RODO dla Klientów biur rachunkowych

Działalność biura rachunkowego

21.04.2018

3 minuty czytania

Otwarty laptop leżący w ciemnym pomieszczeniu.

Wejście w życie RODO.

W dniu 25 maja 2018 r. wejdzie w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). W związku z tym faktem w środowiskach przedsiębiorców i prawników widać duże zainteresowania jego postanowieniami, zwłaszcza, że sposób podejścia do ochrony danych osobowych jest dosyć nowatorski, gdy przyrównamy go do reżimu ustawy o ochronie danych osobowych.

W systemie GIODO przewidziano pewne ustandaryzowane wymagania, które powinien spełniać administrator np. w zakresie zabezpieczenia systemów informatycznych, natomiast podejście RODO znacznie się różni, gdyż to na administratorze danych spoczywa obowiązek oceny ryzyka naruszenia bezpieczeństwa danych i przygotowanie odpowiednich rozwiązań, żeby temu zapobiec.

Obie regulacje nakładają określone obowiązki na administratorów danych osobowych, w tym w zakresie zabezpieczeń i informacyjne. Również rozróżniają dane zwykłe i wrażliwe, a w przypadku tych drugich przewidują dodatkowe wymogi legalności ich przetwarzania.

RODO a Klient biura rachunkowego.

W celu rozważenia relacji pomiędzy Klientem biura rachunkowego a biurem należy przytoczyć definicje administratora oraz podmiotu przetwarzającego.

Poprzez administratora rozumie się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Klient biura rachunkowego niewątpliwie jest administratorem danych osobowych swoich kontrahentów (podmiotów od których zakupuje usługi lub towary, bądź je im sprzedaje), jak również pracowników, zleceniobiorców, wykonawców dzieła.

W przepisach dotyczących ochrony danych osobowych przewidziano także pojęcie „podmiotu przetwarzającego”, czyli tzw. procesora, którym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot przetwarzający dane osobowe w imieniu administratora.

Zważyć należy, że pojęcie danych osobowych jest bardzo szerokie i w określonych sytuacjach to nie tylko imię czy nazwisko, lecz także nawet numer telefonu czy adres e-mail.

W relacjach pomiędzy Klientem a biurem rachunkowym, ten pierwszy najczęściej będzie występował jako administrator danych osobowych, a drugi przyjmie rolę podmiotu przetwarzającego (procesora). Zwrócenia wymaga fakt, że za działanie biura rachunkowego w zakresie przetwarzania danych osobowych odpowiedzialność będzie ponosił Klient jako administrator.

Powyższe prowadzi do konkluzji, że Klient dokonując wyboru biura rachunkowego powinien rozważyć również czy przestrzega ono postanowień RODO, gdyż wszelkie uchybienia, w tym zakresie mogą negatywnie odbić się na Kliencie.

Pod względem RODO pewną grupą ryzyka są biura rachunkowe prowadzone przez księgową w domu po godzinach pracy. Oczywiście będą wśród nich również takie, które odznaczają się profesjonalizmem, mimo przyjętej formuły działania.

Niedociągnięcia biur rachunkowych w zakresie RODO.

Poniżej chcielibyśmy wskazać grzechy najczęściej popełniane przez biura rachunkowe w zakresie RODO.

1. Przechowywanie baz danych na komputerach, które nie mają odpowiedniego systemu operacyjnego - komputer, na którym zapisane są bazy danych powinien być wyposażony w system operacyjny w wersji profesional, który gwarantuje wyższe bezpieczeństwo niż home. Poza tym, nie powinien to być system operacyjny, który już nie jest wspierany przez Microsoft w zakresie bezpieczeństwa np. windows xp. Najlepszym rozwiązaniem jest jednak windows server, w którym poziom zabezpieczeń jest wyższy niż w wersji proffesional. Oczywistym jest, że wersje home są najtańsze, ale bezpieczeństwo Klienta powinno być ważniejsze,

2. Brak profesjonalnego oprogramowania antywirusowego – tam gdzie przechowywane są dane w imieniu Klienta powinien być używany antywirus nie w okrojonej darmowej wersji, lecz w wersji płatnej, która gwarantuje o wiele wyższy poziom ochrony,

3. Przechowywanie baz danych na komputerze podłączonym do sieci, która nie jest odpowiednio zabezpieczona – serwer, na którym są bazy danych, nie powinien zostać umieszczony w sieci domowej, w której nie tylko jest zastosowany średnio profesjonalny router, lecz także nie ma odpowiednich zabezpieczeń np. w postaci firewall,

4. Przechowywanie baz danych na serwerze funkcjonującym w sieci przeznaczonej do użytku domowego – wiadomo, że gdy podłączymy serwer lub komputer z bazami danych do sieci domowej, to możemy liczyć się z tym, że np. syn pani księgowej będzie oglądał w sieci różne strony, związane z różną tematyką. Równocześnie poprzez taką sieć mogą być ściągane pirackie programy, jakieś inne niebezpieczne oprogramowanie itp., co naraża na ataki hakerów i wirusy,

5. Używanie komputera, na którym są bazy danych, także do użytku domowego – może być to niebezpieczne z przyczyn wskazanych wyżej, zwłaszcza gdy mają do niego dostęp inne osoby niż księgowa,

6. Przechowywanie komputera (lub serwera) w miejscu, gdzie łatwo mogą uzyskać do niego dostęp osoby nieuprawnione np. w mieszkaniu, które nie jest odpowiednio zabezpieczone,

7. Brak stałej profesjonalnej opieki informatycznej – każde biuro rachunkowe powinno mieć na stałe pomoc informatyczną, która stale weryfikuje przyjęte rozwiązania w zakresie bezpieczeństwa, nie wystarczy tutaj działanie takie, że na początku informatyk zainstaluje wszystko, a potem cały funkcjonuje swoim życiem.

Biuro rachunkowe w profesjonalnym budynku biurowym.

Dodatkowym atutem biura rachunkowego w zakresie RODO jest budynek biurowy, w którym ono funkcjonuje. Zwłaszcza taki, w którym zapewniona jest całodobowa całotygodniowa profesjonalna ochrona, monitoring, ograniczony dostęp osób trzecich i system rejestracji osób przychodzących. Powyższe działania mają na celu zapobieżenie temu, aby do miejsca, w którym przetwarzane są dane osobowe, uzyskały dostępu osoby nieuprawnione.

Konkluzja.

Konkludując, należałoby stwierdzić, że warto zadbać o to, żeby biuro przestrzegało RODO, gdyż w przeciwnym wypadku Klient może zapłacić karę. Oprócz tego, Klient biura może być zobowiązany do zapłaty odszkodowania osobie, której dane osobiste zostały naruszone.

Zapraszamy do współpracy!

Rozwiązania uwzględniające specyfikę prowadzonej działalności w zgodności z prawem.

Bądź na bieżąco, czytaj naszego bloga.

Praktyczne informacje o prowadzeniu spółek oraz zmianach w przepisach prawa dotyczących rachunkowości, podatków i przedsiębiorstw.

Interesują Cię nasze wpisy?

WSZYSTKIE WPISY

Księgowość Warszawa KDS Sp. z o.o.

NIP: 527 273 76 97
REGON: 36163581300000
KRS: 0000560030
Kapitał zakładowy: 50 000 zł

Sąd Rejonowy dla m.st. Warszawy w Warszawie, XII Wydział Gospodarczy KRS

Roma Office Center, ul. Nowogrodzka 47 A
00-695 Warszawa
piętro 4
Tel.: 22 102 29 61

biuro@ksiegowosc-dla-spolek.pl

© Copyright: ksiegowosc-dla-spolek.pl

Projekt i wdrożenie Webalize