RODO w biurze rachunkowym jest szczególnie ważne z uwagi na dwojaki charakter. Zgodnie z ustawą o ochronie danych osobowych biuro rachunkowe jest administratorem danych np. swoich klientów i zatrudnianych pracowników, a z drugiej strony jest również podmiotem przetwarzającym dane kontrahentów, które otrzymał od swoich klientów w postaci faktur, rachunków, umów, czy dokumentów związanych z zatrudnieniem pracowników.
Pełnienie tych dwóch ról nakłada na biura rachunkowe specyficzne obowiązki związane z przetwarzaniem danych osobowych. Zgodnie z nowymi regulacjami ich przetwarzanie nie może odbywać się bez podstawy prawnej. Co więcej za ich prawidłowe zabezpieczenie odpowiadają właśnie księgowi.
Przepisy RODO jasno wskazują, że przetwarzanie danych osobowych jest zgodne z prawem tylko wtedy, gdy istnieją ku temu określone warunki. Artykuł 6 RODO wskazuje podstawy do przetwarzania danych, takie jak:
- zgoda osoby, której dane dotyczą (np. zgoda telemarketingowa);
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą;
- konieczność wypełnienia obowiązku prawnego ciążącego na administratorze danych;
- potrzeba ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
- realizowania zadania w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- realizacja celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią
Jakie dane RODO w biurze rachunkowym powinno się chronić?
Chronić należy dane identyfikujące (imię i nazwisko) lub kontaktowe (imienny adres e-mail lub numer telefonu komórkowego) konkretnej osoby reprezentującej dany podmiot.
Podkreślić należy że chodzi tylko i wyłącznie o dane osób fizycznych:
- pracowników zatrudnionych na umowę o pracę,
- osób zatrudnionych na umowę zlecenie, umowę o dzieło,
- dane na fakturach wystawione przez osoby fizyczne prowadzące działalność gospodarczą, pomimo wpisania do publicznego rejestru CEiDG,
- wspólnicy spółek osobowych (np. spółka partnerska, spółka jawna, spółka komandytowa)
Dane osób prawnych czyli spółek kapitałowych, jednostek samorządu terytorialnego, wspólnot mieszkaniowych, stowarzyszeń, czy fundacji nie podlegają ochronie danych osobowych. A zatem posiadając dane identyfikujące (nazwa, firma), rejestrowe (NIP, REGON, KRS, adres siedziby) lub kontaktowe (numery telefonów czy ogólne adresy e-mail) podmiotów, które nie są osobami fizycznymi (czyli ludźmi) – nie przetwarzamy danych osobowych.
Obowiązki RODO w biurze rachunkowym
Zgodnie z RODO biuro rachunkowe powinno:
- zawrzeć umowę powierzenia przetwarzania danych danych osobowych na zlecenie innych podmiotów. Taka umowa powinna być podpisana przed rozpoczęciem przetwarzaniem danych
- stworzyć politykę ochrony danych osobowych
- stworzyć procedurę wykonania obowiązków związanych ze zgłaszaniem naruszeń ochrony danych i ewidencjonowaniem naruszeń
- powinien prowadzić rejestr kategorii przetwarzania oraz rejestr czynności przetwarzania
- zastosować środki techniczne jako zabezpieczenia danych tj, szafy, niszczarki, zabezpieczenia informatyczne
- udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia IOD
- stworzyć odpowiednie klauzule informacyjne podczas rekrutacji oraz zatrudnienia pracowników
- przeprowadzenie szkolenia wewnątrz biura rachunkowego aby każdy z pracowników był świadomy procedur
Lista dokumentów jest dosyć długa, dlatego warto powierzyć ten temat profesjonalistom.
Kalkulatorksięgowy.pl wraz z radcą prawnym specjalizującym się w tematyce RODO od lat, przygotował dwa pakiety dokumentów dla biura rachunkowego:
1. Pakiet RODO podstawowy w cenie 800 złotych netto
Czy zgodnie z RODO biuro rachunkowe powinno wyznaczyć inspektora ochrony danych (IOD)?
Przepisy RODO wskazują trzy sytuacje, w których wyznaczenie IOD przez administratora danych osobowych lub podmiot przetwarzający jest obligatoryjne:
- przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, ze względu na swój charakter, zakres lub cele i wymagają systematycznego monitorowania osób. Mowa tu o podmiotach, których dane przetwarzane są na dużą skalę;
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych
Do szczególnych kategorii danych osobowych można zaliczyć m.in. dane dotyczące zdrowia, poglądy polityczne, przekonania religijne czy dane biometryczne.
W pozostałych przypadkach zatrudnienie IOD nie jest obowiązkowe.
Ponadto w sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia IOD, zaleca się udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia IOD.
Kontrola RODO w biurze rachunkowym
Możemy wyróżnić dwa rodzaje kontroli prowadzonych przez organ nadzorczy:
- kontrola planowa, realizowana na podstawie publikowanego na początku każdego roku tzw. planu sektorowych kontroli UODO – prowadzone są zazwyczaj w siedzibie administratora;
Brak opublikowanego planu na rok 2021.
Ostatni sektorowy plan kontroli opublikowano na rok 2020
(https://uodo.gov.pl/pl/138/1302)
- kontrola doraźna, będąca wynikiem złożonej na administratora skargi o naruszenie przepisów ochrony danych osobowych – taka kontrola najczęściej ma charakter korespondencyjny i obejmuje wymianę pism oraz dowodów dokumentujących naruszenie.
Jakie grożą kary za nie przestrzeganie RODO?
Wysokość kar, jakie wprowadziło RODO, zmroziła krew w żyłach administratorów przetwarzających dane. Zgodnie z artykułem 83 RODO kary mogą sięgać nawet 200 mln EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Na szczęście w Polsce Prezes UODO nie odważył się nakładać tak wysokich kar ale i tak są one dotkliwe.
Poniżej przykłady spółek, na które nałożono kary w ostatnim okresie:
- Spółka P4 z karą w wysokości 100 tys. złotych za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych (https://www.uodo.gov.pl/decyzje/DKN.5131.10.2020)
- Główny Geodeta Kraju z karą w wysokości 100 tys. złotych. Powód: naruszenie zasady zgodności z prawem przetwarzania danych osobowych oraz udostępnianie danych osobowych w sposób umyślny bez podstawy prawnej na portalu GEOPORTAL2 (https://uodo.gov.pl/decyzje/DKN.5112.13.2020)
- Funeda Sp. z o.o. z karą w wysokości 22 tys. złotych. Powód: brak współpracy z Urzędu Ochrony Danych Osobowych w ramach wykonywania przez organ nadzorczy zadań (https://www.uodo.gov.pl/decyzje/DKE.561.25.2020)
- PNP S.A. z karą w wysokości 22 tys. złotych. Powód: brak współpracy z organem nadzorczym oraz niezapewnienie dostępu do wszelkich informacji niezbędnych do realizacji przez UODO zadań (uodo.gov.pl/decyzje/DKE.561.23.2020)
Nie warto ryzykować, zostaw to nam!
