20-06-2018, 00:00
Biuro rachunkowe, zarówno jako administrator danych, jak i procesor, jest zobowiązane zastosować odpowiednie środki bezpieczeństwa i przestrzegać zasad i przepisów dotyczących ochrony danych. Generalnie za bezpieczeństwo swoich danych zawsze odpowiada administrator, ale nie wyłącza to odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z taką umową.
Biuro odpowiada więc za swoje dane, np. swoich pracowników, ale przede wszystkimza dane powierzone przez innych administratorów. Kwestie te reguluje art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO. „Aby zapewnić przestrzeganie wymogów niniejszego rozporządzenia w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania” (motyw 81 RODO).
Zapewne więc coraz częściej duże kancelarie będą sprawdzane i odpytywane na okoliczność stosowania odpowiednich środków bezpieczeństwa przez wymagających klientów. W tym celu stosowane są różne ankiety analityczne lub wręcz audyty przeprowadzane przed rozpoczęciem współpracy. Na pewno też aktualnie obowiązujące umowy powierzenia przetwarzania danych powinny być aneksowane, uzupełniane o wymogi z art. 28 RODO. Niektórzy wróżą przez to upadek małych, zwłaszcza jednoosobowych czy rodzinnych biur rachunkowych. Nie jest to jednak przesądzone. Każde biuro na pewno stosuje jakieś środki bezpieczeństwa. Nikt nie chce i nie może sobie pozwolić na to, aby cenne dane wyciekły, zostały skradzione czy w inny sposób dostały się do nieuprawnionych osób. RODO nie wskazuje żadnych konkretnych rozwiązań, nie narzuca określonych środków bezpieczeństwa. Mają być one odpowiednie, adekwatne do ilości i jakości gromadzonych danych, zagrożeń, jakie mogą towarzyszyć przetwarzaniu. W inny sposób i inne środki zastosuje osoba fizyczna prowadząca działalność gospodarczą mająca dane na jednym laptopie, a inaczej kancelaria zatrudniająca wielu pracowników, posiadająca rozbudowaną infrastrukturę informatyczną. Dlatego RODO opiera się praktycznie w całości na analizie ryzyka.
Każdy administrator i podmiot przetwarzający powinien zidentyfikować zagrożenia mogące wystąpić w określonym procesie przetwarzania danych osobowych i podjąć właściwe, według siebie, środki zaradcze, aby zminimalizować prawdopodobieństwo wystąpienia konkretnego problemu, ryzyka, a także ewentualne skutki. Wykorzystuje się do tego różne metodologie i procedury. Można skorzystać z norm ISO 27005, ISO 31000 oraz ISO/IEC 29134. To jednak nieco skomplikowane metody i warto wypracować możliwie najprostszą i skuteczną. Nigdy nie może paść zarzut, że ma się złą politykę zarządzania ryzykiem. Można co najwyżej zarzucać jej brak.
Wystarczy więc, że
Analiza ryzyka powinna wynikać z przyjętej i wdrożonej do stosowania wewnętrznej polityki bezpieczeństwa informacji, ze szczególnym uwzględnieniem ochrony danych osobowych. Nie musi to jednak być, a wręcz nie powinien, nadmiernie rozbudowany dokument. Na taką politykę składają się różne instrukcje, rejestry, procedury. RODO nie wymaga tak szczegółowych zapisów jak dotychczasowa ustawa o ochronie danych osobowych.
Więcej przeczytasz w pełnej wersji komentarza, który znajdziesz w programie LEX Biuro Rachunkowe.
Artykuł został dodany przez firmę
Inne publikacje firmy
Podobne artykuły
Komentarze