Aby biuro rachunkowe mogło rzetelnie i zgodnie z prawem przetwarzać powierzone mu dane, musi spełniać  wymogi określone w RODO - czyli zastosować odpowiednie środki organizacyjne i techniczne, proporcjonalne do rodzaju i rozmiarów przetwarzania. Czy wiesz, jakie kary grożą biurom rachunkowym za naruszenie ustawy o ochronie danych osobowych?

Biuro rachunkowe jako podmiot przetwarzający dane osobowe – co grozi za naruszenie ustawy o ochronie danych osobowych?

Powierzając swoje dane biurom rachunkowym mamy prawo żądać ich prawidłowego zabezpieczenia. Wskutek nieprawidłowego wdrożenia lub braku procedury ich ochrony biuro rachunkowe może zostać pociągnięte do odpowiedzialności:

  • dyscyplinarnej,

  • administracyjnej,

  • karnej,

  • odszkodowawczej. 

Na czym polega postępowanie dyscyplinarne i administracyjne?

Postępowanie dyscyplinarne to dochodzenie prowadzone przez specjalne komisje, których celem jest ustalenie winy pracownika oraz orzeczenie kary. W praktyce może ono skutkować zwolnieniem danego pracownika z pracy.

Jeśli w twoim biurze rachunkowym stwierdzi się naruszenie ustawy o ochronie danych osobowych, to może skutkować ono również wszczęciem postępowania administracyjnego. W takiej sytuacji organ dokonujący kontroli może skorzystać z dwóch rodzajów narzędzi  naprawczych oraz kar administracyjnych.

Narzędzia naprawcze skatalogowane są w art. 58 RODO. Należą do nich:

a) wydawanie upomnień i ostrzeżeń administratorowi lub podmiotowi przetwarzającemu;

b) uwzględnienie żądań osoby zawartych w skardze;

c) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów, a w stosownych przypadkach wskazanie sposobu i terminu;

e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;

f) wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;

g) sprostowanie lub usunięcie danych osobowych i powiadomienie o tych czynnościach odbiorców;

h) cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;

i) nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

Skorzystanie z powyższych narzędzi przez organ kontrolujący może być bardzo dotkliwe dla biura rachunkowego. Zakaz przetwarzania danych osobowych, choćby czasowy oznacza, że biuro rachunkowe nie mogłoby prowadzić swojej podstawowej działalności.

Równie dotkliwe mogą być kary finansowe.  W przypadku gdy administrator lub podmiot przetwarzający naruszają najbardziej istotne obowiązki, jakie nakłada na nich RODO poprzez:

  • nieprzestrzeganie podstawowych zasad przetwarzania w tym warunków zgody;

  • nieprzestrzeganie praw osób, których dane dotyczą;

  • nieprzestrzeganie regulacji związanych z przekazywaniem danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;

  • nieprzestrzeganie nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania, lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy, lub zapewnienie dostępu skutkującego naruszeniem.

Podmiot  taki zagrożony jest karą do wysokości 20 000 000 EURO, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Co w sytuacji, kiedy w biurze rachunkowym toczy się postępowanie karne?

Dotkliwą karą dla biura rachunkowego za naruszenie ustawy o ochronie danych osobowych jest również postępowanie karne. W zależności od dokonanego czynu konsekwencją może być grzywna oraz ograniczenie wolności lub pozbawienie wolności na okres do 3 lat.

Do działań pracowników biura rachunkowego, które mogą skutkować wszczęciem postępowania karnego należą:

  • przetwarzanie  danych osobowe, choć ich przetwarzanie nie jest dopuszczalne lub dana osoba nie jest uprawniona do ich przetwarzania;

  • naruszanie choćby nieumyślnie obowiązku zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem;

  • utrudnianie lub udaremnianie kontroli przestrzegania przepisów o ochronie danych osobowych.

Zarówno postępowanie administracyjne, jak i karne może okazać się dotkliwe dla niefrasobliwych biur rachunkowych. Wymierzone sankcje finansowe mogą być bardzo odczuwalne. Ogromny wpływ na funkcjonowanie biura mogą mieć również narzędzia naprawcze, po które może sięgnąć organ. Dla poszczególnych pracowników/właścicieli biur przestrogą powinna być również grożąca kara ograniczenia lub pozbawienia wolności. Katalog kar, które grożą w przypadku naruszenia przepisów o ochronie danych osobowych, może działać na wyobraźnię podmiotów, które w codziennej pracy mają do czynienia z danymi osobowymi. Takimi podmiotami bez wątpienia są biura rachunkowe. W praktyce jednak biura, które rzetelnie i odpowiedzialnie wykonują swoją pracę, nie powinny się obawiać. Obowiązek chronienia przetwarzanych danych nie powstał wraz z wejściem RODO, a przestrzeganie poprzednio obowiązujących przepisów na pewno ułatwiło dostosowanie się do nowych regulacji.