Powszechnym zjawiskiem jest korzystanie, zwłaszcza przez mniejsze organizacje, z outsourcingu księgowego a mianowicie z usług biur rachunkowych. Wiąże się to naturalnie z przetwarzaniem danych osobowych. Dowiedz się, jakie wymogi należy spełnić w związku z przekazywaniem danych do biura rachunkowego.
Z artykułu dowiesz się:
W związku ze świadczeniem usług rachunkowych na rzecz administratora danych osobowych biuro rachunkowe przetwarza przekazane przez niego dane osobowe m.in.:
Zgodnie z zawartą umową administrator w celu umożliwienia wykonania usługi przez biuro rachunkowe wysyła do tego biura faktury VAT, które wystawił swoim kontrahentom. Na tej podstawie biuro prowadzi m.in. ewidencję VAT, podatkową księgę przychodów i rozchodów a także oblicza zaliczki na należny podatek od towarów i usług oraz dochodowy. Na fakturach tych widnieją dane osobowe kontrahentów administratora.
Na jakiej podstawie biuro rachunkowe przetwarza dane osobowe przekazane przez ADO? Otóż biuro nie ma własnej podstawy przetwarzania tych danych. Przetwarza je w imieniu swojego klienta i w celu realizacji usługi na jego rzecz. To klient jest administratorem i decyduje o celach i zakresie przetwarzanych danych. Oznacza to, że biuro rachunkowe ma status procesora i administrator powinien z nim zawrzeć umowę powierzenia przetwarzania danych.
Umowa o powierzeniu przetwarzania danych osobowych powinna być zawarta w formie pisemnej lub elektronicznej. W treści umowy zawsze trzeba wskazać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora oraz pozostałe kwestie wyliczone w art. 28 ust. 3 RODO.
Natomiast w zakresie danych osobowych, które samodzielnie pozyskuje biuro, staje się ono administratorem danych osobowych.
Biuro rachunkowe świadczy usługi na rzecz organizacji A. Kontrahentem organizacji A jest organizacja B. Przedstawiciel biura pozyskuje dane osobowe przedstawiciela organizacji B samodzielnie z Centralnej Ewidencji i Informacji o Działalności Gospodarczej.
Decydując się na korzystanie z usług biura rachunkowego, administrator musi mieć na względzie, że w przypadku naruszenia ochrony danych zawinionego przez biuro to on ponosi za to odpowiedzialność – w zakresie danych przekazanych w ramach umowy powierzenia przetwarzania. Wszak administrator ma obowiązek korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO). Innymi słowy zawarcie umowy z biurem rachunkowym jako podmiotem przetwarzającym w żaden sposób nie wyłącza ani nie ogranicza odpowiedzialności ADO.
To na kliencie korzystającym z biura rachunkowego spoczywa odpowiedzialność za wybór odpowiedniego procesora – tj. dającego gwarancje, że powierzone mu dane nie zostaną utracone albo nie wyciekną na zewnątrz.
Co za tym idzie, nie jest dopuszczalne zawarcie w umowie powierzenia przetwarzania danych osobowych rozwiązań wyłączających odpowiedzialność administratora danych osobowych. Takie rozwiązania byłyby bezskuteczne.
Z tego względu administrator, nim zawrze umowę powierzenia przetwarzania danych z biurem rachunkowym, powinien dążyć do przeprowadzenia audytu w zakresie bezpieczeństwa danych.
Administrator może wysłać do biura ankietę do wypełnienia, w której wypyta biuro o podstawowe kwestie mające znaczenie dla wypełniania obowiązków podmiotu przetwarzającego. Mniej bezpieczną alternatywą jest odebranie od biura stosownego oświadczenia.
|
L.p. |
Pytanie |
Odpowiedź |
|
1. |
Czy wszyscy pracownicy / współpracownicy zostali przeszkoleni z zasad przetwarzania danych osobowych zawartych w RODO? Jeśli tak, to kiedy? |
Tak, przed wejściem w życie RODO lub w momencie zatrudnienia (jeśli zatrudnienie nastąpiło po 25 maja 2018 r.) |
|
2. |
Czy został powołany inspektor ochrony danych? |
Nie |
|
3. |
Czy do przetwarzania danych osobowych są dopuszczone wyłącznie osoby posiadające imienne upoważnienia? |
Tak |
|
4. |
Czy osoby, które zostały upoważnione do przetwarzania danych osobowych, zostały równocześnie zobowiązane do zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczenia? |
Tak |
|
5. |
Czy wdrożono wewnętrzną dokumentację (polityki, instrukcje, procedury) przetwarzania danych osobowych zgodnie z RODO? Jeśli tak, proszę wskazać jakie. |
Procedura bezpieczeństwa informacji (PBI), Instrukcja zarządzania systemem informacji (IZSI) |
|
6. |
Czy kiedykolwiek miało miejsce naruszenie ochrony danych osobowych? Jeżeli tak, proszę opisać, jakie zostały podjęte działania zaradcze i jakie skutki miało przedmiotowe naruszenie. |
Nie |
|
7. |
Czy przeprowadzane są niezależne audyty ochrony danych osobowych? Jeśli tak, to jak często i kto je przeprowadza? |
Nie |
|
8. |
Czy stosuje się fizyczne zabezpieczenia pomieszczeń/ obszarów przetwarzania danych osobowych przed dostępem osób nieuprawnionych? Jeśli tak, proszę opisać jakie. |
Informacje są w PBI |
|
9. |
Czy są stosowane środki służące ochronie systemów przetwarzania danych przed działaniem tzw. złośliwego oprogramowania? |
Informacje są w IZSI |
|
10. |
Czy są stosowane środki służące ochronie danych przed ich utratą? Jeśli tak, proszę je zwięźle wymienić, np. regulaminy backup, archiwizacja, inne (jakie?) |
Informacje są w IZSI |
|
11. |
Czy jest zapewniona rozliczalność działań podejmowanych przez użytkowników systemów informatycznych, np. czy istnieje możliwość stwierdzenia, kto i kiedy modyfikował dane konkretnej osoby lub miał do nich wgląd? |
Tak |
|
12. |
Czy w przypadku przekazywania danych, podlegających ochronie, środkami telekomunikacyjnymi lub na nośnikach wymiennych, ich poufność, integralność i autentyczność jest zabezpieczona metodami kryptograficznymi (np. szyfrowanie)? |
Tak |
|
13. |
Czy stosowane środki i metody przetwarzania gwarantują możliwość realizacji wymienionych w art. 12 – 22 RODO praw osób, których dane dotyczą? |
Tak |
|
14. |
Czy są stosowane środki służące ochronie danych przed nieuprawnionym dostępem poprzez jego wykrywanie i zapobieganie? Jeśli tak, proszę je zwięźle wymienić, np. IPS, IDS, firewall itp. |
Informacje są w IZSI |
|
15. |
Czy stacje robocze i komputery przenośne, w których przetwarzane są dane osobowe, zostały zabezpieczone przed nieautoryzowanym uruchomieniem, np. za pomocą hasła BIOS, hasła programu szyfrującego, klucza autoryzacyjnego? |
Tak. |
|
17. |
Czy organizacja przekazuje dane do państwa trzeciego? Jeżeli tak, proszę wskazać okoliczności i podstawę przekazywania danych do państwa trzeciego. |
Nie |
Podmiot przetwarzający ma obowiązek:
Z powyższego wynika, że administrator może poddawać procesora audytowi nie tylko przed zawarciem umowy powierzenia, ale także w jej trakcie.
Aby przeprowadzenie audytu było możliwe, należy zastrzec w umowie prawo kontroli podmiotu przetwarzającego z punktu widzenia zgodności tego przetwarzania z przepisami prawa oraz postanowieniami umowy.
Aby audyt w trakcie trwania umowy powierzenia przetwarzania miał sens, administrator powinien uzyskać:
Dodatkowo warto, by administrator zagwarantował sobie możliwość wydawania biuru zaleceń co do sposobu wyeliminowania stwierdzonych nieprawidłowości oraz obowiązek procesora niezwłocznego zastosowania się do tych zaleceń. Natomiast w przypadku braku zaleceń ze strony administratora biuro rachunkowe powinno być zobligowane do samodzielnego opracowania i wdrożenia rozwiązań eliminujących wykryte w toku kontroli niezgodności, a także do poinformowania administratora o zastosowanych rozwiązaniach.
W wykonaniu art. 28 RODO, ale też zgodnie z zasadą rozliczalności (art. 5 RODO), z przeprowadzonego audytu powinien być spisany protokół. W protokole tym, podpisanym przez administratora i biura rachunkowe, powinny znaleźć się wnioski z kontroli, a w szczególności wszelkie wykryte niezgodności z przepisami prawa lub postanowieniami umowy powierzenia przetwarzania danych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
