia przetwarzania danych. Umowa powierzenia powinna zostać zawarta przed rozpoczęciem przetwarzania.  Co do zasady więc, musisz to uregulować zanim otrzymasz jakiekolwiek dane osobowe od swojego klienta.

O tym, co powinna zawierać umowa powierzenia przetwarzania pisałam już w innym artykule, w strefie wiedzy dla Inspektorów Ochrony Danych. Do lektury tego tekstu serdecznie Cię zachęcam, ponieważ wskazuję w nim główne elementy umowy powierzenia. Sprawdź, czy umowy zawierane z klientami Twojego biura rachunkowego spełniają te warunki.  A jeśli potrzebujesz sprawdzonego wzoru umowy powierzenia wraz z omówieniem sprawdź mój e-book z pakietem wzorów” “Wszystko o powierzeniu danych + wzór umowy powierzenia danych.”

Kolejnym aspektem, o którym często się zapomina, to obowiązek prowadzenia rejestru kategorii przetwarzania. Nie należy go jednak mylić z rejestrem czynności przetwarzania. Ten ostatni prowadzić ma administrator danych.  Administartorem danych, jak już na początku wspomniałam, jest także biuro rachunkowe w stosunku do danych swoich klientów czy pracowników. W związku z tym rejestr czynności musisz prowadzić swoją drogą. Natomiast rejestr kategorii przetwarzania jest osobnym wykazem przetwarzania, który będzie dla Ciebie dodatkowym obowiązkiem. Rejestr kategorii dotyczy wyłącznie podmiotów przetwarzających dane na zlecenie innych administratorów, np. biur ksiegowych. Obowiązek prowadzenia rejestru kategorii w biurze rachunkowym wynika z art. 30 ustęp 2 RODO. Wzór rejestru kategorii przetwarzania z przykładami jest także dołączony do e-booka o powierzeniach, który linkuję wyżej.

Co powinien zawierać rejestr kategorii przetwarzania?

W rejestrze kategori przetwarzania trzeba odnotować następujące informacje: 

  • nazwę oraz dane kontaktowe podmiotu przetwarzającego, a także jeśli będzie miało to zastosowanie – inspektora ochrony danych,
  • kategorie przetwarzań dokonywane w imieniu każdego z administratorów,
  • kategorie odbiorców, którym dane zostały lub zostaną ujawnione, w tym w państwach trzecich i organizacji międzynarodowych (jeśli tak, to należy podać także nazwę państwa lub organizacji, czy spełnia wymagania zabezpieczenia),
  • jeśli to możliwe, ogólny opis środków technicznych i organizacyjnych. 

O czym pamiętać wdrażając RODO w biurze rachunkowym?

Będąc podmiotem przetwarzającym, podobnie jak administrator danych, musisz pamiętać o wdrożeniu adekwatnych środków organizacyjnych i technicznych. Środki organizacyjne to różnorodne zasady postępowania, szkolenia czy procedury. Natomiast środki  teczniczne to zabezpieczenia informatyczne, szafy, niszczarki, etc. Przy ich wdrożeniu musisz pamiętać, aby  spełniały najwyższe gwarancje ochrony powierzonych danych.

Administrator danych może przeprowadzić w Twojej firmie kontrolę zgodności przetwarzania z przepisami RODO i umową powierzenia, która zostanie między wami zawarta. To bardzo istotne uprawnienie Twojego klienta. Administrator bowiem musi, zgodnie z art. 28 ustęp 1 RODO, wykazać, że powierza przetwarzanie wyłącznie takim podmiotom, które gwarantują najwyższe standardy ochrony danych. Jednym z narzędzi do wykazania tego jest właśnie przeprowadzenie audytu przetwarzania danych. Oczywiście taki audyt może nastąpić wyłącznie pod kątem danych, które zostały powierzone do Twojego biura księgowego.

Kolejnym bardzo istotnym aspektem jest podpowierzenie przetwarzania. W trakcie swojej działalności może się bowiem zdarzyć, że w niektórych czynnościach, które prowadzisz w imieniu Twojego klienta będą pojawiać się podwykonawcy. A to wymaga właściwego podejścia, zgodnego z wymogami RODO. Z taką sytuacją w biurze rachunkowym będziesz mieć do czynienia, gdy do danych powierzonych przez Twojego klienta będzie mieć dostęp inna firma, np. serwisująca i utrzymująca oprogramowanie, w którym są przetwarzane. Jest to klasyczny przykład podpowierzenia. Warunki podpowierzenia powinny zostać dokładnie opisane w umowie powierzenia przetwarzania danych. Więcej o aspekcie podpowiedzenia w biurze rachunkowym omawiam w artykule, który podawałam już wyżej. Warto do niego zajrzeć, ponieważ omawiam tam łacznie 6 elementów, które powinna zawierać umowa powierzenia danych.

Sposoby wdrożenia RODO w biurze rachunkowym.

Jeśli chcesz szybko i skutecznie wdrożyć RODO w biurze rachunkowym sprawdź dwie poniższe propozycje, które przygotowałam dla tej specjalizacji.

Jeśli potrzebujesz sprawdzonego wzoru umowy powierzenia danych, rejestru kategorii przetwarzania wraz z omówieniem, to możesz skorzystać z mojego e-booka „Wszystko o powierzeniu danych + wzory”, w którym poświęciłam tym zagadnieniom wiele miejsca. Wszystkie wzory do e-booka są do pobrania w formie pliku do edycji, dzięki czemu łatwo i skutecznie zorganizujesz proces przetwarzania danych w imieniu Twojego klienta.  

Natomiast kompleskowe wdrożenie RODO w biurze rachunkowym zapewni Ci kurs online “RODO w Twojej firmie“. Jest on dedykowany dla biur rachunkowych, a w pakiecie 25 wzorów znajdziesz także niezbędną Ci umowę powierzenia danych oraz rejestr kategorii. Jeśli masz jakiekolwiek pytania lub wątpliwości – napisz lub zadzwoń do mnie.

Bezpieczni w biznesie
error: Treść strony jest chroniona!