Administrator danych osobowych to podmiot, który decyduje o celach i środkach ich przetwarzania. Z kolei procesor przetwarza dane osobowe jedynie „na polecenie” administratora i sam nie może z nich korzystać we własnych celach. Jaki status w związku z tym będzie miała księgowa prowadząca biuro rachunkowe? Czy rozpoczynając współpracę z księgową, należy zawrzeć umowę powierzenia przetwarzania danych osobowych? Wyjaśnienie w artykule.
Biuro rachunkowe jest z jednej strony administratorem danych, bo przetwarza dane swoich pracowników, współpracowników, kontrahentów, czy klientów. Przetwarzanie danych osobowych w biurze rachunkowym odbywa się wówczas w oparciu o podstawy przetwarzania, które dotyczą samego biura. Z drugiej strony biuro rachunkowe jest najczęściej procesorem, bo są mu powierzane dane z innych firm, współpracujących z biurem, na przykład w zakresie obsługi księgowo-kadrowej. To te firmy są administratorami danych, a powierzają do zewnętrznego biura rachunkowego dane czy to swoich pracowników, czy dotyczące transakcji, w celu realizacji odpowiednich usług.
Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych osobowych w drodze umowy zawartej na piśmie. Podmiot przetwarzający (procesor) może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (art. 28 RODO). Dotyczy to w szczególności przypadku, w którym firma zleca podmiotowi zewnętrznemu prowadzenie księgowości. Zlecenie to wiąże się z przekazaniem księgowej danych osobowych pracowników czy też klientów firmy.
Nie wystarczy sama umowa o świadczenie usług księgowych czy pełnomocnictwo do reprezentowania formy przed Urzędem Skarbowym i ZUS. Konieczne jest zawarcie z biurem rachunkowym umowy powierzenia danych ewentualnie uwzględnienie postanowień dotyczących powierzenia w umowie o świadczenie usług.
Biuro rachunkowe jako administrator danych osobowych musi zastosować odpowiednie środki bezpieczeństwa danych osobowych w zakresie przetwarzanych przez siebie danych. Analogiczny obowiązek dotyczy klienta biura występującego w charakterze ADO. Generalnie za bezpieczeństwo powierzonych danych osobowych zawsze odpowiada klient jako administrator. Z drugiej strony nie wyłącza to odpowiedzialności podmiotu, który zawarł umowę, za ochronę danych osobowych niezgodnie z tą umową.
Aby zapewnić przestrzeganie wymogów RODO w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów, które zapewniają wystarczające gwarancje – w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania.
Od księgowej jako podmiotu przetwarzającego należy oczekiwać stosowania środków bezpieczeństwa danych osobowych adekwatnych do poziomu ryzyka wiążącego się z ich przetwarzaniem w ramach obsługi księgowej.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
