Biuro rachunkowe a RODO w 2018 roku – jakie obowiązki narzuca rozporządzenie?

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych to jeden z najgorętszych tematów ostatnich miesięcy. Wielu przedsiębiorców przygotowujących się na jego wdrożenie nie do końca wie, jak postąpić, aby ich firma działała zgodnie z nowymi przepisami. Uczucie braku komfortu wprowadzane jest w tym przypadku zwłaszcza przez potencjalne wysokości kar wyszczególnione w przepisach. Biura rachunkowe z racji wykonywanych przez siebie zadań, są również procesorem danym innych podmiotów. Poza więc obowiązkami, które powinny spełniać jako administratorzy, dotyczą ich również zapisy dotyczące przetwarzania danych należących do innego podmiotu.

Umowa o powierzenie

W myśl rozporządzenia w prawie dotyczącym ochrony danych osobowych, biuro podatkowe rozliczające swoich klientów musi posiadać odpowiednie uprawnienia do przetwarzania ich danych osobowych w celach związanych z realizacją usługi (tj. prawidłowego rozliczania podatków, przygotowywania dokumentacji czy reprezentowania klienta przed organami podatkowymi). W tym celu niezbędne staje się podpisanie odpowiedniej umowy, tzw. umowy powierzenia danych osobowych. Treść takiej umowy, a przynajmniej niezbędne minimum do stwierdzenia jej ważności, regulują przepisy zawarte w artykule 28. Rozporządzenia. Podpisanie dokumentu przez klienta pozwala biuru rachunkowemu na dalsze przetwarzanie przechowywanych przez nie danych.

Zabezpieczenie danych

Biuro rachunkowe w związku z RODO musi również zapewnić odpowiednią ich ochronę w taki sposób, aby wyciek danych osobowych na zewnątrz był niemożliwy lub znacznie utrudniony. W zapisach rozporządzenia nie znajdziemy jednak zapisów, które wprost określają jakie czynności należy wykonać aby taki stan osiągnąć. Zgodnie z art. 32 rozporządzania wymagane jest wdrożenie środków bezpieczeństwa uwzględniające charakter, zakres, kontekst i cele przetwarzania danych osobowych. W tym celu administrator danych osobowych powinien wdrożyć odpowiednie środki techniczne oraz organizacyjne mające zapewnić bezpieczeństwo przetwarzania. Takimi środkami zabezpieczającymi mogą być między innymi:

• pseudonimizacja i szyfrowanie danych osobowych,
• zdolność do zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania,
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępność do nich w razie incydentu fizycznego lub technicznego,
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych.

Ułatwieniem dla biur rachunkowych mogą być więc używane systemy informatyczne i dostępne w nich zabezpieczenia. Biura powinny również zadbać o właściwe zabezpieczenie dokumentów przechowywanych w wersji papierowej, oraz przede wszystkim właściwe przeszkolenie pracowników.

IOD i rejestr czynności przetwarzania

Zgodnie z rozporządzeniem firmy, które przetwarzają dużą ilość danych osobowych są także zobowiązane do prowadzenie rejestru czynności przetwarzania oraz do powołania inspektora ochrony danych. Interpretacja tego zapisu jest różna, dlatego też każdorazowo to biuro rachunkowe musi zdecydować czy ilość przetwarzanych przez nią danych osobowych może już podlegać pod obowiązek powołania Inspektora danych osobowych.

Co robić w momencie wycieku danych?

W wypadku, gdyby doszło do sytuacji, w której przechowywane przez biuro rachunkowe dane wypłynęłyby gdzieś na zewnątrz, samo biuro musi niezwłocznie zastosować odpowiednie procedury zabezpieczające, w ramach których m.in. musi poinformować o tym fakcie nie tylko swojego klienta, ale również Prezesa Urzędu Ochrony Danych Osobowych. Następnie obowiązkiem biura jest przeprowadzenie audytu mającego na celu niedopuszczenie do podobnej sytuacji w przyszłości oraz wdrożenie dodatkowych środków zabezpieczających przechowywane oraz przetwarzane dane.