RODO w Biurze Rachunkowym

kary za RODO

 

Ostatnio do Fundacji z prośbą o pomoc we wdrożeniu procedur RODO zgłosiła się księgowa – właścicielka średniej wielkości biura rachunkowego z Jaworzna. Na kanwie tego przypadku pojawiło się kilka wątpliwości, dlatego postanowiliśmy wyjaśnić wszystkie kluczowe kwestie.

 

Czy właściciele Biur rachunkowych podlegają RODO?

Tak. RODO podlega każdy przedsiębiorca, który prowadzi działalność w Unii Europejskiej.

Nie ma znaczenia narodowość osób, których dane osobowe są przetwarzane ani to, gdzie znajdują się serwery.

Przykład. Biuro rachunkowe oferujące swoje usługi obywatelom Chin podlega przepisom RODO w takim samym zakresie co Biuro obsługujące wyłącznie krajowe podmioty gospodarcze.

RODO obejmuje wszelkie czynności, które mają za przedmiot dane osobowe – czyli nie tylko np. usługę archiwizowania czy niszczenia dokumentów, ale także czynności, w których dochodzi do zbierania danych osobowych przy okazji wykonywania innych usług, np. księgowych.

Dlatego mając na względzie specyfikę wykonywanego zawodu przedsiębiorca prowadzący Biuro rachunkowe przetwarza dane osobowe:

  • jako administrator danych (jako pracodawca w stosunku do swoich pracowników)
  • oraz podmiot przetwarzający dane (w ramach prowadzenia obsługi księgowej firmy)
Przykład. Biuro rachunkowe przetwarza na zlecenie adwokata dane osobowe przekazane mu w tym celu przez kancelarię.

Uwaga! Należy pamiętać, że na gruncie nowych przepisów właściciel Biura rachunkowego jako podmiot przetwarzający dane na zlecenie jest obowiązany do zawarcia ze swoimi klientami odpowiedniej umowy, tzw. umowy powierzenia, w której określone zostaną zasady przetwarzania danych!

 

Jakie dane osobowe są przetwarzane w Biurze rachunkowym?

Można wskazać dwie typowe grupy danych, które są przetwarzane w każdym BR

  • dane osobowe pracowników i osób współpracujących
  • dane osobowe związane ze świadczeniem usług księgowych

Niektóre dokumenty takie jak listy płac czy karty wynagrodzeń albo inne dowody, na podstawie których następuje ustalenie podstawy wymiaru emerytury lub renty pracodawca jest obowiązany przechowywać przez okres aż 50 lat!

 

Czy Biuro Rachunkowe musi zebrać od swoich klientów zgody na przetwarzanie danych osobowych?

Nie. W tym przypadku przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na przedsiębiorcy prowadzącym Biuro. Przetwarzanie danych w celach związanych z prowadzeniem ksiąg rachunkowych nie wymaga zgody osób, których dane dotyczą, a jego podstawą są przepisy o rachunkowości.

 

Czy na Biurze Rachunkowym ciąży tzw. „obowiązek informacyjny” względem klientów?

Nie. Zgodnie z propozycją Ministerstwa Cyfryzacji rozbudowane obowiązki informacyjne mają zostać wyłączone w stosunku do przedsiębiorców zatrudniających mniej niż 250 osób, przetwarzających dane osobowe niezbędne do wykonywania działalności gospodarczej, w szczególności w celu zawierania umów i prowadzenia rachunkowości.

 

Czy Biuro Rachunkowe ma obowiązek powołania Inspektora Ochrony Danych (IOD)?

Do ustanowienia IOD RODO obliguje administratorów i podmioty przetwarzający dane, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Wydaje się więc, że w większości przypadków typowe biura rachunkowe nie będą musiały mieć IOD. Naszym zdaniem warto jednak rozważyć możliwość ustanowienia IOD w celu zgodnego z prawem przetwarzania danych osobowych, podniesienia poziomu ich bezpieczeństwa oraz zminimalizowania ryzyka kontroli ze strony UODO.

Inspektor ochrony danych może być członkiem personelu biura lub wykonywać zadania na podstawie umowy o świadczenie usług – w ramach tzw. outsourcingu (rozwiązanie rekomendowane przez fundację).

 

Jaką dokumentację z zakresu RODO należy sporządzić w Biurze Rachunkowym?

Do czasu wejścia w życie nowych przepisów każde Biuro rachunkowe powinno posiadać zaktualizowaną i dostosowaną do wymagań RODO:

  • politykę bezpieczeństwa
  • oraz instrukcję zarządzania systemem informatycznym, w którym przetwarzane są dane osobowe

Uwaga! Nowym elementem dokumentacji ochrony danych jest tzw. rejestr czynności przetwarzania danych osobowych. Co do zasady rejestr ten nie musi być prowadzony przez przedsiębiorców zatrudniających mniej niż 250 osób jednakże w sytuacji kiedy przetwarzanie nie ma charakteru sporadycznego i obejmuje szczególne kategorie danych osobowych – jak w przypadku danych osobowych kadrowych – jego posiadanie jest obowiązkowe!

Dlatego też na gruncie nowych przepisów nawet małe Biura rachunkowe muszą przygotować rozbudowaną dokumentację z zakresu danych osobowych.

 

Co powinien zawierać rejestr czynności oraz jak powinna wyglądać umowa powierzenia w następnym artykule.

 

Jeżeli jeszcze nie wdrożyliście Państwo RODO w swojej firmie, to zapraszamy do zapoznania się z naszą ofertą oraz do kontaktu  za pośrednictwem formularza kontaktowego lub bezpośrednio poczty elektronicznej: kontakt@fundacjaentropia.pl

 

Dodaj komentarz

Bądź pierwszy!

avatar
  Subskrybuj  
Powiadom o