Artykuł Dodaj artykuł

Ochrona danych przez biura rachunkowe

20-06-2018, 02:00

Logo Wolters Kluwer

Biuro rachunkowe, zarówno jako administrator danych, jak i procesor, jest zobowiązane zastosować odpowiednie środki bezpieczeństwa i przestrzegać zasad i przepisów dotyczących ochrony danych. Generalnie za bezpieczeństwo swoich danych zawsze odpowiada administrator, ale nie wyłącza to odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z taką umową.

Biuro odpowiada więc za swoje dane, np. swoich pracowników, ale przede wszystkimza dane powierzone przez innych administratorów. Kwestie te reguluje art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO. „Aby zapewnić przestrzeganie wymogów niniejszego rozporządzenia w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania” (motyw 81 RODO).

Zapewne więc coraz częściej duże kancelarie będą sprawdzane i odpytywane na okoliczność stosowania odpowiednich środków bezpieczeństwa przez wymagających klientów. W tym celu stosowane są różne ankiety analityczne lub wręcz audyty przeprowadzane przed rozpoczęciem współpracy. Na pewno też aktualnie obowiązujące umowy powierzenia przetwarzania danych powinny być aneksowane, uzupełniane o wymogi z art. 28 RODO. Niektórzy wróżą przez to upadek małych, zwłaszcza jednoosobowych czy rodzinnych biur rachunkowych. Nie jest to jednak przesądzone. Każde biuro na pewno stosuje jakieś środki bezpieczeństwa. Nikt nie chce i nie może sobie pozwolić na to, aby cenne dane wyciekły, zostały skradzione czy w inny sposób dostały się do nieuprawnionych osób. RODO nie wskazuje żadnych konkretnych rozwiązań, nie narzuca określonych środków bezpieczeństwa. Mają być one odpowiednie, adekwatne do ilości i jakości gromadzonych danych, zagrożeń, jakie mogą towarzyszyć przetwarzaniu. W inny sposób i inne środki zastosuje osoba fizyczna prowadząca działalność gospodarczą mająca dane na jednym laptopie, a inaczej kancelaria zatrudniająca wielu pracowników, posiadająca rozbudowaną infrastrukturę informatyczną. Dlatego RODO opiera się praktycznie w całości na analizie ryzyka.

Każdy administrator i podmiot przetwarzający powinien zidentyfikować zagrożenia mogące wystąpić w określonym procesie przetwarzania danych osobowych i podjąć właściwe, według siebie, środki zaradcze, aby zminimalizować prawdopodobieństwo wystąpienia konkretnego problemu, ryzyka, a także ewentualne skutki. Wykorzystuje się do tego różne metodologie i procedury. Można skorzystać z norm ISO 27005, ISO 31000 oraz ISO/IEC 29134. To jednak nieco skomplikowane metody i warto wypracować możliwie najprostszą i skuteczną. Nigdy nie może paść zarzut, że ma się złą politykę zarządzania ryzykiem. Można co najwyżej zarzucać jej brak.

Wystarczy więc, że

  1. Opiszemy newralgiczne procesy, np. przechowywanie akt osobowych w formie papierowej. Wskażemy istniejące środki bezpieczeństwa – regał w pokoju biurowym, pokój zamykany drzwiami zwykłymi.
  2. Zastanowimy się nad zagrożeniami – sprzątanie po godzinach pracy, przebywanie w pokoju osób postronnych (klientów), oszacujemy ryzyka związane z możliwością podglądu, zabrania przez osobę nieuprawnioną jakichś dokumentów zawierających dane osobowe i określimy skutki dla osoby, której dane mogłyby zostać przypadkowo lub nieprzypadkowo wyniesione, ujawnione. Może z takiej analizy wyniknie potrzeba zainwestowania w zamykane na klucz szafy na dokumenty? Wcale nie trzeba do takiego rozważania używać rozbudowanych arkuszy analitycznych, formuł czy algorytmów. W niedużym biurze może to być odpowiedni protokół ze spotkania poświęconego bezpieczeństwu czy to fizycznemu, czy to informatycznemu, z wykorzystaniem powyżej opisanych rejestrów.

Analiza ryzyka powinna wynikać z przyjętej i wdrożonej do stosowania wewnętrznej polityki bezpieczeństwa informacji, ze szczególnym uwzględnieniem ochrony danych osobowych. Nie musi to jednak być, a wręcz nie powinien, nadmiernie rozbudowany dokument. Na taką politykę składają się różne instrukcje, rejestry, procedury. RODO nie wymaga tak szczegółowych zapisów jak dotychczasowa ustawa o ochronie danych osobowych.

Więcej przeczytasz w pełnej wersji komentarza, który znajdziesz w programie LEX Biuro Rachunkowe.

www.biuro-rachunkowe.lex.pl?utm_source=rachunkowosc.org&utm_medium=artykul &utm_campaign=WKPL_FIR_ACQ_LBR-sprzedaz-05-18-WKC0118008-IEM002_TFM

Źródło: Wolters Kluwer Polska SA.

Artykuł został dodany przez firmę


Inne publikacje firmy


Podobne artykuły