RODO w Biurze Rachunkowym cd.- rejestr czynności

kary za RODO

 

Zgodnie nowymi przepisami dotyczącymi ochrony danych osobowych większość administratorów danych oraz podmiotów przetwarzających dane będzie zobowiązanych do prowadzenia tzw. rejestru czynności przetwarzana danych osobowych. W założeniu będzie to dokument, który ma pokazywać w jakich procesach w organizacji są przetwarzane dane osobowe, w jakim celu oraz kogo dotyczą i w jaki sposób są zabezpieczane. Do tej pory rolę tą pełnił rejestr zbiorów danych osobowych (zawierał podobny zakres informacji), ale z uwagi na okoliczność, że RODO nie przewiduje obowiązku rejestracji zbiorów danych osobowych – proces ten zostanie ostatecznie zakończony w maju 2018r.

Nowy dokument –  rejestr czynności przetwarzania będzie musiał zostać udostępniony na każde wezwanie organu nadzorczego.

Kto będzie zobowiązany do prowadzenia rejestru?

Każdy administrator danych lub procesor danych:

  • zatrudniający powyżej 250 osób,
  • przetwarzający dane w sposób powodujący ryzyko naruszenia praw i wolności osób, których te dane dotyczą,
  • przetwarzający dane w sposób ciągły, a nie sporadyczny,
  • przetwarzający dane tzw. wrażliwe w tym wyroki skazujące i dotyczące naruszeń prawa.

O ile przyjmiemy, że dwa pierwsze kryteria nie dotyczą biur rachunkowych, dwa ostatnie przesądzają o tym, że jako zasadę należy przyjąć, że księgowi powinni prowadzić rejestr.

Przykład. Klient powierza pracownikom biura rachunkowego dane zatrudnionych przez siebie osób (w tym dane wrażliwe, jak zwolnienia lekarskie).

Jak powinien wyglądać rejestr?

Rejestr prowadzony przez administratora danych może maksymalnie zawierać siedem pozycji:

  • nazwę i dane kontaktowe administratora danych oraz dane kontaktowe IODO (o ile został powołany),
  • cel przetwarzania danych osobowych,
  • opis kategorii osób, których dane dotyczą oraz zakres danych (wrażliwe lub zwykłe),
  • kategorie odbiorców, którym dane zostały lub zostaną udostępnione,
  • informację o przekazywaniu danych do państwa trzeciego wraz z dokumentacją opisującą zastosowane zabezpieczenia w tym procesie,
  • planowany termin usunięcia danych osobowych,
  • ogólny opis zastosowanych zabezpieczeń technicznych i organizacyjnych.

W sytuacji kiedy administrator powierza przetwarzanie danych podmiotowi zewnętrznemu (np. zleca prowadzenie księgowości), podmiot ten (procesor danych) prowadzi rejestr czynności przetwarzania w następującym zakresie:

  • nazwa oraz dane kontaktowe procesora lub procesorów oraz każdego administratora, w imieniu którego działa,
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów tj. np.: przechowywanie, aktualizowanie, usuwanie danych,
  • gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego,
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.

Zgodnie z przepisami RODO rejestr powinien być prowadzony odrębnie dla każdego procesu przetwarzania danych.

Przykładowe procesy przetwarzania danych:

  • Prowadzenie rozliczeń w zakresie wypłaty wynagrodzeń pracownikom, naliczanie obciążeń oraz naliczanie i odprowadzanie składek do ZUS;
  • Zgłoszenie pracowników do ZUS, aktualizacja zgłoszonych danych i przekazywanie danych o zwolnieniach.