Rozporządzenie o ochronie danych osobowych (RODO) wejdzie w życie 25 maja 2018 r. Nowe przepisy będą dotyczyć wszystkich podmiotów przetwarzających dane osobowe w związku z prowadzoną działalnością gospodarczą, w tym także świadczeniem usług rachunkowych. W opracowaniu przedstawiamy, jak powinno wyglądać prawidłowe wdrożenie nowej polityki ochrony danych osobowych w biurze rachunkowym, tak by było zgodne z postanowieniami RODO. Celem publikacji jest ułatwienie biurom rachunkowym realizacji tego zadania.
RODO, zwane także GDPR lub Ogólnym Rozporządzeniem o Ochronie Danych, to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie weszło w życie 17 maja 2016 r. i zastąpiło Dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dalej: dyrektywa).
RODO chroni szeroko pojęte dane osobowe (od danych kontaktowych po dane biometryczne) i zaczyna obowiązywać bezpośrednio w krajowych porządkach prawnych krajów UE (w tym i w Polsce) od 25 maja 2018 r. Przypominamy, że biuro rachunkowe zatrudniające choćby jednego pracownika lub posiadające w jakiejkolwiek formie dane klientów będących osobami fizycznymi przetwarza dane osobowe. Biura, działając jako administratorzy danych lub przetwarzający, podlegają ustawie o ochronie danych osobowych (dalej: ustawa) i RODO. Przepisom RODO nie podlegają jedynie dane przetwarzane przez osoby fizyczne "wyłącznie w celach osobistych lub domowych".
Biura rachunkowe będące dotychczas administratorami danych osobowych lub podmiotami przetwarzającymi dane, podlegają tak jak dotychczas unijnym regulacjom w zakresie ochrony danych osobowych. Nowość stanowi to, że regulacje RODO stosowane będą do nich bezpośrednio. Ustawodawca określi dodatkowo zasady postępowania w zakresie ochrony danych osobowych w nowej ustawie o ochronie danych osobowych, której projekt trafił właśnie do Sejmu. Ze względu na to, że nowa ustawa ma zacząć obowiązywać już od 25 maja 2018 r., w dalszej części rozważań znajdą się do niej odniesienia.
PRZYKŁAD
Biuro rachunkowe posiada bazę danych klientów, w której są oni identyfikowani jedynie numerami telefonów lub adresami e-mail. W bazie nie ma ich imion, nazwisk lub adresów. Baza ta stanowi zbiór danych osobowych. Numer telefonu czy adres e-mail dają bowiem możliwość określenia tożsamości osób umieszczonych w bazie. Biuro ma zatem obowiązek ochrony tej bazy zgodnie z ustawą o ochronie danych osobowych i postanowieniami RODO. Dotyczy to także bazy adresowej utworzonej na potrzeby newslettera rozsyłanego przez biuro rachunkowe, w której zawarte są jedynie adresy e-mail osób zapisanych na newsletter.
Wdrażając w biurze rachunkowym system ochrony danych osobowych, należy pamiętać o podstawowych zasadach ochrony danych osobowych. Zasady te mają praktyczne zastosowanie, ponieważ procedury danych osobowych służą ich ochronie. Tym samym każde biuro rachunkowe powinno dbać o to, by zasady były realizowane, tym bardziej że za ich nieprzestrzeganie grożą surowe sankcje. Rzetelne biuro rachunkowe powinno zapewnić klientom świadomość, iż przetwarzanie przez nie danych osobowych jest zgodne z zasadami określonymi w rozdziale II i częściowo w rozdziale III RODO.
Zasady ochrony danych osobowych:
Zasada zgodności z prawem - każdy proces przetwarzania danych musi opierać się na co najmniej jednej podstawie prawnej, wskazanej w art. 6 RODO (na ten temat szerzej piszemy w części III pkt 1 opracowania). W większości przypadków biura rachunkowe przetwarzają dane na podstawie umów z klientami i to one są dla nich legalną podstawą przetwarzania danych osobowych.
Zasada rzetelności i prawidłowości - biuro rachunkowe, jak i inni przedsiębiorcy, jako administrator danych osobowych lub ich procesor musi zapewnić, że zgromadzone dane osobowe są poprawne i aktualne. Oznacza to dla nich wiele obowiązków polegających m.in. na wdrożeniu środków technicznych i organizacyjnych, umożliwiających korektę danych, zmniejszenie ryzyka błędów oraz usunięcie nieprawidłowych danych. Należy przy tym pamiętać o prawie osoby, której dane biuro przetwarza do żądania sprostowania i uzupełnienia danych.
Zasada ograniczenia celu - dane osobowe powinny być zbierane jedynie w konkretnym, wyraźnym i prawnie uzasadnionym celu, którego osiągnięcie nie jest możliwe przy użyciu innych sposobów (art. 6 RODO). Zgodnie z tą zasadą biuro rachunkowe powinno określić cel przetwarzania danych w momencie ich pozyskiwania. Należy przy tym pamiętać, że jeśli podstawą przetwarzania danych jest zgoda, to odnosi się ona jedynie do konkretnie wskazanego celu przetwarzania. Natomiast zmiana celu przetwarzania danych osobowych będzie wymagała od biura pozyskania nowej zgody lub zawarcia nowej umowy. Biuro rachunkowe jako administrator danych będzie miało obowiązek informowania osób, których dane są przetwarzane o celach przetwarzania.
Przykład
Biuro rachunkowe jest administratorem danych swoich pracowników. Dane osobowe tych pracowników są przetwarzane w celu realizacji stosunku pracy. Biuro rachunkowe jako pracodawca i płatnik podatków i składek przetwarza te dane w tym celu. Jeżeli biuro miałoby zamiar wykorzystać te dane w innym celu, musiałoby uzyskać zgodę pracowników.
Zasada minimalizacji danych - zakres pozyskiwanych danych musi być adekwatny i ograniczony do minimum niezbędnego dla realizacji wskazanego celu. Minimalizacja może polegać na wyselekcjonowaniu jedynie tych danych, które są potrzebne do danej działalności oraz na ograniczeniu okresu przechowywania danych.
W praktyce realizacja zasady oznacza, że biuro rachunkowe do niezbędnego minimum powinno ograniczyć zakres pozyskiwanych danych i ich przetwarzanie.
Przykład
Biuro rachunkowe prowadzi bazę danych teleadresowych klientów - osób fizycznych. W bazie tej powinny znaleźć się jedynie dane niezbędne do kontaktu z tymi osobami, niewłaściwe by było, gdyby w bazie tej umieszczano dane dotyczące wyznania czy preferencji politycznych tych osób.
Zasady integralności i poufności - przedsiębiorca ma obowiązek przetwarzania danych w sposób gwarantujący odpowiedni poziom bezpieczeństwa. Zasada integralności odnosi się do obowiązku zapewnienia, że dane nie zostały zmodyfikowane, usunięte, dodane czy zniszczone w sposób nieautoryzowany. Tym samym biuro rachunkowe ma zapobiegać sytuacjom, w których dane osobowe są udostępniane lub ujawniane osobom nieupoważnionym (więcej na ten temat w dziale III pkt 3 opracowania).
Zasada rozliczalności - biuro rachunkowe ma obowiązek wykazywania, że stosowane przez nie metody ochrony danych osobowych są zgodne z RODO oraz skuteczne. Temu celowi służy prowadzenie rzetelnej dokumentacji danych osobowych i posiadanie odpowiednich regulacji wewnętrznych (np. polityki bezpieczeństwa czy regulaminu korzystania z systemów informatycznych). Z zasady tej wynika także obowiązek zawiadamiania organu nadzorczego o stwierdzeniu naruszeń danych osobowych. Więcej na temat dokumentacji piszemy w dziale III pkt 4 opracowania
Zasada przejrzystości - wszelkie informacje kierowane przez biuro rachunkowe do osób fizycznych a dotyczące przetwarzania ich danych osobowych powinny być formułowane językiem prostym i przejrzystym. Nadmierne skomplikowanie informacji udzielanej przez biuro rachunkowe nie będzie spełniać wymogów art. 12 RODO.
Biuro rachunkowe najczęściej stanowi zarówno administratora danych osobowych (swoich pracowników i klientów), jak i podmiot przetwarzający dane osobowe dostarczone przez klienta będącego administratorem informacji. Celem biura rachunkowego powinno być niedopuszczenie do udostępnienia czy przejęcia danych przez osoby nieupoważnione, czy do uszkodzenia i zniszczenia danych. Dlatego biura rachunkowe powinny mieć świadomość ciążących na nich obowiązków w zakresie ochrony danych osobowych. Przy tym praktycznie jest przyjąć, że podstawowe obowiązki w zakresie danych osobowych (takie jak obowiązki informacyjneczy obowiązki w zakresie ochrony danych i umożliwienia realizacji praw osobom, których dane są przetwarzane) biura rachunkowe mają niezależnie od swojej wielkości.
Obowiązki biur rachunkowych w zakresie ochrony danych osobowych
Biuro rachunkowe jako administrator lub podmiot przetwarzający dane na zlecenie i w imieniu klienta będącego administratorem danych ma zawsze obowiązek:
Dodatkowo w sytuacjach określonych przepisami biura rachunkowe mogą podlegać dodatkowym obowiązkom:
Wprowadzając surowe sankcje, RODO wymusza na biurach rachunkowych stosowanie lepszych zabezpieczeń dla przechowywania, przetwarzania i usuwania danych osobowych. Nie określa ono przy tym szczegółowo, jakie powinny to być zabezpieczenia. Analiza ryzyka związanego z przetwarzaniem danych będzie nakazywała w niektórych przypadkach np. korzystanie z szyfrowanych baz danych lub przechowywanie danych osobowych na komputerach odciętych od internetu.
Aktualizacja umów w związku z RODO. Biuro rachunkowe, jako podmiot przetwarzający, powinno zadbać, by zawierane przez nie umowy z administratorami danych spełniały wymagania określone w RODO (zob. art. 28 RODO). Umowy powierzenia zawierane przez biura rachunkowe powinny także zawierać oświadczenie klienta, że jest on administratorem danych, które powierza biuru. Biuro z kolei zobowiązywać się powinno w umowie, że będzie przetwarzać powierzone mu dane wyłącznie w celach określonych w umowie.
Przykład
Biuro rachunkowe jako wykonawca zawiera umowy powierzenia przetwarzania danych osobowych ze swoimi klientami. W umowach zawartych przez biuro rachunkowe umieszczono następujące klauzule:
§ …
Powierzenie przetwarzania danych osobowych
Zleceniodawca powierza Wykonawcy, w trybie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE)2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - Dz.Urz. UE L 119, s 1dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
Zleceniodawca oświadcza, że jest Administratorem Danych Osobowych, które powierza Wykonawcy do przetwarzania.
Zleceniodawca powierza Wykonawcy przetwarzanie danych osobowych w zakresie określonym
w niniejszej umowie.
§ …
Zakres i cel przetwarzania danych
1. Wykonawca będzie przetwarzał, powierzone na podstawie umowy, następujące dane osobowe:
1) imiona, nazwisko,
2) adres zamieszkania lub zameldowania,
3) numer telefonu,
4) numer ewidencyjny PESEL,
5) ……………………………….
2. Powierzone przez Zleceniodawcę dane osobowe będą przetwarzane przez Wykonawcę wyłącznie w celu określenia i obliczenia zobowiązań z tytułu podatku dochodowego od osób fizycznych oraz składek na ubezpieczenia społeczne i zdrowotne w sposób zgodny z treścią umowy i jedynie przez czas jej trwania.
Wdrożenie RODO w biurze rachunkowym. Biura rachunkowe w związku z wejściem RODO powinny:
Krok 1. Sprawdzić, czy posiadają dane osobowe legalnie. Jeżeli nie, należy zadbać o legalizację tych danych lub jeżeli nie jest to możliwe, zniszczyć je.
Krok 2. Poinformować osoby, których dane osobowe posiada, o ich prawach, jeżeli wymagają tego przepisy RODO.
Krok 3. Zabezpieczyć posiadane dane osobowe przez m.in. wykluczenie do nich dostępu osób nieupoważnionych. Należy to zrobić w sposób określony nowymi regulacjami. Obejmuje to przechowywanie dokumentów w zabezpieczonych miejscach i przeszkolenie pracowników z regulacji RODO.
Krok 4. Stworzyć dokumentację przetwarzania danych osobowych (składającą się m.in. z polityki bezpieczeństwa).
Krok 5. Należy rozważyć, czy powołać inspektora ochrony danych.
Krok 6. Jeżeli to konieczne, prowadzić wewnętrzny rejestr przetwarzania danych.
Biuro rachunkowe, które otrzyma dane osobowe, może je przetwarzać, tylko jeżeli:
Zgody na przetwarzanie danych osobowych a biura rachunkowe. Biura rachunkowe nie w każdym przypadku muszą pobierać zgodę od osoby fizycznej na przetwarzanie jej danych osobowych. W przypadku gdy istnieje podstawa prawna przetwarzania, pobranie zgody nie będzie konieczne.
Biura rachunkowe muszą dostosować istniejące w nich procedury pozyskiwania zgody na przetwarzanie danych osobowych do przepisów RODO. Formularze zgody powinny być sformułowane jasnym i czytelnym językiem, tj. w sposób zrozumiały dla osoby, której dane chcemy przetwarzać. Zawiłe, nieprecyzyjne i zbyt skomplikowane formularze mogą okazać się wadliwe, a zgoda - uznana za wyrażoną w sposób nieskuteczny. Udzielający zgody na przetwarzanie danych osobowych musi być bowiem świadomy, w jakim zakresie tej zgody udziela. Jeżeli dane osobowe przetwarzane będą w kilku celach, potrzebna będzie zgoda na wszystkie te cele (art. 6 ust 1 lit a RODO).
Przykład
Biuro rachunkowe prowadzi stronę internetową, gdzie potencjalni klienci mogą zostawić dane kontaktowe, np. by zapisać się na newsletter czy otrzymać e-book. Z zebranych w ten sposób danych biuro chce korzystać w celach marketingowych. By było to możliwe bez naruszania zasad RODO, na stronie umieszczono formularz zgody, poprzez który następuje także wypełnienie obowiązku informacyjnego (zob. art. 13 RODO):
Wyrażam zgodę na przetwarzanie danych osobowych zamieszczonych w formularzu kontaktowym przez …………….. (nazwa biura) z siedzibą w …………… (adres firmy) w celu przesyłania treści marketingowych na mój adres e-mail podany w formularzu kontaktowym.
…………. (nazwa biura) informuje, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres e-mail naszego Inspektora Ochrony Danych (e-mail …………) spod adresu którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza kraje członkowskie UE ani udostępniane organizacjom międzynarodowym".
Wyrażenie zgody nie będzie uznane za dobrowolne wtedy, gdy osoba której dane dotyczą, nie będzie miała rzeczywistego lub wolnego wyboru oraz nie będzie mogła odmówić ani wycofać zgody bez niekorzystnych konsekwencji.
Przykład
Biuro rachunkowe, zawierając umowę na dokonanie rozliczenia rocznego, pozyskuje zgodę na przetwarzanie danych osobowych dla celów marketingu, uzależniając od takiej zgody wykonanie swej usługi. Taka zgoda nie jest ważna, ponieważ przetwarzanie danych dla celów marketingu nie jest niezbędne dla wykonania usługi biura.
Zgody będzie można udzielić zasadniczo w każdej formie, również ustnie (przepisy o RODO nie określają bowiem formy wyrażenia tej zgody). Oczywiście w polskim systemie prawnym preferowana jest forma pisemna dla celów dowodowych.
Możliwość wycofania zgody. Osoba, której dane są przetwarzane, ma prawo w dowolnym momencie wycofać udzieloną zgodę. O możliwości wycofania zgody należy poinformować jeszcze przed jej wyrażeniem (np. jako część klauzuli zgody). Wycofanie zgody przez osobę fizyczną musi być równie łatwe jak jej wyrażenie. Jeśli biuro rachunkowe przetwarza te dane lub jest ich administratorem i nie ma innej podstawy przetwarzania (którą może być np. niezbędność dla wykonania umowy), należy zaprzestać przetwarzania danych.
Przetwarzanie danych, którego dokonano na podstawie zgody przed jej wycofaniem, pozostaje zgodne z prawem. Na skutek wycofania zgody dane powinny zostać usunięte ze wszystkich systemów biura rachunkowego.
Biuro rachunkowe jako administrator danych musi pamiętać, że osoby, których dane są przetwarzane, mają określone uprawnienia wymienione w rozdziale III RODO. RODO przyznaje osobom fizycznym, których dane są przetwarzane następujące uprawnienia:
Katalog uprawnień użytkowników (np. klientów lub pracowników biura rachunkowego), którzy uważają, że ich dane przetwarzane są niezgodnie z prawem, obejmuje:
Wszczęcie postępowania sądowego przeciwko administratorowi lub podmiotowi przetwarzającemu dane jest możliwe niezależnie od skarg złożonych do organu nadzoru. W związku z powyższym biuro rachunkowe naruszające zasady ochrony danych osobowych musi liczyć się z realną możliwością poniesienia odpowiedzialności administracyjnej, karnej oraz cywilnej.
Obowiązki informacyjne. Biuro rachunkowe, występując jako administrator podczas pozyskiwania danych osobowych, podaje osobie, której dane przetwarza, wszystkie następujące informacje:
Bardzo praktyczne jest, by informacje o przysługujących prawach były elementem zawieranych przez biuro rachunkowe umów, regulaminów świadczenia usług lub zgód na przetwarzanie danych osobowych.
Przykład
Biuro rachunkowe przetwarza dane wspólników spółki komandytowej na podstawie zawartych z nimi umów. W tym wypadku powinno poinformować ich o szeregu przysługujących im praw, nie zapominając o tym, by informacja ta była czytelna i przejrzysta:
"Biuro rachunkowe …………… z siedzibą w ……………ul. ……………, ..-… ………, jako administrator danych osobowych, informują Pana/Panią, iż:
Tak jak dotychczas przetwarzający dane osobowe mają obowiązek ich zabezpieczenia. Biura rachunkowe powinny jednak zwrócić uwagę, że RODO wymaga więcej od zabezpieczającego.
RODO wymaga, by dla właściwego zabezpieczenia danych przeprowadzić analizę ryzyka właściwego dla przetwarzania danych i charakteru danych podlegających ochronie. Na podstawie przeprowadzonej analizy biuro rachunkowe dostosowuje i wdraża odpowiednie środki techniczne zapewniające zachowanie integralności i poufności danych. Rekomendacje, co do tego, jakie środki techniczne zastosować przy zabezpieczaniu danych osobowych, mają być publikowane w Monitorze Polskim (art. 55 ust. 2 projektu ustawy o ochronie danych osobowych).
Uwaga! Gdy przetwarzanie danych osobowych wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, to przed rozpoczęciem przetwarzania danych należy dokonać tzw. oceny skutków dla ochrony danych (DPIA) - zob. art. 35 RODO. Celem analizy jest także rozstrzygnięcie, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów przetwarzania, oraz zbadanie ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Niedokonanie oceny skutków dla ochrony danych, gdy jest to wymagane, lub niewłaściwe jej wykonanie, a także niewłaściwe działania następcze mogą skutkować nałożeniem kary pieniężnej w wysokości do 10 mln euro (art. 83 ust 4 RODO). Wytyczne do RODO podają, że ocena skutków dla DPIA jest konieczna przykładowo w przypadku dokonywanie oceny zdolności kredytowej przez bank na podstawie historii finansowej. Wytyczne nie odnoszą się niestety do sytuacji podmiotów przetwarzających dane finansowe jak biura rachunkowe. Nie ma zatem pewności, że DPIA ma w tym przypadku zastosowanie. Należy zauważyć, że art. 56 projektu ustawy o ochronie danych osobowych zakłada, że Prezes UODO ogłosi w komunikacie wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Dodatkowo w komunikacie Prezes UODO ma prawo ogłosić także wykaz rodzajów operacji przetwarzania danych osobowych niewymagających oceny skutków przetwarzania dla ich ochrony. Dopiero jak ukażą się te komunikaty, będzie można z pewnością stwierdzić, czy biura rachunkowe będą obciążone tym obowiązkiem.
RODO określa infrastrukturę ochrony danych osobowych, na którą składa się konieczność określenia:
Wdrożenie środków bezpieczeństwa powinno być poprzedzone analizą ryzyka w celu określenia wymaganych środków kontroli. Powyższe wymogi dotyczą również ochrony fizycznej posiadanych aktywów.
Szczegółowe omówienie metod ochrony danych wykracza poza zakres tej publikacji. Co więcej, stosowanie środka ochrony danych powinno być zależne od dokonanej analizy środków. Można jednak zauważyć, że przepisy RODO uogólniły prawne regulacje dotyczące sposobu, w jaki należy zabezpieczać przetwarzane dane. Tym samym to biuro rachunkowe określa we własnym zakresie, jak chroni posiadane dane osobowe i to ono ponosi ryzyko odpowiedzialności za sytuacje, w której poziom ochrony był niewystarczający.
Biuro rachunkowe powinno zorganizować szkolenie dla pracowników, na działalność których przepisy RODO mają wpływ (a więc przede wszystkim - pracowników działów księgowości, marketingu, sprzedaży oraz HR). Jeżeli biuro rachunkowe posiada inspektora ochrony danych, to przeszkolenie pracowników należy do jego zadań (zob. art. 39 RODO). Więcej na temat inspektora ochrony danych piszemy w dziale III pkt 5 opracowania.
Oczywiście pomimo starań biura rachunkowego może dojść do sytuacji, w której wprowadzone zasady ochrony danych osobowych zostaną naruszone. W takim wypadku RODO przewiduje obowiązek administratora danych osobowych poinformowania osoby, której dane zostaną naruszone, że takie zdarzenie miało miejsce. Zgłoszenie o naruszeniu danych osobowych będzie musiało również wpłynąć do organu nadzorczego (po wejściu w życie nowej ustawy o ochronie danych osobowych będzie to Prezes UODO) - jeżeli będzie to możliwe, administrator będzie miał na to 72 godziny. Wytyczne w sprawie RODO przewidują, że jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.
Zgłoszenie naruszenia danych osobowych, musi co najmniej:
W przypadku poniesienia szkody w wyniku naruszenia przepisów RODO (np. wycieku danych) poszkodowany będzie miał prawo uzyskać odszkodowanie.
Przykład
Jeden z pracowników biura rachunkowego wynosił na pendrivie dane osobowe jednego z klientów (osób fizycznych), by pracować z nimi w domu. Stanowiło to naruszenie obowiązującej w firmie polityki bezpieczeństwa. Po zagubieniu pendrive'a dane osobowe klienta zostały użyte w celu wyłudzenia towaru na raty w sklepie internetowym. W tym wypadku biuro może być zobowiązane do pokrycia straty.
Niektóre biura rachunkowe współpracują z centralami lub innymi biurami położonymi w krajach trzecich. W takim wypadku mają zastosowanie szczególne zasady dotyczące przekazywania danych osobowych. RODO zezwala na transfer danych osobowych do państw trzecich co do zasady tylko, gdy państwa te zapewniają adekwatny poziom ochrony. O adekwatności poziomu ochrony danych osobowych decyduje Komisja Europejska. Inne transfery są możliwe po zapewnieniu odpowiednich gwarancji, tj. na podstawie klauzul modelowych, wiążących reguł korporacyjnych, zatwierdzonych kodeksów postępowania oraz jeśli zarówno przekazujący, jak i odbierający dane uzyskali "certyfikat europejskiej ochrony danych osobowych".
RODO przewiduje tu pewne nowe rozwiązanie. I tak, jeżeli przedsiębiorca przetwarza dane osobowe w więcej niż jednym państwie członkowskim, organ nadzoru głównej siedziby przedsiębiorcy będzie właściwy także względem transgranicznego przetwarzania danych i wszystkich obowiązków dla tego podmiotu z zakresu spójności z RODO.
Organy nadzoru z każdego z państw członkowskich pozostaną jednak właściwe w stosunku do skarg składanych przez osoby fizyczne, w odniesieniu do działalności administratora w tym państwie członkowskim.
Powierzenie przetwarzania danych osobowych. Jednym z przejawów zabezpieczenia danych osobowych jest powierzenie ich przetwarzania wyłącznie osobom upoważnionym, zapoznanym z zasadami ochrony tych danych. Administrator danych musi pamiętać, że ich powierzanie osobom nieupoważnionym naraża go na sankcje karne, o których piszemy na końcu publikacji. Administrator danych, działając osobiście lub poprzez osoby upoważnione (jak inspektor ochrony danych), powinien zatem zadbać, by dostęp do danych miały tylko osoby pisemnie upoważnione.
W ramach zachowania szczególnej staranności przy przetwarzaniu danych osobowych warto także zwrócić uwagę na sytuacje, w których powierzamy przetwarzanie zebranych przez nas danych osobowych podmiotom zewnętrznym. Takie powierzenie powinno odbywać się na podstawie umowy powierzenia, która:
● powinna mieć formę pisemną;
● powinna określać zakres i cel przetwarzania danych (art. 28 RODO).
Biuro rachunkowe jako podmiot przetwarzający ma także obowiązek zapewnienia bezpieczeństwa danym i obowiązek udokumentowania tego np. w polityce bezpieczeństwa. Dokumentacja prowadzona przez biuro rachunkowe powinna służyć opisaniu:
Przykładowo dokumentacja ochrony danych osobowych wdrożona w związku z RODO powinna składać się z polityki bezpieczeństwa i następujących załączników:
Na podstawie RODO występujący w niektórych firmach Administratorzy Bezpieczeństwa Informacji (dalej: ABI) zostali zastąpieni przez tzw. inspektorów ochrony danych (ang. DPO, tj. Data Protection Officer) dalej IOD. Jeżeli biuro rachunkowe zdecyduje się na powołanie IOD lub jest do tego zobowiązane, może na to stanowisko powołać członka personelu albo osobę niezatrudnioną w biurze. Warto pamiętać, że IOD ponoszą odpowiedzialność za ewentualne szkody, tak jak inni usługobiorcy lub pracownicy.
Można założyć, że często IOD zostaną osoby pełniące wcześniej funkcję ABI. Jak bowiem przewiduje projekt nowej ustawy o ochronie danych osobowych (dalej: projekt), osoba pełniąca 24 maja 2018 r. funkcję ABI, staje się inspektorem ochrony danych i pełni swoją funkcję do 1 września 2018 r., chyba że przed tym dniem administrator zawiadomi Prezesa UODO o wyznaczeniu innej osoby na inspektora ochrony danych. Osoba, która stała się inspektorem ochrony danych, na podstawie tego przepisu pełni swoją funkcję także po l września 2018 r., jeżeli do tego dnia administrator zawiadomił Prezesa UODO o jej wyznaczeniu (art. 152 ust 1 i 2 projektu).
Przykład
Biuro rachunkowe X nie ma zgodnie z art. 37 RODO obowiązku wyznaczania inspektora ochrony danych (IOD). Jednak na podstawie dotychczas obowiązujących przepisów posiadała administratora bezpieczeństwa informacji (ABI). X może w tym wypadku odwołać z funkcji swego ABI bez zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu innej osoby na IOD (art. 152 ust. 3 projektu).
Przykład
Biuro rachunkowe Y nie wyznaczyło ABI. Tymczasem na podstawie przepisów RODO, które zaczną obowiązywać od 25 maja, ma obowiązek wyznaczenia IOD. W takim wypadku Y ma czas na zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu IOD w terminie do dnia 31 lipca 2018 r. (art. 152 ust. 4 i 5 projektu).
IOD, co do zasady, powoływani są przy przetwarzaniu na dużą skalę danych wrażliwych albo operacjach przetwarzania wymagających monitorowania na dużą skalę osób, których dane dotyczą. Biura rachunkowe po powołaniu IOD mają 14 dni na zgłoszenie go do Prezesa Urzędu Ochrony Danych Osobowych. W zawiadomieniu należy podać imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora (art. 10 projektu).
Biuro rachunkowe, które wyznaczy IOD, udostępnia jego dane niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności (art. 11 projektu).
Kompetencje IOD w porównaniu do ABI zostały poszerzone. W niektórych wypadkach IOD będą wyznaczani przez przedsiębiorców obligatoryjnie. I tak IOD należy wyznaczyć:
Biuro rachunkowe, administrator lub przetwarzający ma zapewnić, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1 RODO). Wyznaczony przez biuro rachunkowe inspektor powinien posiadać kwalifikacje w zakresie ochrony danych osobowych. Biuro ma zapewnić mu warunki działania oraz niezależność. Możliwe będzie wyznaczenie jednego inspektora danych osobowych przez grupę przedsiębiorców, jeśli każdy z przedsiębiorców będzie mógł łatwo nawiązać z nim kontakt.
Inspektor ochrony danych ma następujące zadania:
Korzystną dla przedsiębiorców zmianą jest likwidacja wymogu rejestracji zbiorów danych osobowych w GIODO. Ten obowiązek został zastąpiony obowiązkiem prowadzenia rejestru wewnętrznego operacji przetwarzania danych osobowych, jednak tylko w odniesieniu do niektórych przedsiębiorstw. Obowiązek prowadzenia rejestru wewnętrznego obejmuje przedsiębiorców zatrudniających powyżej 250 pracowników, chyba że przetwarzanie danych niesie zagrożenie dla praw i wolności osób, nie ma charakteru sporadycznego lub obejmuje dane wrażliwe. Na administratorów i podmioty przetwarzające nałożony został obowiązek udostępnienia rejestru na każde żądanie organu nadzoru. Biuro rachunkowe może prowadzić rejestr wyłącznie w formie elektronicznej.
Informacje, jakie zamieszcza się w rejestrze, przedstawiamy w tabeli.
Tabela. Zakres informacji z rejestru wewnętrznego
Dane zawarte w rejestrze | |
administratora | podmiotu przetwarzającego |
| a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych; |
| b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów; |
| c) gdy ma to zastosowanie - przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, dokumentacja odpowiednich zabezpieczeń - w przypadku innych rodzajów przekazań; |
| d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa dotyczących przetwarzania (określonych w art. 32 RODO). |
| |
| |
|
RODO określa maksymalny poziom kar za naruszenia przepisów, które to kary mogą sięgnąć nawet 20 mln euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie, w zależności od tego, która z tych kwot będzie wyższa. Przy tym ta najwyższa kara przewidziana jest także za nieprzestrzeganie nakazów organów nadzorczych (zob. 83 ust. 6 RODO). Naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego podlegają karze pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 4 RODO).
RODO określa także czynniki wpływające na wymiar administracyjnej kary pieniężnej i to, czy zostanie ona nałożona. Czynnikami takimi są np.:
Dla biur rachunkowych z lektury listy tych czynników wynika, że warto wdrożyć odpowiednie procedury dotyczące RODO. Nawet bowiem w przypadku gdy dojdzie do naruszenia ochrony danych osobowych, posiadanie systemu zabezpieczeń może wpłynąć na obniżenie wysokości orzeczonej kary.
Do Sejmu trafił projekt nowej ustawy o ochronie danych osobowych, która ma zastąpić dotychczas obowiązującą ustawę z 29 sierpnia 1997 r., tak by polskie regulacje dotyczące ochrony danych osobowych były zgodne z RODO. Co ważne, ustawa określa zasady prowadzenia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych i kontroli przestrzegania RODO. Nowa ustawa przewiduje między innymi powołanie w miejsce obecnego Generalnego Inspektora Ochrony Danych Osobowych - Prezesa Urzędu Ochrony Danych Osobowych, do którego zadań będzie należało prowadzenie postępowań i kontroli z zakresu RODO. Zgodnie z artykułem 169projektu ma on wejść w życie 25 maja 2018 r. czyli z dniem, od którego zacznie obowiązywać RODO,
Podstawa prawna:
art. 5, 6, 7, 12 - 15, 24, 28, 33 rozporządzenie Parlamentu Europejskiego i Rady (UE)2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - Dz.Urz. UE L 119, s. 1
art. 153 i art. 170 projektu z 16 marca 2018 r. ustawy o ochronie danych osobowych - projekt został skierowany do Sejmu
Marek Smakuszewski
doradca podatkowy, właściciel kancelarii podatkowej, autor licznych publikacji z zakresu prawa podatkowego oraz komentarza do CIT wydanego przez INFOR PL S.A.
Sławomir Biliński
prawnik, redaktor "MONITORA księgowego", ekspert podatkowy, autor licznych publikacji z prawa podatkowego i gospodarczego