W artykule:
Prowadząc nawet najmniejszą działalność gospodarczą stajesz się administratorem danych osobowych - przetwarzasz dane swoich pracowników, klientów, kontrahentów. Korzystając z zewnętrznej księgowości, przynajmniej raz w miesiącu przekazujesz innemu podmiotowi dokumenty zawierające zbiory danych osobowych. Jakie w związku z tym podjąć kroki? Czy w takim wypadku przez biuro rachunkowe powinna ci zostać zaproponowana umowa powierzenia danych osobowych? Sprawdźmy!
Klient biura rachunkowego jako administrator danych osobowych – jakie ma obowiązki?
Obowiązki administratora danych osobowych określone zostały wprost w Rozporządzeniu. Podstawowe zadanie każdego administratora to stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W praktyce oznacza to ochronę przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy a także zabezpieczenie przed zmianą, utratą, uszkodzeniem lub zniszczeniem. W zależności od rodzaju i ilości przetwarzanych danych część administratorów będzie miało obowiązek powołania Inspektora Ochrony Danych Osobowych, prowadzenia rejestru czynności przetwarzania czy też oceny skutków dla ochrony danych (DPIA). Spełnienie podstawowego obowiązku, jakim jest zapewnienie odpowiedniej ochrony gromadzonych danych osobowych, bezwzględnie wymaga zawarcia ze stosownymi podmiotami umów powierzenia przetwarzania danych osobowych oraz udzielenia stosownych upoważnień osobom, które mają dostęp do danych osobowych w przedsiębiorstwie.
Kiedy powierzyć dane osobowe, a kiedy upoważnić do ich przetwarzania?
Umowę przetwarzania danych osobowych podpisuje się, kiedy administrator danych zleca (powierza) przetwarzanie danych zewnętrznemu podmiotowi. Jako przykład można wykorzystać relację klient – biuro rachunkowe.
Z kolei upoważnienie do przetwarzania danych osobowych dotyczy najczęściej osób, które współpracują wewnętrznie z podmiotem będącym administratorem danych. Przykładem może być biuro rachunkowe, które upoważnia do przetwarzania danych między innymi:
-
pracowników,
-
osoby współpracujące na podstawie umowy zlecenie,
-
stażystów,
-
praktykantów.
Warto podkreślić, że osoby te muszą mieć rzeczywisty dostęp do przetwarzanych danych oraz przetwarzać je w określonym celu. Administrator powinien prowadzić ewidencję osób upoważnionych do ich przetwarzania, zawierającą:
-
imię i nazwisko osoby upoważnionej,
-
datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
-
identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Ponadto osoby upoważnione do przetwarzania danych mają obowiązek zachować w tajemnicy, zarówno dane osobowe, jak i sposoby ich zabezpieczenia.
W jaki sposób biuro rachunkowe chroni moje dane osobowe?
Zgodnie z ustawą o ochronie danych osobowych biuro rachunkowe zobowiązane jest podjąć środki zabezpieczające powierzonych mu zbiorów danych poprzez:
-
zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych uwzględniając stopień zagrożeń oraz kategorię danych objętych ochroną,
-
zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
-
prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środki w tym celu zastosowane,
-
wyznaczenie administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony,
-
dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienie,
-
zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane,
-
prowadzenie ewidencji osób upoważnionych do ich przetwarzania.
Umowa powierzenia danych osobowych – kto jest ich administratorem?
Należy pamiętać, że podpisując umowę powierzenia danych nie przenosimy statusu administratora danych na podmiot, któremu je powierzyliśmy. W przypadku podpisania takiej umowy z biurem rachunkowym, oznacza to, że zarówno biuro (jako podmiot uprawniony, któremu powierzono ochronę danych), jak i klient (jako administrator) ponoszą odpowiedzialność za ochronę danych.
Oznacza to, że jako klient biura rachunkowego powinieneś dążyć do podpisania umów powierzenia przetwarzania danych, ponieważ to na tobie spoczywa obowiązek ich ochrony. Biuro rachunkowe z kolei nie powinno odmówić podpisania takiej umowy.