Ochrona danych osobowych przez biura rachunkowe

ODPOWIEDŹ 1

Biuro rachunkowe przetwarzając dane gromadzone w zbiorze danych osobowych, których Administratorem Danych Osobowych (właścicielem) jest Klient biura powinno posiadać oprócz umowy handlowej lub współpracy z Klientem również umowę powierzenia danych osobowych.

UZASADNIENIE

Biura rachunkowe tak jak każdy inny podmiot przetwarzający dane osobowe powinny działać zgodnie z obowiązującym prawem, dlatego też zobowiązane są stosować m.in. przepisy określone przez ustawę z dnia 29 sierpnia 1997 roku o ochronie danych osobowych.

Podmioty, które przetwarzają dane osobowe, których właścicielami są inne podmioty zgodnie z art. 31 pkt. 1 zobowiązane są do zawarcia umowy powierzenia przetwarzania danych osobowych. Zakres, cel oraz czas trwania przetwarzania powierzonych danych osobowych powinien być wyczerpująco określony w umowie powierzenia. Nie ma przy tym znaczenia czy strona, która powierza dane osobowe do przetwarzania w ramach umowy powierzenia zgłosiła zbiór danych do rejestru zbiorów danych osobowych prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. Powierzeniu może podlegać w przypadku biura rachunkowego zbiór danych osobowych pracowników Klienta. Zbiór taki nie podlega obowiązkowi rejestracji jednak powinien być traktowany na równi ze zbiorami, które podlegają konieczności zgłoszenia do GIODO. Równorzędność dotyczy wszelkich wymogów formalnych dotyczących np. nadawania upoważnień czy rejestrowania wszelkich zmian w zbiorze, ale przede wszystkim dotyczy zastosowania środków i zabezpieczeń koniecznych do zapewnienia bezpieczeństwa przetwarzania danych osobowych, o czym wspomina art. 31 pkt 2 ustawy o ochronie danych osobowych.

Należy pamiętać, iż umowa powierzenia nie zabiera z Administratora Danych Osobowych, (tj. Klienta biura rachunkowego, z którym powierzył dane osobowe), obowiązku dbania o bezpieczeństwo przetwarzanych danych osobowych oraz konieczności spełnienia wszelkich wymogów formalnych. Dotyczy to w szczególności sytuacji, w której Klient powierzył biuru rachunkowemu zbiór danych osobowych, który został zgłoszony do GIODO. W takim wypadku w dalszym ciągu wszelkie obowiązki dotyczące zgłaszania informacji aktualizacyjnych spoczywają na Administratorze Danych Osobowych zbioru, czyli Kliencie biura rachunkowego. Z kolei właściciel biura rachunkowego odpowiada za zarządzanie dostępem w ramach swojej organizacji do powierzonego zbioru danych osobowych Klienta. Mowa tutaj jest o nadawaniu swoim pracownikom upoważnień do przetwarzania danych osobowych Klienta, prowadzenia rejestru upoważnień oraz prowadzania rejestru zbiorów danych osobowych przetwarzanych w firmie. Dla każdego zbioru danych osobowych przekazanego za pomocą umowy powierzenia, właściciel biura rachunkowego powinien wystawić upoważnienia do przetwarzania danych osobowych dla pracowników biura rachunkowego, którzy będą mieli dostęp do danego zbioru danych osobowych.

ODPOWIEDŹ 2

Obowiązek rejestracji zbiorów danych uzależniony jest przede wszystkim od celu ich przetwarzania. Jeżeli mowa jest o przetwarzaniu zbioru danych osobowych przekazanych na podstawie umowy powierzenia i zakres przetwarzania zawarty w treści umowy o powierzenie polega tylko i wyłącznie na realizacji potrzeb Klienta biuro rachunkowe nie ma obowiązku zgłaszania zbioru do Generalnego Inspektora Ochrony Danych Osobowych.

UZASADNIENIE

Z obowiązku rejestracji zwolnione są zbiory danych opisane w art.43 ustaw...