Logo
Kadry / płace VAT Dochodowy

Szukanie zaawansowane

Szukanie wraz z odmianą wyrazów
Wstaw * (gwiazdka) po wpisaniu początku wyrazu
np. podatk*, aby znaleźć podatkami, podatkach itd.

Dokładne dopasowanie
Wpisz wyrażenie w cudzysłowie.
Na przykład: "podatek dochodowy".

Wykluczenie wyrażenia
Wstaw - (minus) przed słowem, które chcesz wykluczyć. Na przykład: "sprzedaż -towar"

Brak wyników

AKTUALNOŚCI , WAŻNE TEMATY

October 31, 2015

Ochrona danych osobowych przez biura rachunkowe

Redakcja

0 1151

Proszę o informację na temat ochrony danych osobowych przez biura rachunkowe:

  1. Czy umowa powierzenia danych osobowych i umowa powierzenia przetwarzania danych osobowych, przez biura rachunkowe do US, ZUS i UM to wystarczające dokumenty?

  2. Czy biura zgłaszają się do GIODO? (uważam, że przetwarzanie dokonuje się tylko dla US, ZUS i UM w moim przypadku)

  3. Czy moi Klienci powinni stosować procedurę zgodnie z art. 43 ustawy o ochronie danych osobowych (dane potrzebne do FV i zatrudnianie pracowników)?

  4. Czy są jeszcze inne obowiązki biura rachunkowego z tym związane?

ODPOWIEDŹ 1

Biuro rachunkowe przetwarzając dane gromadzone w zbiorze danych osobowych, których Administratorem Danych Osobowych (właścicielem) jest Klient biura powinno posiadać oprócz umowy handlowej lub współpracy z Klientem również umowę powierzenia danych osobowych.

UZASADNIENIE

Biura rachunkowe tak jak każdy inny podmiot przetwarzający dane osobowe powinny działać zgodnie z obowiązującym prawem, dlatego też zobowiązane są stosować m.in. przepisy określone przez ustawę z dnia 29 sierpnia 1997 roku o ochronie danych osobowych.

Podmioty, które przetwarzają dane osobowe, których właścicielami są inne podmioty zgodnie z art. 31 pkt. 1 zobowiązane są do zawarcia umowy powierzenia przetwarzania danych osobowych. Zakres, cel oraz czas trwania przetwarzania powierzonych danych osobowych powinien być wyczerpująco określony w umowie powierzenia. Nie ma przy tym znaczenia czy strona, która powierza dane osobowe do przetwarzania w ramach umowy powierzenia zgłosiła zbiór danych do rejestru zbiorów danych osobowych prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. Powierzeniu może podlegać w przypadku biura rachunkowego zbiór danych osobowych pracowników Klienta. Zbiór taki nie podlega obowiązkowi rejestracji jednak powinien być traktowany na równi ze zbiorami, które podlegają konieczności zgłoszenia do GIODO. Równorzędność dotyczy wszelkich wymogów formalnych dotyczących np. nadawania upoważnień czy rejestrowania wszelkich zmian w zbiorze, ale przede wszystkim dotyczy zastosowania środków i zabezpieczeń koniecznych do zapewnienia bezpieczeństwa przetwarzania danych osobowych, o czym wspomina art. 31 pkt 2 ustawy o ochronie danych osobowych.

Należy pamiętać, iż umowa powierzenia nie zabiera z Administratora Danych Osobowych, (tj. Klienta biura rachunkowego, z którym powierzył dane osobowe), obowiązku dbania o bezpieczeństwo przetwarzanych danych osobowych oraz konieczności spełnienia wszelkich wymogów formalnych. Dotyczy to w szczególności sytuacji, w której Klient powierzył biuru rachunkowemu zbiór danych osobowych, który został zgłoszony do GIODO. W takim wypadku w dalszym ciągu wszelkie obowiązki dotyczące zgłaszania informacji aktualizacyjnych spoczywają na Administratorze Danych Osobowych zbioru, czyli Kliencie biura rachunkowego. Z kolei właściciel biura rachunkowego odpowiada za zarządzanie dostępem w ramach swojej organizacji do powierzonego zbioru danych osobowych Klienta. Mowa tutaj jest o nadawaniu swoim pracownikom upoważnień do przetwarzania danych osobowych Klienta, prowadzenia rejestru upoważnień oraz prowadzania rejestru zbiorów danych osobowych przetwarzanych w firmie. Dla każdego zbioru danych osobowych przekazanego za pomocą umowy powierzenia, właściciel biura rachunkowego powinien wystawić upoważnienia do przetwarzania danych osobowych dla pracowników biura rachunkowego, którzy będą mieli dostęp do danego zbioru danych osobowych.

ODPOWIEDŹ 2

Obowiązek rejestracji zbiorów danych uzależniony jest przede wszystkim od celu ich przetwarzania. Jeżeli mowa jest o przetwarzaniu zbioru danych osobowych przekazanych na podstawie umowy powierzenia i zakres przetwarzania zawarty w treści umowy o powierzenie polega tylko i wyłącznie na realizacji potrzeb Klienta biuro rachunkowe nie ma obowiązku zgłaszania zbioru do Generalnego Inspektora Ochrony Danych Osobowych.

UZASADNIENIE

Z obowiązku rejestracji zwolnione są zbiory danych opisane w art.43 ustawy. Jednak wyłączenia opisane w art.43 zawsze należy analizować łącznie z celem przetwarzania danych osobowych. W pytaniu zostały podane dwie sytuacje mające odniesienie

w art. 43 pkt 1 ppkt 8 i 4. Jeżeli celem przetwarzania danych osobowych jest tylko wystawianie dokumentów sprzedaży a nie np. działania marketingowo-reklamowe oraz dane osobowe pracowników klienta są tylko i wyłącznie przetwarzane w celach związanych z prowadzeniem dokumentacji kadrowo-płacowej zbiory takie nie podlegają obowiązkowi rejestracji. W każdym z wyżej wymienionych przypadków brak obowiązku rejestracji nie zwalnia przetwarzającego dane osobowe z konieczności zapewnienia wymaganych zabezpieczeń zgodnie np. z art. 31. W celu uzyskania szczegółowych informacji o koniecznych do zastosowania środkach i zabezpieczeniach, jakie musi spełnić podmiot przetwarzający dane osobowe konieczne jest zapoznanie się przepisami wykonawczymi:

Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745)

Rozporządzenie Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015, poz. 719)

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

ODPOWIEDŹ 3 I 4

Jak już wspomniano wyłączenia z konieczności zgłoszenia do Generalnego Inspektora Ochrony Danych Osobowych zbioru tych danych opisane w art. 43 należy zawsze również rozpatrywać w kontekście celu przetwarzania danych osobowych. Cel powinien być zawsze zgodny z wymogami określonymi w art. 23.

UZASADNIENIE

Biuro rachunkowe nie musi zgłaszać do GIODO zbiorów danych osobowych zatrudnionych pracowników, zbiorów danych osobowych przekazanych w formie powierzenia lub zbiorów wymienionych w art. 43. Zmiany w ustawie o ochronie danych osobowych, które weszły w życie z dniem 1 stycznia 2015 roku dają podmiotom możliwość uniknięcia konieczności zgłaszania zbiorów danych osobowych do GIODO w przypadku, kiedy powołany zostanie w organizacji Administrator Bezpieczeństwa Informacji i zostanie on w ciągu 30 dni od dnia powołania zgłoszony do Generalnego Inspektora Ochrony Danych Osobowych.

Zachętą dla podmiotów wprowadzaną przez ustawodawcę do zgłaszania do GIODO Administratorów Danych Osobowych jest brak konieczności zgłaszania do GIODO zbiorów danych osobowych przetwarzanych w organizacji. Wyjątek od reguły stanowią zbiory danych zawierające dane wrażliwe. W tym wypadku dalej istnieje konieczność zgłoszenia takiego zbioru. Należy jednak pamiętać, iż jeżeli organizacja powoła ABI nie zwalnia to jej z prowadzenia rejestru zbiorów danych osobowych oraz spełnienia wszystkich innych wymogów dotyczących zarządzania dostępem oraz stosowania środków pozwalających zapewnić bezpieczeństwo przetwarzania tych danych.

Artur Lasocki