Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na ING Bank Śląski rekordową karę – ponad 18 milionów złotych. Powodem była nieuzasadniona praktyka masowego skanowania dowodów osobistych klientów oraz potencjalnych klientów. UODO wskazał, że bank nie wykazał celowości i proporcjonalności takiego działania, naruszając tym samym podstawowe zasady RODO.

Choć sprawa dotyczy jednego z największych banków w Polsce, powinna być sygnałem ostrzegawczym dla całego rynku – także dla sektora MŚP, który często nie dysponuje rozbudowanymi działami prawnymi czy compliance.

Dlaczego dane z dowodu osobistego są tak wrażliwe?

Dowód osobisty zawiera pełen zestaw danych identyfikacyjnych, m.in. imię i nazwisko, PESEL, numer dokumentu, serię, datę ważności, a nawet wizerunek. Posiadanie skanu dowodu w niepowołanych rękach otwiera drogę do poważnych nadużyć:

• wyłudzeń kredytów i pożyczek,
• fałszowania tożsamości,
• rejestracji fikcyjnych działalności gospodarczych,
• dostępu do usług na cudze nazwisko.

Dlatego zarówno klienci, jak i przedsiębiorcy muszą być szczególnie ostrożni przy udostępnianiu i przetwarzaniu tego dokumentu.

Kiedy można skanować dowód osobisty zgodnie z prawem?

RODO i przepisy szczególne dopuszczają skanowanie lub kopiowanie dowodu osobistego tylko w ściśle określonych sytuacjach, gdy istnieje wyraźna podstawa prawna. Przykłady:

• Banki i instytucje finansowe – w zakresie wynikającym z ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML).
• Operatorzy telekomunikacyjni – przy zawieraniu umów na usługi telekomunikacyjne, gdy wymagają tego przepisy.
• Pracodawcy – tylko w szczególnych przypadkach, np. przy zatrudnianiu cudzoziemców, jeśli wymaga tego prawo.
• Notariusze i podmioty rynku kapitałowego – w ramach realizacji obowiązków ustawowych.

W każdym innym przypadku administrator danych powinien ograniczyć się do spisania niezbędnych danych z dokumentu, bez jego kopiowania.

Wnioski dla przedsiębiorców z sektora MŚP

Sprawa ING Banku Śląskiego pokazuje, jak istotne jest:

• weryfikowanie, czy istnieje podstawa prawna do kopiowania dokumentu,
• wdrażanie zasady minimalizacji danych (zbieramy tylko te dane, które są rzeczywiście potrzebne),
• dokumentowanie podstaw prawnych w politykach i procedurach,
• szkolenie pracowników, aby wiedzieli, kiedy wolno, a kiedy nie wolno kopiować dokumentów tożsamości.

Kara 18 mln zł dla dużego banku unaocznia również, że UODO nie bagatelizuje naruszeń w tym obszarze. Dla MŚP konsekwencje finansowe mogłyby być równie dotkliwe – proporcjonalnie do skali działalności.

Wniosek: Wdrożenie RODO w praktyce to nie tylko obowiązek formalny, ale realna ochrona klientów i samego biznesu. Nieuzasadnione kopiowanie dowodów osobistych to ryzyko, na które żadna firma nie powinna sobie pozwolić. Fundacja Entropia i jej eksperci posiadają wieloletnie doświadczenie we wdrażaniu rozwiązań z obszaru przetwarzania danych osobowych (RODO) w sektorze MŚP. Dzięki naszej pomocy wiele organizacji nie musi się martwić, czy ich procesy są zgodne z przepisami oraz czy nie narażają działalności na ryzyko naruszenia ochrony danych osobowych a co za tym idzie kar finansowych nakładanych przez PUODO.

W celu wypracowania indywidualnych rozwiązań dostosowanych do Twojej organizacji, skontaktuj się z Fundacją Entropia. Nie ryzykuj kary. Postaw na zgodność z RODO – audyty, wdrożenia i szkolenia szyte na miarę Twojej firmy.

Szybki kontakt możliwy jest z wykorzystaniem formularza kontaktowego:

Artykuł ING Bank Śląski ukarany za RODO – lekcja dla całego rynku pochodzi z serwisu .

Orange Belgium — dane 850 tysięcy klientów naruszone

21 sierpnia 2025 roku Orange Belgium poinformowało o cyberataku na swoje systemy informatyczne. W jego wyniku nieuprawnione osoby uzyskały dostęp do danych osobowych około 850 000 klientów, takich jak imię i nazwisko, numer telefonu, numer karty SIM, kod PUK oraz dane dotyczące planu taryfowego. Chociaż operator zapewniał, że nie wykradziono „krytycznych” informacji, eksperci zwracają uwagę na realne ryzyko związane z tzw. SIM swap — czyli przeniesieniem numeru na kartę kontrolowaną przez przestępców, co umożliwia przechwycenie kodów weryfikacyjnych stosowanych m.in. w bankowości.

Francuski operator Bouygues Telecom — wylądował pod ostrzałem

Wcześniej, 7 sierpnia 2025 roku, Bouygues Telecom przyznał, że cyberatak skutkował wyciekiem danych ponad 6,4 miliona klientów. Naruszone informacje obejmowały dane umowne, dane kontaktowe, stan cywilny lub dane firmowe, a nawet numery IBAN.

Choć atak nie dotknął numerów kart kredytowych ani haseł, sam dostęp do numerów kont może ułatwić oszustom wyłudzenia lub podszywanie się pod instytucje.

Te zdarzenia stanowią jasny sygnał — sektory takie jak telekomunikacja coraz częściej stają się celem cyberprzestępców. Wyciek danych nawet pozornie niekrytycznych może prowadzić do poważnych konsekwencji dla użytkowników.

Jak działają typowe ataki phishingowe?

Phishing to obecnie najczęściej wykorzystywana metoda pozyskiwania danych od niczego nieświadomych użytkowników. Przestępcy stosują różne formy socjotechniki, aby zmanipulować ofiarę i nakłonić ją do podania poufnych informacji:

1. E-mail podszywający się pod instytucję
   Oszuści wysyłają wiadomości stylizowane na komunikaty banków, operatorów czy urzędów. Wiadomości często zawierają linki do fałszywych stron internetowych, które łudząco przypominają oryginalne serwisy.
2. Fałszywe SMS-y (smishing)
   Popularną techniką są wiadomości SMS podszywające się pod firmy kurierskie, banki czy dostawców usług. Zawierają link do rzekomego śledzenia przesyłki lub potwierdzenia płatności.
3. Połączenia telefoniczne (vishing)
   Przestępcy dzwonią, udając konsultantów banków czy operatorów, twierdząc np., że doszło do nieautoryzowanego logowania. W ten sposób nakłaniają ofiarę do podania danych logowania, haseł czy kodów SMS.
4. Phishing przez media społecznościowe
   Oszuści kontaktują się poprzez komunikatory lub platformy społecznościowe, podszywając się pod znajomych lub firmy. Celem jest uzyskanie danych, przekonanie do kliknięcia w link albo zainstalowania złośliwego oprogramowania.

Phishing bazuje na emocjach — strachu, pośpiechu, ciekawości. Dlatego najlepszą ochroną jest czujność i weryfikacja źródła informacji przed kliknięciem czy udostępnieniem jakichkolwiek danych.

Jak chronić swoje dane? Praktyczne porady dla użytkowników od ekspertów Fundacji Entropia

Zadbaj o swoje dane już dziś — bo w świecie cyfrowym nie ma czasu na później.

Aby zmniejszyć ryzyko wykorzystania Twoich danych przez hakerów, warto stosować kilka podstawowych, ale skutecznych zasad ochrony:

1. Nie udostępniaj haseł — ani nikomu, kto dzwoni, ani online
   Nigdy nie podawaj swojego hasła telefonicznie czy przez e-mail — nawet jeśli rozmówca twierdzi, że jest konsultantem operatora lub banku.
2. Stosuj silne i unikalne hasła
   Używaj długości min. 12 znaków, uwzględniaj wielkie, małe litery, cyfry i symbole. Unikaj haseł typu „hasło123” czy daty urodzin. Unikalne hasło dla każdej usługi minimalizuje szkody w razie wycieku.
3. Włącz weryfikację dwuetapową (2FA)
   To skuteczna bariera — nawet gdy ktoś pozna Twoje hasło, nie zaloguje się bez drugiego składnika, np. kodu SMS lub aplikacji uwierzytelniającej.
4. Bądź czujny przy odbieraniu telefonów
   Oszuści podszywający się pod konsultantów (operatora, banku) często działają pod presją i żądają udostępnienia danych. To typowy przykład socjotechniki — zachowaj spokój, rozłącz się i zadzwoń sam/a pod numer podany na oficjalnej stronie.
5. Nie udostępniaj poufnych danych bez weryfikacji
   Dane takie jak numery kont, hasła, PIN-y, dane do logowania czy numery kart nigdy nie powinny być przekazywane przez telefon lub e-mail, jeżeli nie masz absolutnej pewności co do tożsamości proszącego pracownika.
6. Zwracaj uwagę na nietypowe próby kontaktu — w mailu, SMS-ie, telefonie
   Podejrzane linki, błędy językowe, nieznany nadawca — to sygnały ostrzegawcze. Sprawdzaj dokładnie, zanim klikniesz lub odpowiesz.
7. Załóż zastrzeżenie PESEL i korzystaj z narzędzi zabezpieczeń
   Po wycieku danych warto zastrzec PESEL (np. poprzez mObywatel), co pomaga zapobiec wyłudzeniom kredytu lub pożyczki na Twoje dane osobowe.
8. Regularnie monitoruj swoje konta i ustawienia bezpieczeństwa
   Sprawdzaj alerty, logi logowania i historię transakcji. W razie niepokojącej aktywności reaguj szybko — zmień hasło i skontaktuj się z instytucją.

Rola administratorów danych osobowych i firm

Indywidualna ostrożność użytkowników to jedno, ale ogromna odpowiedzialność spoczywa także na administratorach danych osobowych oraz całych organizacjach.

1. Procedury bezpieczeństwa
   Firmy powinny mieć jasno określone procedury dotyczące ochrony danych osobowych, reakcji na incydenty i zgłaszania naruszeń do organów nadzorczych (zgodnie z RODO). To pozwala minimalizować ryzyko strat i kar.
2. Regularne audyty i testy bezpieczeństwa
   Przeprowadzanie testów penetracyjnych, audytów systemów IT i weryfikacja polityk haseł pomagają wykryć słabe punkty przed hakerami.
3. Budowanie świadomości pracowników
   Nawet najlepiej zabezpieczone systemy nie ochronią danych, jeśli pracownik nieświadomie kliknie w złośliwy link. Dlatego szkolenia z rozpoznawania phishingu, bezpiecznego korzystania z poczty czy procedur weryfikacji rozmówców są absolutnie kluczowe.
4. Szyfrowanie i segmentacja danych
   Dane powinny być przechowywane w formie zaszyfrowanej, a dostęp do nich mieć tylko uprawnione osoby. Segmentacja systemów IT ogranicza skutki potencjalnego wycieku.

Podsumowanie i krótkie przypomnienie jak chronić swoje dane

Poniżej 6 kluczowych zasad, które pomogą zwiększyć swoje bezpieczeństwo:

1. Nie udostępniaj haseł – ani nikomu, kto dzwoni, ani online.
2. Stosuj silne i unikalne hasła – dla każdej usługi osobne.
3. Włącz weryfikację dwuetapową (2FA) – np. za pomocą aplikacji.
4. Bądź czujny przy odbieraniu telefonów – konsultanci nie proszą o hasła czy kody.
5. Sprawdzaj dokładnie SMS-y i e-maile – błędy językowe i nietypowe adresy nadawców to sygnał ostrzegawczy.
6. Zastrzeż PESEL i monitoruj swoje konta – szczególnie po wyciekach danych.

Fundacja Entropia skutecznie wdrożyła te zasady w wielu przedsiębiorstwach MŚP. Dołącz do firm, które nie doświadczają wycieków danych – szybki kontakt możliwy jest za pośrednictwem formularza kontaktowego:

Artykuł Bezpieczeństwo RODO dla firm pochodzi z serwisu .

W związku z szybko postępującą cyfryzacją życia w warunkach pandemii jesteśmy coraz bardziej narażeni na ryzyko utraty danych osobowych. Tylko w ostatnim czasie media informowały o dwóch potężnych wyciekach danych. Pierwszy z nich, którego śmiało nazwać możemy globalnym, dotyczył aż 530 milionów kont użytkowników facebooka, z czego ok. 2 miliony należały do obywateli RP. (zob. https://www.geekweek.pl/news/2021-04-04/dane-530-milionow-uzytkownikow-facebooka-w-tym-2-milionow-z-polski-dostepnie-w-sieci/). W drugim przypadku, do Sieci wyciekły imiona, nazwiska, numery PESEL, adresy mailowe i adresy zatrudnienia ponad 20 tys. przedstawicieli polskich służb, agencji i instytucji państwowych ze strony Rządowego Centrum Bezpieczeństwa (sic!) (zob. https://spidersweb.pl/2021/04/rcb-wyciek-danych-funkcjonariuszy.html).

Gdy poweźmiesz wiadomość, że Twoje dane wyciekły, rozważ podjęcie następujących działań:

1. zażądaj wyjaśnień,
2. wystąp o odszkodowanie lub zadośćuczynienie,
3. zgłoś sprawę na policję i ewentualnie zastrzeż swoje dokumenty,
4. złóż skargę do PUODO.

Prawo do informacji

W pierwszej kolejności, jako osobie, której dane zostały ujawnione, przysługuje Ci prawo do uzyskania od Administratora danych wyjaśnień związanych z incydentem tj.  w szczególności informacji jakie dokładnie dane wyciekły, do kogo te dane trafiły lub do kogo mogły trafić oraz czy wyciek został zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO). Uzyskane w ten sposób informacje na temat szczegółów zdarzenia pozwolą Ci ocenić, jakie ewentualnie kroki w celu zminimalizowania zagrożeń dla Twoich interesów lub/i wizerunku jesteś w stanie podjąć w dalszym etapie.

Fundacja radzi…

Zachowaj korespondencję z Administratorem danych, jak również wszelkie komunikaty publiczne jakie uda Ci się znaleźć w związku z wyciekiem danych. Zgromadzony w ten sposób materiał okaże się niezwykle pomocny, bez względu na to, którą metodę działania obierzesz.

W trakcie wymiany zdań z Administratorem, możesz również wystąpić o przyznanie  rekompensaty np. w formie rabatu na usługi. W takim przypadku decyzja ma charakter uznaniowy – pozostaje w gestii Administratora.

Kiedy należy się odszkodowanie za wyciek danych osobowych?

Jeżeli propozycja Administratora co do polubownego rozwiązania sprawy nie jest dla Ciebie zadowalająca, a w wyniku ujawnienia danych osobowych poniosłeś szkodę majątkową lub niemajątkową, możesz ubiegać się o uzyskanie odszkodowania lub zadośćuczynienia na drodze postępowania cywilnego. 

Podstawą prawną takiego roszczenia są przepisy RODO oraz Kodeksu cywilnego o ochronie dóbr osobistych.

W myśl art. 82 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę (ust. 1). Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom (ust. 2). Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody (ust. 3).

W razie podjęcia decyzji o wystąpienie na drogę sądową musisz jednak liczyć się z kosztami operacyjnymi (opłata od pozwu, wynagrodzenie pełnomocnika), chyba że ze względu na swą sytuację materialną otrzymasz zwolnienie od kosztów sądowych lub pomoc adwokata z urzędu. Podstawowa opłata dla pozwu o ochronę danych osobowych wynosi 600 zł. Jeśli dodatkowo wnosisz o odszkodowanie, wysokość opłaty będzie uzależniona od wysokości dochodzonej kwoty.

W tym aspekcie możesz także zwrócić się po pomoc do fundacji. Nasi prawnicy posiadają  niezbędną wiedzę i doświadczenie w zakresie prowadzenia spraw z tytułu naruszenia ochrony dóbr osobistych. Kontakt możliwy jest przez formularz:

Nie zwlekaj z zawiadomieniem organów ścigania

W sytuacji kiedy podejrzewasz, że związku z wyciekiem danych określona osoba dopuściła się czynu karalnego, o którym mowa w art. 107 ustawy o ochronie danych osobowych poprzez przetwarzanie danych osobowych przez osobę do tego nieuprawnioną lub przetwarzanie danych, których przetwarzanie było zabronione, możesz zgłosić zawiadomienie o podejrzeniu popełnienia przestępstwa na Policji. 

Pamiętaj, że jeżeli sprawa zakończy się wyrokiem skazującym Sąd może może orzec obowiązek naprawienia w całości, lub w części wyrządzonej przestępstwem szkody lub zadośćuczynienia za doznaną krzywdę.

Jeżeli wyciekły Twoje dane wrażliwe, takie jak numer dowodu osobistego lub innego dokumentu tożsamości, numer PESEL, numer karty bankomatowej – pamiętaj, aby zastrzec je w odpowiedniej instytucji. Usługi takie oferują np. banki, policja, urząd gminy.

Czy wiesz, że…

Istnieje uniwersalny, międzybankowy System Zastrzegania Kart płatniczych? W przypadku kradzieży/utraty/wycieku danych z karty płatniczej (numer karty oraz kod CVV znajdujący się na odwrocie karty) możesz niezwłocznie zastrzec swoją kartę,  pod numerem  (+48) 828 828 828.

Poinformuj o wszystkim Prezesa Urzędu Ochrony Danych Osobowych

Nawet jeśli nie poniosłeś konkretnej straty materialnej lub niematerialnej w związku z wyciekiem danych osobowych do Sieci, możesz złożyć skargę do PUODO (strona urzędu: https://uodo.gov.pl/).

Prawo do wniesienia skargi jako jednego ze środków ochrony prawnej zostało uregulowane w art. 77 RODO. Zgodnie z przepisem art. 77 ust. 1, każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza przepisy RODO. W tym przypadku musisz jednak pamiętać, że finansowo nic na tym nie zyskasz, ponieważ PUODO nie ma kompetencji do wydawania decyzji o rekompensacie pieniężnej na rzecz zgłaszającego. Pisaliśmy jednak wyżej, kiedy przysługuje Ci odszkodowanie za wyciek danych.

PUODO może jednakże zobowiązać w swojej decyzji Administratora danych do wykonania określonych czynności związanych z przetwarzaniem danych lub ich zakazać, jak również nałożyć nań dotkliwą karę pieniężną.

Gdzie możesz sprawdzić, czy Twoje dane wyciekły?

Co do zasady w przypadku wycieku danych każdy Administrator ma poinformować osoby, które ucierpiały na skutek takiego zdarzenia. Niestety nie wszyscy Administratorzy postępują rzetelnie i zgodnie z przepisami. Z pomocą przychodzą takie strony jak np. https://haveibeenpwned.com/, gdzie możemy zweryfikować czy nasz numer telefonu lub adres e-mail nie zostały wykradzione. Strona analizuje publicznie dostępne bazy danych i koreluje je z informacjami o wyciekach

Artykuł Jak dostać odszkodowanie za wyciek danych osobowych? pochodzi z serwisu .

W ramach nowego cyklu dedykowanego właścicielom Biur Rachunkowych, omawiamy najważniejsze dokumenty RODO, wchodzące w skład pełnej dokumentacji RODO dla Biura Rachunkowego. Artykuły pozbawione są nudnych regułek i maślanych definicji. Zamiast tego proponujemy naszą własną interpretację opartą o prosty język i skondensowany charakter.

W poprzednim wpisie omawialiśmy rejestr czynności w biurze rachunkowym: https://fundacjaentropia.pl/rejestr-czynnosci-w-biurze-rachunkowym/

Rejestr kategorii czynności przetwarzania

W drugim wpisie przypisanym do ww. cyklu bierzemy na warsztat Rejestr kategorii czynności przetwarzania. Znajdą tu Państwo podstawową wiedzę na temat Rejestru oraz praktyczne wskazówki dotyczące jego prowadzenia.

Czym jest rejestr kategorii w biurze rachunkowym?

„Rejestr kategorii czynności przetwarzania (nazywany także Rejestrem wszystkich kategorii czynności przetwarzania) stanowi podstawową dokumentację podmiotu przetwarzającego, związaną z przetwarzaniem przez niego danych osobowych w imieniu innych podmiotów”.

Z przytoczonej definicji wynika, że obowiązek prowadzenia Rejestru kategorii czynności przetwarzania dotyczy tylko tzw. podmiotów przetwarzających. O jakie dokładnie podmioty chodzi? Najprościej mówiąc, chodzi o podmioty wykonujące określone operacje na danych osobowych należących do innego Administratora (czyt. innej firmy, organizacji), które zostały mu przez tego Administratora powierzone, w celu wykonania określonej usługi. Podmiot przetwarzający nie decyduje więc samodzielnie o celach i sposobach przetwarzania tych danych, ale realizuje te czynności na polecenie innego podmiotu – innego administratora danych.

Czy Biuro rachunkowe należy uznać za podmiot przetwarzający? Bezsprzecznie tak. Obowiązek prowadzenia Rejestru kategorii czynności przetwarzania, w przypadku Biura rachunkowego, wynika ze specyfiki wykonywanego zawodu. Mówimy tutaj o sytuacji gdzie właściciel Biura,  pracownicy Biura wykonują określone operacje na danych osobowych w imieniu i na rzecz klientów, w ramach stałej obsługi księgowej.

Przechodząc do sedna sprawy, Rejestr kategorii czynności przetwarzania najłatwiej będzie Państwu zapamiętać jako Rejestr klientów (oczywiście w pewnym uproszczeniu i z uwzględnieniem świadczonych usług – o czym w dalszej części materiału).

W przypadku Biura Rachunkowego mamy tę wyjątkową sytuację, w której właściciel jako Administrator Danych, będzie zobowiązany prowadzić Rejestr czynności przetwarzania, a jako Podmiot Przetwarzający będzie jednocześnie prowadzić Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu zleceniodawców.

Podstawą przetwarzania danych uzyskanych od innego Administratora jest umowa powierzenia, którą zawieramy przy okazji podpisania umowy o świadczenie usług księgowych. O umowie powierzenia pisaliśmy w tym artykule: https://fundacjaentropia.pl/umowa-powierzenia/

Najważniejsze informacje o rejestrze kategorii w biurze rachunkowym

Obowiązek prowadzenia Rejestru spoczywa na Administratorze Danych (czytaj: właścicielu Biura Rachunkowego). Nawet powołanie Inspektora Ochrony Danych Osobowych w Biurze nie zwalnia Administratora Danych z w/w obowiązku.

Rejestr kategorii czynności przetwarzania jest podstawowym i obowiązkowym dokumentem wchodzącym w skład dokumentacji RODO w biurze rachunkowym.

Biuro rachunkowe, jako podmiot przetwarzający jest odpowiedzialne za prowadzenie Rejestru kategorii czynności przetwarzania.

W czasie kontroli upoważnionego organu, Rejestr jest zawsze przedmiotem kontroli, a jego brak stanowi rażące uchybienie, od którego mogą zostać wyciągnięte surowe konsekwencje finansowe.

Rejestr kategorii przetwarzania powinien być udostępniony organowi nadzorczemu na każde jego wezwanie.

Rejestr kategorii w biurze rachunkowym musi być prowadzony w formie pisemnej.

Pisemna forma jest jedynym wymogiem prawnym dotyczącym przedmiotowego Rejestru. Takie rozwiązanie powoduje, że nie znajdą Państwo jednolitego wzoru Rejestru, a jedynie ogólne wskazówki dotyczące tego, co powinien on zawierać. Niewątpliwą zaletą takiego rozwiązania jest możliwość decydowania wedle własnego uznania zarówno o wersji (papierowa czy elektroniczna) jak i układzie informacji w Rejestrze.

Wskazówka: Ze względu na wspomnianą dowolność układu informacji w rejestrze, podczas jego tworzenia należy zwrócić uwagę na zachowanie przejrzystości. Z tego tytułu, zalecamy prowadzenie Rejestru w wersji elektronicznej, używając do tego powszechnego arkusza kalkulacyjnego.

Jakie informacje powinien zawierać rejestr kategorii w biurze rachunkowym

Rejestr kategorii czynności przetwarzania danych osobowych prowadzony przez Biuro Rachunkowe powinien zawierać opis odnoszący się do danych osobowych powierzonych mu do przetwarzania przez innych administratorów danych – klientów. Zgodnie z treścią art. 30 ust. 2 RODO taki rejestr powinien zawierać następujące informacje:

– imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający,

– kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,

– gdy ma to zastosowanie – informacje dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń,

– jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, zastosowanych przez podmiot przetwarzający w celu spełnienia wymagań, o których mowa w art. 32 ust. 1 RODO.

Należy pamiętać, że zgodnie z art. 30. ust 2. RODO Rejestr wszystkich kategorii czynności przetwarzania ma zawierać określenie każdego Administratora w imieniu którego działa podmiot przetwarzający oraz wskazanie rodzaju usługi jaką wykonuje jego rzecz na podstawie zawartej umowy.

De facto oznacza to, że do tabeli muszą Państwo wpisać każdego klienta.

Aby nieco ułatwić sobie sprawę, proponujemy przypisanie klientów do danego rodzaju usługi aniżeli żmudne przepisywanie operacji wykonywanych na danych osobowych każdemu klientowi z osobna. Można bowiem przyjąć, że w ramach świadczonej usługi (np. księgowość pełna, księgowość uproszczona) wykonujemy dla klientów tożsame czynności przetwarzania.

*

Prawnicy fundacji specjalizują się w procesach wdrożenia RODO w biurze rachunkowym. Przygotowaliśmy na ten temat wiele artykułów, które można znaleźć na naszej stronie – przykładowo: https://fundacjaentropia.pl/wdrozenie-rodo-w-biurze-rachunkowym/

Prawnicy fundacji służą pomocą przy przygotowaniu fachowej dokumentacji RODO dla biur rachunkowych:

[contact-form-7]

Artykuł Rejestr kategorii w biurze rachunkowym pochodzi z serwisu .

W roku 2021, w ramach nowego cyklu dedykowanego księgowym omawiamy najważniejsze dokumenty RODO dla biur rachunkowych. Postaramy się, aby artykuły były pozbawione nudnych regułek i maślanych definicji. Zamiast tego proponujemy naszą własną interpretację opartą o prosty język i skondensowany charakter.

Rejestr czynności w biurze rachunkowym

Pierwszy wpis przedmiotowego cyklu poświęcony został w całości Rejestrowi Czynności w biurze rachunkowym. Znajdą tu Państwo podstawową wiedzę na temat Rejestru oraz praktyczne wskazówki dotyczące jego prowadzenia.

Czym jest rejestr czynności?

Rejestr czynności przetwarzania, to nic innego jak wykaz zbiorów danych osobowych przetwarzanych w Biurze.

Przygotowanie Rejestru (przynajmniej w założeniu) powinno Państwu pomóc uporządkować i usystematyzować wykonywane czynności, a osobie, która się z nim zapozna, zorientować się w przekroju działań jakie wykonują Państwo na danych osobowych. Nie da się ukryć, że chodzi głównie o podmiot kontrolujący.

Innymi słowy, rejestr czynności stanowi prosty i czytelny sposób na dokonanie wstępnej analizy zgodności przetwarzania z prawem oraz organizacji ochrony danych osobowych.

Najważniejsze informacje o rejestrze czynności w biurze rachunkowym

Obowiązek prowadzenia Rejestru spoczywa na Administratorze Danych. W rozpatrywanym przypadku administratorem jest właściciel Biura Rachunkowego. Nawet powołanie Inspektora Ochrony Danych Osobowych w Biurze nie zwalnia Administratora Danych z tego obowiązku.

Rejestr czynności w biurze rachunkowym jest podstawowym i obowiązkowym dokumentem wchodzącym w skład dokumentacji RODO.

Obowiązek ten wynika z faktu, iż przetwarzanie danych w Biurze rachunkowym nie ma charakteru sporadycznego (odbywa się w sposób ciągły).

W czasie kontroli upoważnionego organu, Rejestr jest zawsze przedmiotem kontroli, a jego brak stanowi rażące uchybienie, od którego mogą zostać wyciągnięte surowe konsekwencje finansowe. O karach pisaliśmy w tym artykule: https://fundacjaentropia.pl/kary-za-niedostosowanie-swojej-dzialalnosci-do-rodo/

Rejestr czynności powinien być udostępniony organowi nadzorczemu na każde jego wezwanie.

Rejestr czynności w biurze rachunkowym musi być prowadzony w formie pisemnej.

Pisemna forma jest jedynym wymogiem prawnym dotyczącym przedmiotowego Rejestru. Takie rozwiązanie powoduje, że nie znajdą Państwo jednolitego wzoru Rejestru, a jedynie ogólne wskazówki dotyczące tego, co powinien on zawierać. Niewątpliwą zaletą takiego rozwiązania jest możliwość decydowania wedle własnego uznania o układzie informacji w Rejestrze.

Wskazówka: Ze względu na wspomnianą dowolność układu informacji w rejestrze, podczas jego tworzenia należy zwrócić uwagę na zachowanie przejrzystości. Z tego tytułu, zalecamy prowadzenie Rejestru w wersji elektronicznej, używając do tego powszechnego arkusza kalkulacyjnego.

Jakie informacje powinien zawierać rejestr czynności w biurze rachunkowym?

O tym jakie informacje należy zamieścić w Rejestrze, w odniesieniu do wszystkich prowadzonych procesów przetwarzania danych osobowych w Biurze Rachunkowym, stanowi art. 30 ust. 1  RODO. Chodzi o:

– Imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

– Cele przetwarzania;

– Opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

– Kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

– Gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

– Jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

– Jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Sporządzenie Rejestru rozpoczynamy od przygotowania (w lewym, górnym rogu arkusza kalkulacyjnego) strony tytułowej zawierającej podstawowe dane dot. Administratora Biura Rachunkowego.

Następnie przechodzimy do części właściwej. Każdy kolejny wers odpowiada konkretnej czynności przetwarzania, którą możemy określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane. Przykładem takich czynności może być: rekrutacja, prowadzenie ewidencji pracowników czy prowadzenie rozliczeń w zakresie wypłaty wynagrodzeń pracownikom, naliczania obciążeń oraz naliczania i odprowadzania składek do ZUS.

*

Prawnicy fundacji specjalizują się w procesach wdrożenia RODO w biurze rachunkowym. Przygotowaliśmy na ten temat wiele artykułów, które można znaleźć na naszej stronie – przykładowo: https://fundacjaentropia.pl/wdrozenie-rodo-w-biurze-rachunkowym/

Prawnicy fundacji służą pomocą przy przygotowaniu fachowej dokumentacji RODO dla biur rachunkowych:

[contact-form-7]

Artykuł Rejestr czynności w biurze rachunkowym pochodzi z serwisu .