Każde biuro rachunkowe zajmuje się przetwarzaniem danych osobowych. Badanie sprawozdań finansowych, prowadzenie ksiąg rachunkowych przedsiębiorstwa czy dokumentacji pracowniczej to tylko niektóre czynności, które pociągają za sobą konieczność przetwarzania danych. Mówiąc prościej, przetwarzanie danych sprowadza się do wszelkich operacji, których dokonuje się na tych danych. Mowa więc o ich zbieraniu, opracowywaniu, zmienianiu, udostępnianiu, usuwaniu czy samym przechowywaniu. Wykonywanie choćby jednej z tych czynności należy uznać za przetwarzanie danych. Biuro świadczące usługi księgowe uprawnione jest więc do przetwarzania danych osobowych klienta – ale wyłącznie w celach uzasadnionych gospodarczo, związanych z pełnieniem swojej funkcji. W związku z powyższym, podmioty te odpowiedzialne są za ich prawidłowe wykorzystanie oraz przechowywanie w odpowiedni, bezpieczny sposób. W dzisiejszym artykule zajmiemy się omówieniem najważniejszych zasad, jak dane osobowe powinny być przetwarzane w związku z czynnościami, jakimi są usługi księgowe.
Zapraszamy do lektury.
Ochrona danych osobowych w świetle RODO
Warto uświadomić sobie, że obowiązki związane z ochroną danych osobowych związane są nie tylko z implementacją regulacji unijnych, które zaczęły obowiązywać w 2018 roku. Mimo tego, że popularnie zwane RODO, czyli Rozporządzenie Parlamentu Europejskiego dotyczące ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, wywołało u wielu przedsiębiorców postrach i konieczność dostosowania się do nowych regulacji, w Polsce już od dawna funkcjonowała ustawa o ochronie danych osobowych z 1997 roku.
Mając jednak na względzie obecnie obowiązujące regulacje, wynikają one właśnie z unijnych warunków, do których stosowania jest zobligowana Polska. W związku z tym, wszystkie firmy oraz podmioty przetwarzające dane osobowe zostały zobowiązane do spełniania wymogów nowej regulacji.
Zacznijmy jednak od tego, czym właściwie jest ochrona danych osobowych. Mówiąc krótko, ochrona ta polega na wdrożeniu (przez podmiot nimi dysponujący) skutecznej realizacji zasad ochrony danych poprzez:
- minimalizację danych oraz
- wdrożenie niezbędnych zabezpieczeń, czyli zastosowanie środków technicznych i organizacyjnych mających na celu ochronę przetwarzanych danych osobowych.
Natomiast same dane osobowe to wszystkie informacje, które umożliwiają identyfikację danej osoby. W przepisach nie uregulowano i nie wyszczególniono zamkniętego katalogu takich danych. Przedsiębiorstwo świadczące usługi księgowe powinno więc każdorazowo i indywidualnie oceniać, czy dana informacja powierzona przez klienta ma charakter danych osobowych. Przede wszystkim powinniśmy do nich zaliczyć dane klienta, na którego rzecz usługi świadczymy. Będą to zatem:
- imię i nazwisko,
- numery NIP i PESEL,
- numer dowodu osobistego,
- adres zamieszkania,
- adres e-mail.
Poza danymi osobowymi „zwykłymi”, wyróżnia się także tzw. dane wrażliwe. W przypadku działalności biur księgowych, mogą to być np. dane dotyczące zdrowia pracowników naszego klienta.
Dane osobowe a usługi księgowe – umowa o powierzenie danych osobowych
W interesie biura świadczącego usługi księgowe jest zawarcie z klientem odpowiedniej umowy o powierzeniu danych osobowych. Należy w niej jednoznacznie określić, że:
- przedsiębiorca (klient) występuje w tej korelacji jako administrator danych oraz
- jednocześnie (na mocy swoich uprawnień) upoważnia biuro księgowe do przetwarzania ich zgodnie z zawartą umową i w określonym zakresie odpowiedzialności.
W tym miejscu warto również wskazać, że umowa taka może – ale nie musi – być odrębnym dokumentem. Zapisy dotyczące powierzenia danych osobowych mogą wynikać bezpośrednio z umowy zawieranej o współpracę.
Obowiązki firmy świadczącej usługi księgowe a dane osobowe
Ze względu na charakter działalności biur księgowych, czynności przez nie realizowane pełnią zasadniczo dwie role:
- Z jednej strony przekazanie do biura rachunkowego przez klienta danych osobowych rodzi obowiązek chronienia i zabezpieczenia tych informacji przez księgowość.
- Z drugiej – w związku z powyższym – nierozerwalnym elementem funkcjonowania biur księgowych jest wdrożenie przepisów RODO. Pozwala to należycie zabezpieczyć dane własne oraz powierzone, wynikające z pełnionej funkcji.
Każde biuro rachunkowe ma obowiązek tworzenia dokumentacji opisującej sposób administrowania danymi osobowymi oraz metody ich przetwarzania. W tym celu tworzy się oraz prowadzi rejestr czynności przetwarzania. Jego zadaniem jest odzwierciedlenie rzeczywiście realizowanych działań w obszarze operacji wykonywanych na danych osobowych. W rejestrze należy wskazać przede wszystkim kategorię przetwarzania, czyli powód, dla którego akurat dane o takim charakterze wykorzystujemy. W przypadku biur księgowych będzie to, najogólniej rzecz ujmując, obsługa księgowa lub kadrowo-płacowa.
Na koniec warto również wskazać trzy dość istotne obowiązki związane z ochroną danych osobowych w biurze księgowym. Pierwszy z nich to prowadzenie ewidencji osób upoważnionych do przetwarzania danych. A poza tym, przed samym zebraniem danych osobowych od naszego klienta, warto również rozważyć, których z nich potrzebujemy do wywiązania się z naszych obowiązków oraz odrzucić niepotrzebne z nich. Aby zabezpieczyć interes zarówno swój, jak i naszych klientów, warto także stworzyć tzw. politykę bezpieczeństwa. Jest to dokument zawierający:
- opis i wykaz zbiorów oraz struktury danych,
- wykaz pomieszczeń, w których przetwarzane są dane osobowe,
- sposób przepływu danych między różnymi systemami,
- określenie środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa powierzonych danych.