Kategorie
IT w biurze rachunkowym Prowadzenie biura księgowego

Przetwarzanie danych osobowych w biurze rachunkowym

przetwarzanie danych w biurze rachunkowym
Przetwarzanie danych osobowych

Biuro rachunkowe, którego jesteś właścicielem jest już w trakcie wdrażania RODO i wspólnie z pracownikami podjęliście szereg czynności z tym związanych. Pora teraz na kolejny etap, a mianowicie zawarcie umów z klientami w związku z przetwarzaniem tych danych. Zanim jednak do tego przejdziemy, dowiedz się, na czym polega przetwarzanie danych i w jaki sposób powinno to być prowadzane.

O zadaniach związanych z RODO i czynnościach jakie w biurze trzeba w tym kierunku podjąć, możesz przeczytać w dwóch poprzednich artykułach:

Rodo w biurze rachunkowym

Wdrożenia RODO w biurze rachunkowym

Teraz pora na przetwarzanie zgromadzonych danych…

Przetwarzanie danych osobowych

Przetwarzanie danych osobowych to operacja lub zestaw operacji wykonywanych na danych osobowych. Będą to wszelkie możliwe czynności, które wykonuje się na tych danych np. zbieranie, porządkowanie,modyfikowanie, pobieranie, przeglądanie, usuwanie czy niszczenie. To zestawienie czynności nie wyczerpuje ich katalogu i jest on zależny od celu w jakim dane są przetwarzane. Do przetwarzania danych osobowych uprawniony jest ich administrator, który może upoważnić inne osoby do wykonywania tych czynności. 

Podstawą przetwarzania danych osobowych w biurze rachunkowym jest realizacja umowy zawartej z klientem. Są to również aktualnie obowiązujące przepisy prawa, w tym Kodeks Pracy i przepisy podatkowe.

Przetwarzając dane musisz respektować prawa osób, których one dotyczą i odpowiednio je zabezpieczyć.

Jako administrator danych musisz wykazać, że zostały spełnione warunki określone w przepisach prawa, dotyczące przetwarzania danych i dopełniłeś obowiązku informacyjnego. W tej sytuacji najlepiej gdy złożysz odpowiednie oświadczenie. Może to być oddzielny dokument lub element umowy głównej. Ważne jest to, abyś w takim oświadczeniu zapisał, że udostępnione przez klienta dane, Twoje biuro będzie przetwarzać tylko w celu realizacji umowy.

Zasady przetwarzania danych osobowych

Rozporządzenie RODO w art 5 precyzyjnie określa zasady dotyczące przetwarzania danych osobowych. Prawidłowo prowadzona polityka przetwarzania zgromadzonych i powierzonych danych nakłada na Twoje biuro stosowanie poniższych zasad:

  • Zgodność z prawem, rzetelność i przejrzystość – przetwarzanie danych realizuj rzetelnie i zgodnie z prawem. Sposób przetwarzania danych musi być znany i przejrzysty dla osoby, której te dane dotyczą;
  • Ograniczenie celu – cel zbierania danych określ w sposób prawnie uzasadniony i konkretny. Pamiętaj, że przetwarzanie danych w innych celach jest zabronione;
  • Minimalizacja danych – ilość i zakres gromadzonych danych ogranicz do tego co jest niezbędne w określonym celu – nie można zbierać danych niepotrzebnych lub “na wyrost”;
  • Prawidłowość – gromadź dane prawdziwe i uaktualniaj je w razie potrzeb; 
  • Ograniczenie przechowywania – przechowuj dane nie dłużej, niż jest to konieczne dla danego celu, w którym je zebrałeś. 
  • Integralność i poufność – wszystkie dane odpowiednio zabezpiecz przed niedozwolonym przetwarzaniem i zniszczeniem.
  • Rozliczalność – wykaż, że realizujesz wszystkie powyższe zasady.

Jeżeli uwzględniasz te zasady w pracy Twojego biura, to możesz mieć pewność, że właściwie gromadzisz i przetwarzasz dane dla których jesteś administratorem i podmiotem przetwarzającym. Poza tym potrafisz i możesz to wykazać.

Umowy z klientami na przetwarzanie danych

Z każdym przedsiębiorcą korzystającym z usług Twojego biura rachunkowego i powierzającym biuru dane osobowe do przetwarzania, musisz zawrzeć umowę powierzenia przetwarzania danych osobowych. Reguluje to art. 28 RODO. Umowę powierzenia zawrzyj przed rozpoczęciem przetwarzania. Zawrzyj ją zatem zanim otrzymasz jakiekolwiek dane osobowe od swojego klienta, które będziesz w jego imieniu przetwarzać. 

Umowy powierzenia przetwarzania zawarte przed 25 maja 2018 musisz zaktualizować, dostosowując je do wspomnianego art. 28 RODO. W aktualizacji umowy musisz. uwzględnić wszystko to co jest nowe czyli np. sposób wykonywania inspekcji i audytów przez Twojego klienta w Twoim biurze.

Umowa powierzenia przetwarzania danych osobowych może być oddzielnym dokumentem lub zawierać dodatkowe zapisy sformułowane w umowie na świadczenie usług. 

Rozporządzenie RODO w art. 29 ust 9 wskazuje też, że masz możliwość zastosowania innego rozwiązania prawnego na takie powierzenie. Może to być dokument w wersji elektronicznej, np. dostępne na stronie internetowej biura Ogólne Warunki Świadczenia Usług. Taki dokument możesz też przesłać do klienta mailem. Jeżeli znajdą się tam odpowiednie zapisy również możesz mieć powierzone przetwarzanie danych.

Co zapisać w umowie powierzenia?

Aktualne przepisy RODO określają co należy uwzględnić w takiej umowie. Oprócz standardowych zapisów określających strony i cel umowy, określ w niej:

  • Zakres – konkretne dane osobowe, które otrzymasz w powierzenie;
  • Zabezpieczenia – informację, że dane będą zabezpieczane;
  • Upoważnienia i oświadczenia – zabezpieczenie przed ujawnieniem, zniszczeniem, utratą  i nieautoryzowaną modyfikacją danych;
  • Kontrola i weryfikacja – zapis, że klient ma prawo do kontroli i weryfikacji zabezpieczeń wprowadzonych przez Twoje biuro;
  • Naruszenie – w jakim terminie poinformujesz klienta o zaistniałym naruszeniu bezpieczeństwa przetwarzanych danych;
  • Podpowierzenie – klauzulę dotyczącą akceptacji osób, którym dane będą dalej powierzane – np. firmy IT świadczącej usługi na rzecz biura,
  • Odpowiedzialność – za co odpowiada każda ze stron umowy;
  • Poufność umowy – zapis, że wszelkie informacje udostępnione w czasie wykonania umowy powierzenia są poufne i nie wolno ich ujawniać.

Kto ma opracować umowę?

Zawarcie umowy powierzenia przetwarzania to działanie ważne i jest w interesie obu zainteresowanych stron – klienta i biura. Możesz zaproponować swój wzór umowy, albo przekazać klientowi informację, że jesteś gotowy zaakceptować umowę o powierzeniu przetwarzania danych przygotowaną przez klienta. Takie rozwiązanie szczególnie będzie miało zastosowanie w przypadku większej firmy korzystającej z usług Twojego biura. Te firmy najczęściej z pomocą prawników przygotują swój wzór umowy. 

Jeżeli łączysz w ofercie biura usługi w zakresie księgowości z doradztwem prawnym, to dobrym rozwiązaniem, świadczącym o Twoim profesjonalizmie, będzie przygotowanie umowy przez prawnika współpracującego z biurem. A może jeszcze dodatkowo zaoferujesz klientowi wsparcie prawne przy wdrożeniu RODO?

Przetwarzanie danych w systemach informatycznych

W Rozporządzeniu RODO nie znajdziesz zapisu, wskazującego sposoby przetwarzania danych. Nie zawiera również regulacji, czy takie przetwarzanie danych masz realizować z zastosowaniem rozwiązań informatycznych. Jednak funkcjonalności wymienione w art 32 tego dokumentu obejmują zapewnienie bezpieczeństwa z uwzględnieniem stanu wiedzy technicznej. Takie rozwiązanie jest możliwe przy przetwarzaniu danych w systemach informatycznych.

Wskazuje się tu przede wszystkim na:

  • pseudonimizację – przetworzenie danych tak, aby nie można było ich przypisać danej osobie, której one dotyczą, czyli nadanie odpowiedniego kodu tym danym; 
  • szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów, czyli zdolność systemów do prawidłowego funkcjonowania pomimo dużego obciążenia;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Aby wykazać, że te elementy uwzględniłeś w swojej polityce bezpieczeństwa przetwarzania danych, musisz wskazać kto i kiedy wprowadził, zmodyfikował lub usunął dane osobowe w systemie. To nic innego jak uwierzytelnianie użytkownika oraz zbieranie i przechowywanie logów systemowych. 

Nie wystarczy, że okażesz dokumentację potwierdzającą stosowanie się do wytycznych RODO. Musisz jeszcze wskazać, w jaki sposób przeprowadziłeś to praktycznie np. jak zabezpieczona jest poczta e-mail, jak szyfrowane są dane i czy sporządzane są backupy.

Kilka wskazówek na ten temat znajdziesz w poprzednich tekstach na naszym blogu

Kopie zapasowe w biurze rachunkowym – co zrobić by spać spokojnie?

Twoja poczta firmowa w SPAMie – cz III – uwierzytelnianie wysyłanych wiadomości  

RODO z systemem KonektoSmart

Nie ma potrzeby jednak, aby Twoje biuro od razu traktowane było jak co najmniej bankowy skarbiec. Te zabezpieczenia muszą być adekwatne do danych przetwarzanych w biurze. Najlepiej, gdy przynajmniej część z nich, przerzucisz na specjalistów.

Ułatwisz sobie pracę i prowadzenie biura, jeżeli skorzystasz z systemu KonektoSmart. Po wdrożeniu tego systemu pozbędziesz się wielu spraw związanych z RODO i z prawidłowym zabezpieczeniem danych powierzonych biuru przez klientów. 

Bezpieczeństwo danych klientów w KonektoSmart jest sprawą priorytetową, dlatego system spełnia wszystkie wytyczne RODO. Z KonektoSmart dane Twojego biura rachunkowego będą bezpieczne. 

Zabezpieczenia w systemie KonektoSmart, to gwarantowane bezpieczeństwo, realizowane  w 3 obszarach:

  1. Certyfikat SSL 256-bit:
    • Połączenie ze stroną szyfrujemy za pomocą 256‑bitowego klucza szyfrującego.
  2. Bezpieczne serwery:
    • Dane przechowujemy na bezpiecznych serwerach w centrum danych OVH, które spełniają najwyższe światowe standardy bezpieczeństwa dostępu do serwerów;
    • Serwis wyposażyliśmy w mechanizm obrony przed wszystkimi znanymi atakami typu DDoS oraz chronimy zaporą/firewallem (WAF);
  3. Profesjonalna opieka:
    • Regularne kopie zapasowe na niezależnych serwerach dają gwarancję braku ich utracenia;
    • Serwis na bieżąco monitoruje i zabezpiecza profesjonalny zespół specjalistów zajmujących się bezpieczeństwem serwisów WWW;

KonektoSmart pomaga swoim klientom zapewniając kompleksowe zabezpieczenie we wszystkich oferowanych usługach systemu. 

Spróbuj, a przekonasz się, że z KonektoSmart możesz w pełni i kompleksowo zabezpieczyć dane osobowe przetwarzane w systemie informatycznym! 

Skontaktuj się z nami – chętnie odpowiemy na Twoje pytania