Niezależnie od tego, czy księgowi i doradcy podatkowi prowadzą jednoosobową działalność gospodarczą czy dużą firmę, powinni do 25 maja br. odpowiednio przygotować się do stosowania unijnego rozporządzenia o ochronie danych osobowych (RODO).
Regulacje te z jednej strony znoszą niektóre dotychczasowe obowiązki (np. obowiązek zgłaszania zbioru danych osobowych do GIODO, posiadania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym), z drugiej jednak nakładają na administratorów nowe (m.in. informacyjne czy prowadzenie rejestru czynności przetwarzania danych).
Od czego zacząć
Profesjonaliści w pierwszej kolejności powinni zastanowić się, jakie kategorie danych są przechowywane i przetwarzane w ich firmie oraz czy zastosowane przez nich środki służące zabezpieczeniu danych osobowych są wystarczające i adekwatne do występującego ryzyka naruszeń.
Należy brać pod uwagę zarówno dane osobowe w formie papierowej, jak również te znajdujące się w różnych systemach informatycznych (np. komputerach, dyskach przenośnych, serwerach poczty e-mail, telefonach).
Przykładowe czynności związane z przetwarzaniem danych w biurach rachunkowych to rekrutacja pracowników, świadczenie usług doradztwa podatkowego, prowadzenie obsługi kadrowo-płacowej klienta.
Odpowiednie zabezpieczenie
Doradcy podatkowi oraz podmioty prowadzące biura rachunkowe muszą odpowiednio zabezpieczyć dane osobowe, których są administratorem. RODO nie zawiera w tym względzie gotowych wytycznych. Jako przykłady podaje m.in. pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.
Każdy administrator powinien sam zadecydować, jakie środki bezpieczeństwa zastosować, uwzględniając m.in. zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Ważne jest, aby w razie kontroli móc wykazać, że przetwarzanie odbywało się zgodnie z nową regulacją RODO.
Środki techniczne to zarówno środki ochrony fizycznej (odpowiednie zabezpieczenie pomieszczeń, w których przetwarzane są dane osobowe, np. przez zastosowanie alarmów, kluczy w drzwiach, zamków w szafach itp.), jak i dotyczące infrastruktury informatycznej i telekomunikacyjnej, a także środki w ramach stosowanych programów i baz danych (np. stosowanie haseł do komputera, szyfrowanie, oprogramowanie antywirusowe i firewall, antyspam, IPS, tworzenie kopii zapasowych danych itp.).
Przygotowanie pracowników
Nawet najlepsze zabezpieczenie techniczne nie zagwarantuje bezpieczeństwa danych osobowych, jeżeli zawiedzie „czynnik ludzki”. Administratorzy danych powinni więc upewnić się, że poziom świadomości zagrożeń wśród ich pracowników jest wystarczający, by zapewnić należytą ochronę danych.
Należy pamiętać, by pracownicy mający dostęp do danych osobowych otrzymali stosowne upoważnienia określające zakres uprawnień. Ponadto pracodawca będzie musiał prowadzić rejestr takich upoważnień.
Należy również poinstruować pracowników, w jaki sposób powinni postępować z danymi osobowymi, np. przypominając im, że nie powinni udostępniać ich podmiotom nieupoważnionym, a przed wyjściem z pracy powinni zabezpieczyć dokumenty, chowając je np. w zamykanej szafie, sejfie lub szufladzie (tzw. polityka czystego biurka).
Wprawdzie RODO nie nakłada wprost obowiązku przeszkolenia pracowników z zakresu przepisów o ochronie danych osobowych, ale dla własnego bezpieczeństwa administrator powinien to zrobić.
Obowiązki informacyjne
Podstawą do przetwarzania danych osobowych może być np. zgoda osoby, której dane będą przetwarzane. Przy pozyskiwaniu takich zgód biuro rachunkowe powinno stosować klauzule informacyjne zgodne z RODO. Osoby wyrażające zgodę muszą więc być poinformowane o konkretnym, uzasadnionym prawnie celu przetwarzania danych oraz o przysługujących im prawach, m.in. do dostępu do danych, sprostowania, przeniesienia do innego podmiotu lub wykasowania danych (tzw. prawie do bycia zapomnianym).
Umowa o powierzeniu przetwarzania
Biura rachunkowe i kancelarie doradców podatkowych nierzadko występują w charakterze tzw. podmiotu przetwarzającego, tj. takiego, który przetwarza dane osobowe w imieniu klienta (administratora danych). Dzieje się tak wtedy, gdy klienci przekazują dane osobowe np. swoich pracowników, klientów, kontrahentów (osób fizycznych). W tego typu sytuacji niezbędne będzie zawarcie umowy o powierzeniu przetwarzania danych osobowych. Wymóg ten nakładały również polskie przepisy, jednak RODO rozszerza obowiązkowe elementy takiej umowy.
Doradca podatkowy czy księgowy może występować również w charakterze podmiotu powierzającego dane osobowe, których jest administratorem, podmiotowi trzeciemu (np. korzystając z usług firmy informatycznej czy zlecając niszczenie dokumentów). Wówczas również będzie konieczne zawarcie umowy o powierzeniu przetwarzania danych osobowych.
Pozostała dokumentacja
Dotychczasowe przepisy nakładały na wszystkich administratorów obowiązek posiadania polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Zgodnie z nowymi regulacjami co do zasady nie będzie żadnego wykazu dokumentów obligatoryjnych. RODO nie przewiduje również stosowania żadnych konkretnych rozwiązań lub procedur. Decyzja o podjęciu określonych działań pozostaje w gestii administratora danych lub podmiotu przetwarzającego. Jeżeli biura rachunkowe miały dotychczas wymagane dokumenty, warto z nich nadal korzystać, oczywiście po ich uaktualnieniu i dostosowaniu do RODO.
Rejestr czynności przetwarzania danych
RODO wymaga, aby rejestr czynności przetwarzania danych był prowadzony przez podmioty zatrudniające ponad 250 osób lub gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. Rejestr należy prowadzić również wtedy, gdy przetwarzanie danych przez ich administratora nie ma charakteru sporadycznego lub obejmuje dane wrażliwe.
W praktyce w większości przypadków księgowi i doradcy podatkowi będą musieli taki rejestr prowadzić – w formie pisemnej lub elektronicznej. Elementy, które powinny się w nim znaleźć, zawiera art. 30 RODO.
Co istotne, obowiązek prowadzenia rejestru może dotyczyć zarówno administratora danych osobowych, jak i podmiotu przetwarzającego.
Zgłaszanie naruszeń
Administratorzy danych powinni też wdrożyć rozwiązania umożliwiające zgłaszanie incydentów bezpieczeństwa danych osobowych. Należy pamiętać, że naruszenie bezpieczeństwa danych osobowych to nie tylko „wyciek” danych i udostępnienie ich osobom nieupoważnionym, ale również przypadkowe ich zniszczenie czy utrata. O każdym tego typu incydencie administrator będzie musiał poinformować organ nadzorczy (obecnie jest nim Generalny Inspektor Ochrony Danych Osobowych, a będzie prezes Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od stwierdzenia naruszenia. Trzeba będzie też prowadzić specjalny rejestr zaistniałych naruszeń.
Inspektor ochrony danych
Inspektor ochrony danych jest odpowiednikiem obecnego administratora bezpieczeństwa informacji (ABI). Księgowi i doradcy podatkowi powinni przeanalizować, czy ze względu na charakter przetwarzania danych oraz specyfikę ich biura powinni powołać IOD u siebie w firmie (art. 37 ust. 1 RODO). Małe i średnie biura rachunkowe najczęściej jednak tego obowiązku mieć nie będą.
Przy wdrażaniu RODO do kancelarii doradców podatkowych pomocny będzie również informator opracowany przez Krajową Izbę Doradców Podatkowych.