RODO w biurze rachunkowym

RODO – fraza już nie tak popularna, ale cały czas ważna, szczególnie dla przedsiębiorców, którzy na co dzień mają do czynienia z osobami fizycznymi (konsumentami). Do grona takich podmiotów z pewnością zaliczają się przedsiębiorcy usługowo prowadzący księgi rachunkowe.

Ochrona danych osobowych musi być przestrzegana rygorystycznie. Po pierwsze dlatego, że kary za naruszenia przepisów w przedmiocie ochrony danych osobowych mogą być niebotyczne. A po drugie, dlatego że świadomość prawna obywateli w naszym kraju stoi na bardzo wysokim poziomie, a zaufanie klientów ciężko się odbudowuje.

Aby zatem nie narazić się na odpowiedzialność administracyjną oraz nie stracić potencjalnych współpracowników, procedura RODO w biurze rachunkowym musi zostać właściwie wdrożona, a następnie stale prowadzona i w razie potrzeby modyfikowana.

RODO w biurze rachunkowym – wyznaczenie administratora

Pierwszym obowiązkiem związanym z RODO w biurze rachunkowym, od którego nie da się uciec, jest konieczność wyznaczenia administratora danych osobowych.

To właśnie na administratorze spoczywa obowiązek ustalenia oraz wdrożenia procedur zabezpieczających gromadzone dane. Musi on zapewnić stosowanie takich środków technicznych oraz organizacyjnych, które będą dawały gwarancję trwałej i pewnej ochrony przetwarzanych przez niego danych osobowych.

Musi on także stworzyć zasady ochrony danych dostosowane do charakteru działalności przedsiębiorstwa oraz nadzorować administrowanie nimi.

W przypadku jednoosobowych działalności gospodarczych takim administratorem jest przedsiębiorca. Co więcej, to na nim spoczywa cały ciężar stworzenia i wdrożenia wymaganych procedur.

Mało kto decyduje się na zatrudnienie pracownika na dedykowane dla kontroli RODO stanowisko.

A zatem przedsiębiorca, jako administrator danych, powinien posiąść wymaganą wiedzę na temat praw i obowiązków konsumentów w kwestii RODO oraz procesów, które należy przestrzegać przy przetwarzaniu danych osobowych.

Do najważniejszych obowiązków administratora danych zaliczamy:

• zabezpieczenie pozyskanych informacji o osobach fizycznych przed ich utratą, udostępnieniem osobom nieupoważnionym, uszkodzeniem lub zniszczeniem, przetwarzaniem z naruszeniem przepisów RODO, zmianą;
• rozpatrywanie wniosków w przedmiocie usunięcia danych, ich przeniesienia, modyfikacji, wglądu oraz wycofania zgody na ich przetwarzanie;
• prowadzenie dokumentacji niezbędnej do prawidłowego przetwarzania danych osobowych;
• kontrolowanie tego, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do bazy oraz komu są przekazywane;
• zgłoszenie zbiór danych do rejestracji w GIODO oraz dokonywanie aktualizacji tego zgłoszenia w przypadku zaistnienia zmian;
• informowanie osób, których dane są przetwarzane, o adresie swojej siedziby, celu zbierania i przetwarzania danych, o odbiorcach tych danych oraz o prawie dostępu do danych i możliwości ich aktualizacji.

Czy polityka prywatności jest przeznaczona wyłącznie dla stron internetowych?

Chociaż wielu przedsiębiorców w ogóle nie zdaje sobie z tego sprawy, to posiadanie polityki prywatności jest obowiązkiem każdego podmiotu przetwarzającego dane osobowe, nie tylko tego prowadzącego stronę w sieci.

Prowadzenie biura rachunkowego, w którym przetwarzane są dane osób fizycznych, obliguje przedsiębiorstwo do sporządzenia odpowiedniego dokumentu, w którym opisane zostaną wszystkie zasady stosowania RODO w firmie.

Co więcej, taka polityka nie może być stworzona wyłącznie do celów wewnętrznych, musi ona zostać zredagowana tak, aby każdy, czyje dane są przetwarzane, mógł w łatwy sposób dowiedzieć się z niej, w jaki sposób jego dane będą procedowane, na jakiej podstawie oraz jakie prawa mu w związku z tym przysługują.

Oprócz samej polityki prywatności przedsiębiorca powinien również posiadać:

• umowy powierzenia danych osobowych;
• upoważnienia do przetwarzania danych;
• rejestr upoważnień;
• rejestr czynności przetwarzanych;
• rejestr naruszeń.

Samo posiadanie dokumentacji RODO w biurze rachunkowym to nie wszystko. Wraz z nowelizacją prawa oraz zmianami faktycznymi w przedsiębiorstwie należy aktualizować dokumenty polityki prywatności, oraz pozostałych upoważnień czy rejestrów.

Przetwarzanie danych osobowych to obowiązek stałego kontrolowania przepisów oraz modyfikacji i dostosowywania wykorzystywanych procedur.

Z czasem każdy dokument dotyczący przetwarzania danych osobowych, przynajmniej w części, straci swoją ważność.

Programy księgowe a bezpieczeństwo danych

Ciężko aktualnie wyobrazić sobie prowadzenie ksiąg rachunkowych za pomocą kartek papieru i zwykłego kalkulatora. Wszystko jest na dyskach stacjonarnych lub wirtualnych. Rynek oferuje wiele narzędzi, które mają ułatwić pracę księgowego.

Znakiem czasu jest, iż producenci oferują aplikacje, z których można korzystać dzięki dowolnemu urządzeniu z dostępem do Internetu z każdego miejsca na świecie (oczywiście, o ile jest tam sygnał Wi-Fi). Korzystając z tego typu rozwiązań, trzeba mieć na uwadze, że dane nie są gromadzone na dysku naszego urządzenia, ale w chmurze (tj. na serwerze producenta oprogramowania).

Co to oznacza? Że przekazujemy przetwarzane dane osobowe podmiotowi trzeciemu. W takiej sytuacji konieczne jest zawarcie umowy powierzenia danych osobowych. Na szczęście w większości wypadków o te kwestie dbają firmy będące właścicielami aplikacji.

Dodatkowo, jeżeli serwery producenta nie znajdują się na terenie UE, właściciel biura rachunkowego musi podporządkować się pod art. 45 RODO.

Zgodnie z nim, jeśli administrator danych zamierza przekazać dane osobowe poza terytorium Unii Europejskiej, musi zadbać o bezpieczeństwo transferu. Procedura przekazania jest zależna od kraju, do którego dane mają zostać przekazane. Jeżeli chodzi o kraj, który w ocenie Komisji Europejskiej spełnia odpowiedni stopień ochrony, to przekazanie nie wymaga uzyskania specjalnego zezwolenia.

Natomiast w pozostałych przypadkach administrator danych ma obowiązek pozyskania stosownego zezwolenia na przekazanie danych.

Nie muszę przy tym raczej wspominać, że korzystanie z programów księgowych, skrzynek email, serwerów oraz innych aplikacji, powinno zostać właściwie zabezpieczone.

Warto rozważyć logowanie dwuetapowe – dzięki takim programom jak Google Authenticator i Microsoft Authenticator w tani i łatwy sposób w wysokim stopniu można zabezpieczyć wszelkie wrażliwe dane.

RODO w biurze rachunkowym – często słabym ogniwem jest człowiek

Statystycznie istnieje o wiele większa szansa na to, że administrator danych biura rachunkowego zostawi segregator pełen umów z klientami gdzieś w autobusie czy kawiarni, niż jakiś haker uzna, że potrzebuje wrażliwych informacji na temat kontrahentów tej firmy. Najczęściej to właśnie nie program czy urządzenie komputerowe zawodzi, a człowiek.

Stąd też tak ważne jest, aby każdy pracownik, który ma jakąkolwiek styczność z przetwarzaniem danych klientów, był właściwie przeszkolony z ochrony danych osobowych.

Posiadanie odpowiedniej wiedzy jest obowiązkiem nie tylko właściciela biura rachunkowego, ale również jego pracowników. Osoby zatrudnione powinny zatem przejść takie szkolenia z RODO, aby wiedziały, jak się zachować w czasie przetwarzania danych, ich przekazywania innym podmiotom, czy też wycieku lub utraty.

Jest to istotne, bowiem w czasach Internetu jedynie szybka reakcja pozwala na zminimalizowanie strat, a w najlepszym wypadku nawet na ich uniknięcie.

Skrzynka email słabym punktem

Okazuje się, że najsłabszym punktem w procesie ochrony danych osobowych są skrzynki mailowe. Niewłaściwe korzystanie z niej przez administratora danych lub innych osób, biorących udział w procesie przetwarzania danych osobowych,

Podstawą jest silne zabezpieczenie konta do skrzynki. Dobre hasło, dwuetapowe logowanie, niezapisywanie haseł na karteczkach samoprzylepnych i tak dalej.

Wiele problemów sprawia sama korespondencja. To tutaj bardzo często dochodzi do wycieków danych.

Pracownicy beztrosko wysyłają wiadomości do klientów z ważnymi informacjami bez jakiegokolwiek szyfrowania. Nie trzeba, nawet aby takiego maila przechwycił ktoś obcy, wystarczy, aby wykonać błąd podczas wpisywania adresu odbiorcy i kłopot gotowy – niezabezpieczona wiadomość idzie w świat. Wrażliwe dane powinny być zawsze zabezpieczane hasłem.

Niemal każdy program komputerowy służący do pracy biurowej, taki jak Excel, Word, Acrobat Reader, ma zaimplementowaną funkcję zabezpieczenia hasłem.

Praca zdalna przepisem na utratę danych osobowych

Bardzo dużo firm, w tym również biura rachunkowe, dają możliwość pracy zdalnej. Nie zawsze jednak takie przedsiębiorstwa są właściwie przygotowane na tę ewentualność. Dla przykładu nie digitalizują całej dokumentacji składowanej w biurze, przez co pracownik, który wybiera się na kilkudniową pracę z domu, zabiera „papiery” ze sobą.

Tym samym wynosi dane z firmy, a to już jedynie jeden krok od katastrofy. Wystarczy, aby teczka z dokumentami została zgubiona lub skradziona.

Czasami do wycieku informacji wystarczy już włączony laptop w kawiarni, gdzie podejrzeć dane mogą wszyscy klienci tego przybytku. Praca na danych wrażliwych powinna być wykonywana wyłącznie w miejscu do tego przeznaczonym i właściwie zabezpieczonym, inaczej to proszenie się o kłopoty.

Jeżeli już przedsiębiorca zdecyduje się na pracę zdalną, warto aby zadbał o to, aby pracownicy przebywający w pracy poza budynkiem firmy nie stwarzali zagrożenia.

Do tych celów musi on zadbać, aby każdy zatrudniony posiadał sprzęt firmowy, taki jak laptop i telefon. Korzystanie z urządzeń domowych (prywatnych) to rażący błąd. Komputer służbowy powinien być używany wyłącznie do pracy, zabezpieczony przed możliwością ściągania na niego jakichkolwiek plików i programów pochodzących od niesprawdzonych dostawców.

Co więcej, sami pracownicy powinni zostać uświadomieni, że na sprzęcie firmowym oglądanie zdjęć kotów, granie w gry czy ściąganie aplikacji służących do rozrywki jest zabronione. W innym wypadku ciężko zagwarantować bezpieczeństwo danych osobowych klientów.

Artykuł przygotowany przez naszego specjalistę Radosława Pilarskiego