Przetwarzanie danych osobowych w biurach rachunkowych
Generalny Inspektor Ochrony Danych Osobowych wielokrotnie ostrzegał, że przedsiębiorcy prowadzący biura rachunkowe bardzo często nie dbają o przestrzeganie przepisów dotyczących ochrony przetwarzanych przez nich danych osobowych. Taki stan rzeczy spowodowany jest głównie nieświadomością w zakresie obciążających ich obowiązków. Zasadniczo w zakresie dokumentów otrzymanych od swoich klientów (tj. faktur, dokumentów pracowniczych, umów, wyciągów bankowych) biura rachunkowe nie stają się administratorami tych danych. Mają jednak obowiązek właściwego ich zabezpieczenia zgodnie z regulacjami ustawy o ochronie danych osobowych.
Do najczęstszych błędów popełnianych przez biura należą: brak zabezpieczenia dokumentacji, do której mają dostęp osoby postronne, brak wymaganej dokumentacji (tj. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym), brak upoważnień do przetwarzania danych osobowych dla pracowników biura oraz brak odpowiednich zabezpieczeń w używanych komputerach.
Kiedy biuro rachunkowe przetwarza dane osobowe?
Biura rachunkowe najczęściej przetwarzają dane osobowe, przekazane im przez inne podmioty na zasadach powierzenia im tych danych. W takich przypadkach administratorami tych danych pozostają nadal podmioty przekazujące te dane (tj. przedsiębiorcy, pracodawcy). Biuro przetwarza te dane na podstawie umowy określającej zakres i cel ich przetwarzania. Jak bowiem wynika z art. 31 ust. 1 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Przy czym podmiot, który otrzymał dane, może je przetwarzać wyłącznie w zakresie i celu przewidzianym w tej umowie.
Biura rachunkowe, które przetwarzają dane osobowe na podstawie umów powierzenia, muszą podjąć szereg działań mających zabezpieczyć zbiór danych otrzymanych od klienta. Takie środki należy podjąć jeszcze przed wykonaniem jakichkolwiek operacji związanych z przetwarzaniem tych danych. W przypadku powierzenia przetwarzania danych odpowiedzialność za przestrzeganie przepisów dotyczących ochrony danych spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Natomiast w zakresie, w którym powierzane dane nie pochodzą od administratora i nie są wyłącznie powierzone celem wykonania na nich określonych czynności, biuro rachunkowe samodzielnie pełni rolę administratora np. w odniesieniu do zbiorów danych, które tworzy samo biuro.
Jaką dokumentację musi mieć biuro?
Rodzaj dokumentacji w zakresie zapewnienia prawidłowej ochrony danych osobowych, jaki powinien opracować administrator danych lub podmiot, który przetwarza dane na podstawie umowy powierzenia, określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024). Na tę dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumenty te powinny być prowadzone w formie pisemnej.
Polityka bezpieczeństwa powinna zawierać:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
- sposób przepływu danych pomiędzy poszczególnymi systemami,
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Z kolei instrukcja powinna zawierać w szczególności:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników, - procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
- sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych,
- sposób zabezpieczenia systemu informatycznego,
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
System informatyczny, w którym przetwarzane są dane osobowe, musi mieć określony poziom bezpieczeństwa, uzależniony od kategorii danych, które podlegają przetwarzaniu. Wyróżnia się trzy poziomy:
- podstawowy,
- podwyższony,
- wysoki.
Poziom podstawowy ma zastosowanie, gdy w systemie informatycznym nie są przetwarzane dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych, nie jest połączone z siecią publiczną. Opis środków bezpieczeństwa stosowany na wspomnianych poziomach określa załącznik do powołanego rozporządzenia.
Kiedy trzeba zgłaszać zbiory u GIODO?
Zasadniczo administrator danych zobowiązany jest zgłosić do rejestracji u GIODO zbiory przetwarzanych danych osobowych. Ustawa o ochronie danych osobowych zawiera w art. 43 katalog wyłączeń z obowiązku tej rejestracji. Z takiego obowiązku zwolnieni są m.in.: administratorzy danych w stosunku do danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się. Biuro rachunkowe w zakresie przetwarzanych danych, które zostały mu powierzone przez klienta, nie ma obowiązku zgłaszania ich do rejestracji u GIODO. Przykładowo, biuro nie ma obowiązku zgłaszania do rejestracji u GIODO zbiorów danych powierzonych mu przez klienta obejmujących dane niezbędne do wystawienia jego pracownikom deklaracji podatkowych. Również dane pracodawcy służące wyłącznie dla celów wystawienia faktury, a także dane pracowników, które zostają powierzone biuru, nie podlegają takiej rejestracji.
Wzór upoważnienia do przetwarzania danych osobowych dostępny jest w serwisie www.druki.gofin.pl, w dziale Prawo pracy.
Czy trzeba powołać ABI?
Biuro rachunkowe nie ma obecnie obowiązku powoływania administratora bezpieczeństwa informacji (ABI). Na mocy art. 36a ustawy o ochronie danych osobowych administrator danych może (nie musi) powołać administratora bezpieczeństwa informacji, do którego zadań należy m.in. sprawdzanie zgodności przetwarzania danych osobowych w firmie z przepisami o ochronie danych osobowych. Przy czym powołanie administratora bezpieczeństwa informacji jest uprawnieniem, a nie obowiązkiem administratora danych. Podstawową zaletą związaną z powołaniem ABI jest zwolnienie administratora danych z obowiązku rejestrowania u GIODO zbiorów przetwarzanych przez niego danych osobowych. Taki wewnętrzny rejestr zbiorów danych przetwarzanych przez administratora danych prowadzi bowiem powołany przez niego ABI. Oczywiście przedsiębiorca prowadzący biuro rachunkowe może powołać ABI, który będzie dbał o zabezpieczenie i ochronę przetwarzanych danych powierzanych biuru przez jego klientów. Może również prowadzić wewnętrzny rejestr zbiorów przetwarzanych danych, w stosunku do których administratorem danych jest samo biuro. W takim przypadku nie ma już obowiązku zgłaszania ich do rejestracji u GIODO.
Obowiązujące przepisy określają tylko trzy podstawowe wymogi dla kandydata na ABI, tj.:
- pełna zdolność do czynności prawnych oraz korzystanie z pełni praw publicznych,
- niekaralność za umyślne przestępstwo,
- odpowiednia wiedza w zakresie ochrony danych osobowych.
Dwie pierwsze przesłanki mają charakter obiektywny. Zdolność do czynności prawnych ocenia się z uwzględnieniem przepisów Prawa cywilnego, natomiast kwestia niekaralności oceniana jest na podstawie informacji z Krajowego Rejestru Karnego. Do złożenia takiego zaświadczenia administrator danych może zobowiązać kandydata na ABI. Można jednak spotkać się ze stanowiskiem, że administrator danych może jedynie wymagać złożenia przez kandydata na ABI oświadczenia o jego niekaralności. Przesłanka odpowiedniej wiedzy z zakresu przepisów o ochronie danych osobowych ma charakter subiektywny. Ocena czy kandydat na ABI spełnia wymóg posiadania odpowiedniej wiedzy w zakresie ochrony danych osobowych należy bowiem do administratora danych. Przy dokonywaniu oceny spełniania przez kandydata na ABI wymogu odpowiedniej wiedzy administrator danych może oczywiście uwzględniać np. ukończone przez niego kursy, szkolenia czy też posiadane doświadczenie zawodowe.
Upoważnienie do przetwarzania danych dla pracowników
Wszystkie osoby, które mają do czynienia z danymi osobowymi, muszą posiadać upoważnienie do ich przetwarzania. Przetwarzaniem danych są wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Administrator danych zobowiązany jest prowadzić ewidencję osób, które upoważnione są do przetwarzania danych w firmie. Taka ewidencja powinna zawierać:
- imię i nazwisko osoby upoważnionej,
- datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
- identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Obecnie przepisy ustawy o ochronie danych osobowych nie zawierają wzoru takiego upoważnienia. Stąd administrator danych może przygotować taki dokument we własnym zakresie.
Kary za naruszenie obowiązku ochrony danych osobowych | |
Rodzaj naruszenia | Zagrożenie karą |
przetwarzanie danych w zbiorze pomimo zakazu albo przetwarzanie danych przez osobę do tego nieuprawnioną |
grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2 |
udostępnianie lub umożliwianie dostępu do danych osobom nieupoważnionym przez osoby zobowiązane do administrowania zbiorem danych lub zobowiązane do ochrony danych osobowych |
grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2, jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku |
brak zabezpieczenia przez administrującego zbiorem danych (nawet nieumyślnie) przed zabraniem ich przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem |
grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku |
brak zgłoszenia do rejestracji zbioru danych |
grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku |
udaremnianie lub utrudnianie inspektorowi wykonania czynności kontrolnej |
grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2 |
Podstawa prawna
Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 ze zm.)
autor: Marta Stefanowicz - Wasilewska
Gazeta Podatkowa nr 37 (1287) z dnia 2016-05-09