W części I – RODO w biurze rachunkowym, poznałeś jakie obowiązki wynikają z RODO.
Wdrożenie RODO to obowiązek dotyczący niemal każdej firmy i organizacji zatrudniającej choćby 1 pracownika lub posiadającej jakiekolwiek dane klienta. Nie ma takiej przesłanki, która zwalniałaby Cię z tego obowiązku. Twoje biuro też musi RODO wdrożyć i to prawidłowo, zgodnie z rozporządzeniem RODO.
Dla przypomnienia z cz I to Rozporządzenie Parlamentu Europejskiego oraz Rady Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (…), które weszło w życie 25 maja 2018 r. Już od kilku lat obowiązek spełnienia warunków RODO spoczywa na przedsiębiorcach, jednak nawet teraz w 2021 roku, okazuje się, że zasady te wdrażane są często niepoprawnie, bez pełnego zrozumienia zagadnienia.
Powołanie Inspektora Ochrony Danych (IOD)
Powołania inspektora określa art. 37 ust. 1 przywołanego na wstępie rozporządzenia RODO. Zgodnie z zapisem tego rozporządzenia, obowiązek ten dotyczy tylko podmiotów, które w swojej działalności głównej przetwarzają szczególne kategorie danych lub systematycznie monitorują osoby. W obu przypadkach musi się to odbywać na dużą skalę.
Twoje biuro rachunkowe nie zajmuje się żadną z tych działalności jako działalnością główną, więc nie spoczywa na Tobie obowiązek powołania Inspektora Danych Osobowych. Nie masz takiego obowiązku, ale możesz, a decyzję o powołaniu IOD musisz rozważyć samodzielnie.
Zabezpieczenia techniczne i organizacyjne
Dane muszą być odpowiednio zabezpieczone przed niedozwolonym przetwarzaniem oraz zniszczeniem – to jedna z zasad przetwarzania danych osobowych.
Twoje biuro jako podmiot przetwarzający dane na zlecenie swoich klientów i w ich imieniu oraz administrator danych, gdy masz pracowników, jest zobowiązane do wdrożenia odpowiednich środków, które zapewnią właściwą ochronę tych danych.
Będą to zabezpieczenia:
- organizacyjne – procedury i instrukcje;
- techniczne – zabezpieczenia informatyczne, szafy, niszczarki, itp.
Na początku ustal, jakie dane przechowujesz, w jakiej wersji – elektronicznej, czy papierowej, i przez jaki okres. Koniecznie musisz też ustalić ilu pracowników ma do nich dostęp i kto.
Rozporządzenie nie określa w jaki sposób zabezpieczać dane osobowe. O tym decyduje samodzielnie administrator (ADO) i podmiot przetwarzający dane. Twoje działania zabezpieczające wdrażaj zgodnie z tzw. podejściem opartym na ryzyku określonym w RODO.
Co uwzględnić w przygotowaniu zabezpieczeń?
Od Twojej oceny zależy:
- w jaki sposób zabezpieczone zostaną komputery w biurze,
- jak zabezpieczona zostanie poczta elektroniczna i jakie informacje będą za jej pośrednictwem przekazywane,
- w jakim zakresie ustalony będzie dostęp do używanych programów komputerowych – kto i do jakich zasobów będzie miał dostęp do danego programu czy systemu,
- jaka będzie polityka haseł dostępowych – długość, złożoność haseł i częstotliwość ich zmiany w przypadku dostępu do indywidualnych kont pracowników, poczty i oprogramowania,
- w jaki sposób zabezpieczone zostaną meble, gdzie przechowywane są dokumenty w wersji papierowej i ustalenie osób upoważnionych do ich przeglądania,
- jak przebiegać będzie postępowanie przy zabezpieczeniu pomieszczeń biura,
- gdzie przechowywane będą klucze i kto będzie miał do nich dostęp,
- czy będzie możliwy dostęp do dokumentów poza biurem – jeśli tak to dla kogo, gdzie i w jakim zakresie,
- kiedy i kto będzie tworzył kopie bezpieczeństwa.
Jeżeli Twoje biuro to nie firma jednoosobowa, ważnym działaniem związanym z zabezpieczeniem danych jest systematyczne szkolenie pracowników. Miej zawsze na uwadze to, że podniesienie świadomości pracowników w zakresie ochrony danych osobowych, to większa ich odpowiedzialność.
To tylko niektóre zagadnienia, które musisz ustalić w swoim biurze. RODO nie zawiera zamkniętego katalogu środków technicznych i organizacyjnych gwarantujących właściwe zabezpieczenie danych. Niezależnie od podjętych decyzji pamiętaj – to na Tobie spoczywa obowiązek uzasadnienia, że przyjąłeś rozwiązania (środki i metody) skuteczne i wystarczające.
Dokumentacja RODO w biurze rachunkowym
To kolejny, bardzo istotny krok w spełnieniu wymagań wynikających z rozporządzenia RODO, do jakich zobowiązane jest Twoje biuro. Wymaganą dokumentację w przypadku biur rachunkowych określa art. 30 ust 1, 2 rozporządzenia RODO. Przy jej przygotowywaniu kieruj się też zasadami z art 5 RODO.
Wymagane dokumenty mogą mieć formę pisemną lub elektroniczną.
Klauzula informacyjna
Wymagane jest wprowadzenia dokumentu, regulującego przetwarzanie danych osobowych w biurze rachunkowym. Jego wprowadzenie wynika z art. 13 i 14 rozporządzenia RODO, określających prawo do informacji o przetwarzaniu danych na etapie ich zbierania, Wynika z tego, że dokument taki musisz opracować aby wypełnić ciążący na Twoim biurze obowiązek informacyjny wynikający z RODO. Ten dokument będzie także prawnym i organizacyjnym schematem przetwarzania danych osobowych w Twoim biurze.
Co powinieneś zawrzeć w tym dokumencie?
- Podaj oznaczenie administratora (ADO) czyli w przypadku biura będziesz nim Ty jako właściciel;
- Jeżeli powołałeś Inspektora Ochrony Danych (IOD) to wpisz także jego dane, ale pamiętaj, że rozporządzenie RODO nie nakłada takiego obowiązku na Twoje biuro;
- Opisz kogo dotyczą dane osobowe, które są przetwarzane w Twoim biurze z uwzględnieniem danych swoich pracowników i danych powierzonych przez Twoich klientów;
- Określ cel gromadzonych danych – np. zawarcie umowy, wykonanie zadań wynikających z umowy itp.;
- Określ okres przechowywania danych – dane przechowujesz tylko w związku z umową i obowiązującymi przepisami prawa – ustawa o rachunkowości obliguje Cię do przechowywania dokumentacji co najmniej przez 5 lat po wykonaniu lub rozwiązaniu umowy, a Kodeks cywilny do 10 lat po których następuje przedawnienie roszczeń, musisz też pamiętać o przepisach dotyczących przechowywania dokumentacji pracowniczej;
- Podaj informację jakim podmiotom określone dane będą przekazywane przez Twoje biuro – Urząd Skarbowy, ZUS, podmioty z którymi Twoje biuro współpracuje w celu wykonania umowy z klientem;
- Zamieść informację jakie dane przetwarzane są w Twoim biurze – imię, nazwisko, adres, PESEL, NIP, numer telefonu, adres poczty elektronicznej itd. – musisz wymienić wszystkie dane jakie będą przetwarzane;
- Dodaj informację jakie prawa wynikające z rozporządzenia RODO mają teraz Twoi pracownicy i klienci, w tym:
- prawo do dostępu do danych (art. 15),
- prawo do sprostowania danych (art. 16),
- prawo do żądania usunięcia danych, nazywane też prawem do zapomnienia (art. 17),
- prawo do ograniczenia przetwarzania danych (art. 18 i 19).
Obowiązek informacyjny
Zadbaj o to, aby dokument ten był ogólnodostępny dla wszystkich zainteresowanych czyli Twoich klientów i pracowników. Najlepiej gdy udostępnisz go na stronie internetowej i w wersji papierowej w siedzibie biura. Tak przygotowana informacja powinna także być składową dokumentów, jakie przekażesz przyszłemu klientowi, z którym zawierasz umowę.
Przekazanie tych informacji warto dokumentować, bo w ten sposób wykażesz spełnienie obowiązku informacyjnego. Sposób dokumentowania może być różny, ale najlepiej, gdy w umowie zawrzesz oświadczenie, że informacja jest załącznikiem do umowy, a klient potwierdzi jej otrzymanie.
Rejestr czynności przetwarzania
Każdy administrator danych osobowych ma obowiązek prowadzić rejestr czynności przetwarzania. Wymóg ten reguluje art. 30 ust. 1 RODO. Wyjątki są tak nieliczne, że w zasadzie zwolnienia z tego obowiązku są marginalne. A już na pewno nie obejmują one biur rachunkowych, bo wystarczy, że biuro nie przetwarza danych osobowych sporadycznie, aby zwolnienie nie mogło być zastosowane. Trudno uznać, że w biurze rachunkowym przetwarzanie danych jest sporadyczne.
Rejestr prowadzony w biurze rachunkowym powinien być prowadzony na potrzeby biura i klientów. Zalecane jest jego prowadzenie w tabeli. Tak więc pierwszy dokument jaki musisz opracować to rejestr czynności. Na stronie internetowej Urzędu Ochrony Danych Osobowych (UODO) zamieszczono wzór takiego rejestru i wskazówki do jego opracowania.
Nie jest to co prawda wzór dla biur rachunkowych, tylko dla szkoły, ale jego przeanalizowanie pozwoli Ci na ustalenie, co taki rejestr powinien zawierać. Wzór będzie bardzo pomocny gdy będziesz tworzyć rejestr dla biura. Szkielet i zakres rejestru jest zgodny z RODO i taki sam dla wszystkich podmiotów, czyli i dla biura rachunkowego. Inne tylko będą przykładowe dane, wpisane do rejestru.
Rejestr kategorii czynności przetwarzania
Oprócz rejestru czynności biuro rachunkowe musi prowadzić dodatkowo rejestr kategorii czynności przetwarzania dokonywanych w imieniu konkretnego administratora danych. Ten wymóg wynika z art. 30 ust. 2 RODO. I tu także skorzystaj ze wzoru takiego rejestru, zamieszczonego na tej samej stronie UODO. I jak w przypadku poprzedniego przykładu, ten wzorcowy przeznaczony jest dla sklepu internetowego, ale jego układ i zawartość odpowiadają także potrzebom biura rachunkowego i są zgodne z wymaganiami RODO.
Jak zauważyłeś oba dokumenty możesz przygotować sobie w arkuszu kalkulacyjnym, a ich późniejsze prowadzenie nie powinno stwarzać problemów. I to jedyne rejestry w zakresie przetwarzania danych, jakie od Twojego biura rachunkowego wymaga rozporządzenie RODO. Brak ich może jednak skutkować wysokimi karami pieniężnymi.
Polityka bezpieczeństwa
W czasie funkcjonowania ustawy z 1997 r. w firmach tworzone były dokumenty określane jako Polityka bezpieczeństwa. Zgodnie z nowymi przepisami nie ma takiego wymogu, aby go posiadać, ale może uporządkować wiele rozwiązań przyjętych w biurze rachunkowym. Tak więc wymogu opracowania nie ma, ale… jest wskazany.
Jeżeli Twoje biuro działało przed 25 maja 2018 r. i miałeś taki dokument, to sprawa jest prosta. Wystarczy, że dostosujesz go do nowego rozporządzenia RODO. Jeżeli nie prowadziłeś biura lub nie opracowałeś tego dokumentu, to warto, abyś zrobił go teraz.
Czym jest polityka bezpieczeństwa?
Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym to dokumenty wewnętrzne biura, dlatego nie powinny być one ogólnodostępne. Celem polityki bezpieczeństwa jest wskazanie środków, metod i procedur bezpiecznego przetwarzania informacji, w tym danych osobowych.
W polityce bezpieczeństwa udokumentujesz stosowane w biurze środki techniczne i organizacyjne w celu zapewnienia właściwej ochrony przetwarzanych danych. Dlatego też w dokumencie tym wykaż jakie zabezpieczenia fizyczne i techniczne zostały wprowadzone w Twoim biurze. Ponadto wskaż wszystkie miejsca, gdzie dane są przetwarzane. Tu również powinny znaleźć się informacje o programach wykorzystywanych w biurze przy przetwarzania danych osobowych.
Jak taki dokument nazwać?
Może to być nadal Polityka bezpieczeństwa danych osobowych, bo takie określenie przywołuje aktualne rozporządzenie RODO.
Upoważnienie pracowników do przetwarzania danych osobowych
RODO nie określa w sposób jednoznaczny zagadnienia udzielania upoważnień do przetwarzania danych osobowych. Jedyna wzmianka dotyczy możliwości udzielania go przez administratora lub podmiot przetwarzający. Ponadto, osoba upoważniona zobowiązana jest do zachowania tajemnicy na temat przetwarzanych danych i działać ma na wyłączne polecenie administratora. W praktyce oznacza to że osoba upoważniona przetwarza dane jedynie w celu wykonywania danej umowy.
Udzielając swojemu pracownikowi upoważnienia do przetwarzania danych wpisz w nim następujące informacje:
- imię, nazwisko i stanowisko pracownika oraz dane administratora czyli Twoje jako właściciela biura rachunkowego lub osoby którą wyznaczysz do reprezentowania biura,
- informację o tym, że pracownik będzie przetwarzał dane w zakresie pełnionych obowiązków służbowych – wymień jakie to obowiązki,
- okres, w jakim obowiązuje upoważnienie,
- zobowiązanie pracownika do zachowania przetwarzanych danych osobowych w tajemnicy, również po zakończeniu pracy.
Upoważnienie sporządź w formie pisemnej, a pracownik powinien podpisać się pod jego treścią, podając datę i miejsce złożenia podpisu. Odpowiedni zapis możesz także umieścić w umowie o pracę.
Lista kontrolna dokumentów do opracowania:
- Klauzula informacyjna,
- Oświadczenie o dopełnieniu obowiązku informacyjnego,
- Umowy z klientami na przetwarzanie danych,
- Rejestr czynności przetwarzania,
- Rejestr kategorii czynności przetwarzania,
- Polityka bezpieczeństwa,
- Podpisywane przez pracowników upoważnienia związane z RODO,
- Rejestr naruszeń – tylko jako administrator danych,
- Procedury dokumentowania naruszeń i ich klasyfikowania.
Naruszenie ochrony danych osobowych
Najczęściej sądzi się, że naruszenie danych osobowych to po prostu ich wyciek na zewnątrz, w niepowołane ręce. Ale tak nie jest. To także naruszenie ich integralności lub poufności. Jeżeli Twój pracownik zniszczy lub zgubi dokumenty, na podstawie których np. oblicza się wynagrodzenie pracownikom Twojego klienta, to naruszona zostanie dostępność danych.
Po stwierdzeniu takich naruszeń, musisz o tym fakcie poinformować swojego klienta. To on jako administrator danych zawiadamia o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Wcześniej ocenia klasyfikację tych naruszeń i podejmuje decyzję czy ma to naruszenie zgłosić. RODO nakłada na administratorów obowiązek prowadzenia odpowiednich rejestrów naruszeń i zgłaszania incydentu do organu nadzorczego. Administrator ma na to 72 godziny.
Zarówno Ty jako właściciel biura, jak i Twoi klienci, jesteście zobowiązani do opracowania wewnętrznej procedury dokumentowania takich naruszeń i ich klasyfikowania, ponieważ nie wszystkie trzeba zgłaszać do PUODO.
Co dalej z RODO w Twoim biurze?
Wiesz już jak zabezpieczyć dane osobowe i jakie dokumenty opracować w ramach RODO. Wiesz też jakie działania w związku z tym podjąć. Ale to jeszcze nie koniec spraw, o których musisz wiedzieć i działań jakie czekają Cię w związku z RODO. W kolejnej części dowiesz się wszystkiego o tym, co musisz zrobić, gdy klienci powierzają Twojemu biuru swoje dane.