Blog

Instytucja ochrony danych osobowych rozgościła się w Polsce już kilka lat temu. Nadal jednak zdarzają się błędy w jej procedurach. Część z nich ma miejsce w biurach rachunkowych, od których wymaga się szczególnej dbałości o dane osobowe. To im klienci przekazują bowiem informacje nie tylko o sobie, ale też o swoich kontrahentach. Na umowach, rachunkach i fakturach widnieją dane wrażliwe, które nie mają prawa trafić w niepowołane ręce. Każde biuro rachunkowe musi więc zadbać o efektywną ochronę przetwarzanych informacji, mając na uwadze, że niedopełnienie tego obowiązku wiąże się z dotkliwymi karami administracyjnymi. Dowiedz się, jakie błędy w ochronie danych osobowych popełniają biura rachunkowe.

Jakie dane przetwarza biuro rachunkowe?

Danymi osobowymi są wszystkie informacje, które umożliwiają identyfikację danej osoby. Należy podkreślić, że ustawa nie zawiera zamkniętego katalogu takich danych, dlatego biuro rachunkowe każdorazowo i indywidualnie powinno oceniać, czy informacja powierzona przez klienta ma charakter danych osobowych.

Z pewnością do danych objętych ochroną należą: imię i nazwisko, nr PESEL, numer dowodu osobistego, adres zamieszkania, adres e-mail. Powyższe dane zalicza się do tzw. danych zwykłych.

Istnieje jeszcze kategoria danych wrażliwych, do których zalicza się np. informacje o stanie zdrowia. Za przetwarzanie danych osobowych uznaje się wszystkie operacje dokonywane na tych danych, takie jak zbieranie, opracowywanie, zmienianie, udostępnianie, usuwanie i przechowywanie. Wystarczy jedna z tych czynności, aby móc uznać, że nastąpiło przetwarzanie tych danych.

Dla właścicieli biur rachunkowych istotne jest również to, że biuro może przetwarzać dane osobowe wyłącznie w celach uzasadnionych gospodarczo. Nie ma natomiast wątpliwości, że każde biuro rachunkowe przetwarza dane osobowe.

Ochrona danych osobowych w biurze rachunkowym – najważniejsze regulacje

Kwestie związane z ochroną danych osobowych – w tym także w biurach rachunkowych, reguluje ustawa z dnia 10 maja 2018 r., która weszła w życie w związku z implementacją unijnego rozporządzenia o ochronie danych osobowych (RODO). Wspomniany akt bardzo szczegółowo określa zasady, zgodnie z którymi podmioty prowadzące działalność gospodarczą mogą zbierać i przetwarzać dane osobowe. Uregulowane zostały w nim także kwestie dotyczące przesyłania tego typu informacji pomiędzy dostawcami usług, a także procedury informowania w przypadku ich wycieku.

Dlaczego ochrona danych w biurze osobowym jest tak ważna?

Procedura ochrony danych osobowych w biurze rachunkowym jest szczególnie ważna. Podmioty tego typu przetwarzają bowiem wiele wrażliwych informacji. Te mogą dotyczyć np. danych klientów, wartości dokonywanych przez nich transakcji, czy pracowników, jeśli biuro odpowiada również za prowadzenie kadr. Brak odpowiednich procedur może narażać nie tylko na sankcje prawne, lecz również straty wizerunkowe. Przedsiębiorcy, którzy decydują się na korzystanie z outsourcingu księgowego, chcą być traktowani w sposób profesjonalny oraz z zapewnieniem wysokiego poziomu poufności – tak, aby przekazywane przez nich faktury, dokumenty czy inne informacje nie trafiły w niepowołane ręce. Tymczasem w biurach rachunkowych nietrudno o błędy, które mogą nadszarpnąć zaufanie ze strony klienta.

Najczęstsze błędy w procedurze ochrony danych osobowych w biurze rachunkowym

Na dokumentach księgowych zawarte są różnego rodzaju informacje – także te podlegające przepisom RODO. Niestety, procedury ochrony danych osobowych w biurze rachunkowym nie zawsze gwarantują spełnienie wymogów narzuconych przez prawo. Jakie błędy w tym obszarze zdarzają się najczęściej?

Nieodpowiednie przeszkolenie pracowników

Listę błędów biur rachunkowych w ochronie danych osobowych otwiera lekceważące podejście do RODO. Bardzo często ograniczają się one do obowiązkowego wyznaczenia administratora danych i to wyłącznie na nim skupia się proces szkolenia. Tymczasem z procedurami ochrony danych osobowych w biurze rachunkowym powinni zostać zapoznani wszyscy pracownicy. Warto mieć na uwadze, że nawet najlepiej wykwalifikowany inspektor danych osobowych okaże się nieskuteczną ochroną, gdy nieświadomy ryzyka pracownik wyniesie dokumenty z wrażliwymi informacjami i zostawi je bez opieki w miejscu publicznym.

Skrzynka e-mail – luka w ochronie danych osobowych

Często spotykaną luką w ochronie danych osobowych klientów biura rachunkowego są skrzynki e-mail pracowników, które wykorzystuje się do przesyłania dokumentów zawierających poufne informacje bez szyfrowania. Wystarczy, że w adresie odbiorcy pojawi się choćby niewielki błąd, by dokumentacja trafiła w nieodpowiednie ręce. Dane wrażliwe powinny być wysyłane w dokumentach zabezpieczonych hasłem, które do odbiorcy trafi np. w kolejnej wiadomości mailowej lub SMS. Warto też uczulić pracowników na to, by zachowali szczególną ostrożność przy wysyłaniu wiadomości grupowych. Chodzi o to, by w takim przypadku nie wybierać opcji „DO”, przy której każdy z adresatów zobaczy pełną listę adresów pozostałych odbiorców, a część z nich może zawierać imię i nazwisko. W tej sytuacji należy korzystać z opcji „DW”.

Niedbałość o hasła dostępu

Chociaż hasła dostępu potrafią być irytujące i utrudniać codzienne funkcjonowanie, to nie do tego zostały stworzone. Ich przeznaczeniem jest zabezpieczenie wrażliwych danych przed dostępem do nich osób niepożądanych. Nie wystarczy stworzyć silne hasło i wprowadzić je do systemu. Ważne jest, by je zapamiętać. I tu pojawiają się dwa problemy. Jednym z nich jest tworzenie klucza z prostego ciągu znaków, ze złamaniem którego poradzi sobie nawet początkujący „haker”. Drugi to bardzo rozbudowane hasło, którego zapamiętanie okaże się nie lada wyzwaniem dla pracowników. Pomogą im w tym karteczki z zapisanym kluczem, w najlepszym przypadku ukryte pod klawiaturą. Często jednak tego typu notatki są przyklejane do monitora.

Przekazywanie danych wrażliwych

W efektywnej ochronie danych osobowych w biurze rachunkowym kluczowe jest również świadome postępowanie pracowników, gdy zostanie on zapytany o informacje dotyczące danych klienta lub kontrahenta klientów biura. Niedopuszczalne jest, by takie dane zostały przekazane bez uwierzytelnienia rozmówcy. Niestety, bardzo często zainteresowane osoby otrzymują je przez telefon lub mailowo, pozostając zupełnie anonimowymi. Świadomy ryzyka pracownik powinien sprawdzić dane osoby, z którą rozmawia lub poprosić ją o przesłanie oficjalnego zapytania w formie pisemnej.

Brak niszczarek

Szukanie oszczędności nie jest niczym wyjątkowym. Nie powinny one jednak dotyczyć wyposażenia biura rachunkowego w urządzenia do niszczenia dokumentów. Wyrzucanie ich do kosza na śmieci to ogromny błąd w ochronie danych osobowych, który może skutkować nałożeniem kary finansowej i poważnym obciążeniem firmowego budżetu.

Umowa o powierzenie danych osobowych – bardzo ważny dokument!

W interesie każdego biura rachunkowego jest podpisywanie ze swoimi klientami umów o powierzeniu danych osobowych. Brak takiej umowy stwarza dla biura rachunkowego ryzyko przyjęcia statusu administratora danych i zobowiązania do zgłoszenia zbiorów danych osobowych do GIODO. Natomiast posiadanie umowy o powierzenie danych jednoznacznie określa przedsiębiorcę (czyli klienta) jako administratora danych, który na mocy swoich uprawnień upoważnia biuro rachunkowe do przetwarzania ich zgodnie z zawartą umową i w określonym zakresie odpowiedzialności.

Obowiązki biura rachunkowego w zakresie ochrony danych osobowych

Na podstawie umowy o powierzeniu danych, biuro zobowiązane jest do zapewnienia bezpieczeństwa informacji w oparciu o przepisy prawa i wewnętrzne regulacje. W szczególności należy tu brać pod uwagę takie elementy, jak:

Polityka bezpieczeństwa – firmowy dokument zawierający między innymi opis i wykaz zbiorów oraz struktury danych, wykaz pomieszczeń, w których przetwarzane są dane osobowe, sposób przepływu danych między różnymi systemami oraz określenie środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa powierzonych danych.

Instrukcja zarządzania systemem informatycznym zawierająca między innymi:

• procedury nadawania uprawnień do przetwarzania danych ze wskazaniem osoby odpowiedzialnej za te czynności,
• metody i środki uwierzytelniania,
• procedury tworzenia kopii zapasowych i przechowywania elektronicznych nośników informacji,
• przeglądów i konserwacji systemów i nośników, na których są gromadzone dane.

Upoważnienie pracowników do przetwarzania danych

Każda osoba, która w biurze lub w imieniu biura dokonuje operacji na danych osobowych, musi posiadać imienne upoważnienie nadane przez administratora danych, a w przypadku gdy przetwarzanie danych osobowych odbywa się przy użyciu systemu informatycznego, również własny identyfikator, umożliwiający poruszanie się w ramach systemu informatycznego w zakresie określonych uprawnień.

Dane osobowe to niejedyna strata

Można założyć, że RODO jest aktem prawnym, o istnieniu którego wiedzą wszyscy. Niestety, nie brakuje osób i miejsc, w których polityka prywatności nie istnieje, pracownicy korzystają z niezabezpieczonych komputerów, dokumenty z wrażliwymi danymi trafiają na śmietnik, z firm wynoszone są segregatory wypełnione informacjami, a dane osobowe trzymają wysoką cenę na czarnym rynku. Wysoka kara administracyjna to nie jedyna konsekwencja niewdrożenia zasad RODO. Po każdym, nawet najmniejszym wycieku danych, biuro rachunkowe traci swój prestiż i zaufanie klientów.

Polityka ochrony danych osobowych w biurze rachunkowym – dobre praktyki

Biuro rachunkowe, które chce zapewnić wysoki poziom ochrony danych osobowych, powinno pamiętać o wdrożeniu odpowiednich procedur. W pierwszej kolejności trzeba zadbać o spełnienie wymogów narzuconych przez RODO. Te dotyczą między innymi:

• podpisania umowy powierzenia przetwarzania danych osobowych,
• tworzenia kopii zapasowych dla dokumentów przechowywanych w biurze,
• zapewnienia bezpieczeństwa organizacyjnego, poprzez wdrożenie procedur ochrony danych osobowych w biurze rachunkowym,
• zadbanie o właściwą utylizację dokumentów.

źródło: symfonia.pl