google

    księgowość, księgowy, biuro księgowe

    Kursy walut 23.08.2019
    1 USD
    3.9371
    0.0034
    1 EUR
    4.3572
    -0.0088
    1 CHF
    3.9876
    -0.0174
    1 GBP
    4.8050
    0.0266
    1 RUB
    0.0600
    0
    Newsletter
    Otrzymuj wiadomości o nowościach w branży
    Podaj imię i nazwisko:
    Twój adres email:
     
    Zobacz na mapie
    Chcę dodać:
    W zasięgu km

    • Ochrona danych przez biura rachunkowe

    Logo Wolters Kluwer

    Biuro rachunkowe, zarówno jako administrator danych, jak i procesor, jest zobowiązane zastosować odpowiednie środki bezpieczeństwa i przestrzegać zasad i przepisów dotyczących ochrony danych. Generalnie za bezpieczeństwo swoich danych zawsze odpowiada administrator, ale nie wyłącza to odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z taką umową.

    Biuro odpowiada więc za swoje dane, np. swoich pracowników, ale przede wszystkimza dane powierzone przez innych administratorów. Kwestie te reguluje art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO. „Aby zapewnić przestrzeganie wymogów niniejszego rozporządzenia w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania” (motyw 81 RODO).

    Zapewne więc coraz częściej duże kancelarie będą sprawdzane i odpytywane na okoliczność stosowania odpowiednich środków bezpieczeństwa przez wymagających klientów. W tym celu stosowane są różne ankiety analityczne lub wręcz audyty przeprowadzane przed rozpoczęciem współpracy. Na pewno też aktualnie obowiązujące umowy powierzenia przetwarzania danych powinny być aneksowane, uzupełniane o wymogi z art. 28 RODO. Niektórzy wróżą przez to upadek małych, zwłaszcza jednoosobowych czy rodzinnych biur rachunkowych. Nie jest to jednak przesądzone. Każde biuro na pewno stosuje jakieś środki bezpieczeństwa. Nikt nie chce i nie może sobie pozwolić na to, aby cenne dane wyciekły, zostały skradzione czy w inny sposób dostały się do nieuprawnionych osób. RODO nie wskazuje żadnych konkretnych rozwiązań, nie narzuca określonych środków bezpieczeństwa. Mają być one odpowiednie, adekwatne do ilości i jakości gromadzonych danych, zagrożeń, jakie mogą towarzyszyć przetwarzaniu. W inny sposób i inne środki zastosuje osoba fizyczna prowadząca działalność gospodarczą mająca dane na jednym laptopie, a inaczej kancelaria zatrudniająca wielu pracowników, posiadająca rozbudowaną infrastrukturę informatyczną. Dlatego RODO opiera się praktycznie w całości na analizie ryzyka.

    Każdy administrator i podmiot przetwarzający powinien zidentyfikować zagrożenia mogące wystąpić w określonym procesie przetwarzania danych osobowych i podjąć właściwe, według siebie, środki zaradcze, aby zminimalizować prawdopodobieństwo wystąpienia konkretnego problemu, ryzyka, a także ewentualne skutki. Wykorzystuje się do tego różne metodologie i procedury. Można skorzystać z norm ISO 27005, ISO 31000 oraz ISO/IEC 29134. To jednak nieco skomplikowane metody i warto wypracować możliwie najprostszą i skuteczną. Nigdy nie może paść zarzut, że ma się złą politykę zarządzania ryzykiem. Można co najwyżej zarzucać jej brak.

    Wystarczy więc, że

    1. Opiszemy newralgiczne procesy, np. przechowywanie akt osobowych w formie papierowej. Wskażemy istniejące środki bezpieczeństwa – regał w pokoju biurowym, pokój zamykany drzwiami zwykłymi.
    2. Zastanowimy się nad zagrożeniami – sprzątanie po godzinach pracy, przebywanie w pokoju osób postronnych (klientów), oszacujemy ryzyka związane z możliwością podglądu, zabrania przez osobę nieuprawnioną jakichś dokumentów zawierających dane osobowe i określimy skutki dla osoby, której dane mogłyby zostać przypadkowo lub nieprzypadkowo wyniesione, ujawnione. Może z takiej analizy wyniknie potrzeba zainwestowania w zamykane na klucz szafy na dokumenty? Wcale nie trzeba do takiego rozważania używać rozbudowanych arkuszy analitycznych, formuł czy algorytmów. W niedużym biurze może to być odpowiedni protokół ze spotkania poświęconego bezpieczeństwu czy to fizycznemu, czy to informatycznemu, z wykorzystaniem powyżej opisanych rejestrów.

    Analiza ryzyka powinna wynikać z przyjętej i wdrożonej do stosowania wewnętrznej polityki bezpieczeństwa informacji, ze szczególnym uwzględnieniem ochrony danych osobowych. Nie musi to jednak być, a wręcz nie powinien, nadmiernie rozbudowany dokument. Na taką politykę składają się różne instrukcje, rejestry, procedury. RODO nie wymaga tak szczegółowych zapisów jak dotychczasowa ustawa o ochronie danych osobowych.

    Więcej przeczytasz w pełnej wersji komentarza, który znajdziesz w programie LEX Biuro Rachunkowe.

    www.biuro-rachunkowe.lex.pl?utm_source=rachunkowosc.org&utm_medium=artykul &utm_campaign=WKPL_FIR_ACQ_LBR-sprzedaz-05-18-WKC0118008-IEM002_TFM

    Źródło:
    Wolters Kluwer Polska SA.
    Artykuł został dodany przez firmę

    Wolters Kluwer Polska SA.

    » Zapoznaj się z ofertą firmy
    Aby w pełni wykorzystać funkcjonalność portalu
    wymień swoją przeglądarkę na nowszą wersję.