rachunkowosc

Szanowny Użytkowniku,

Zanim zaakceptujesz pliki "cookies" lub zamkniesz to okno, prosimy Cię o zapoznanie się z poniższymi informacjami. Prosimy o dobrowolne wyrażenie zgody na przetwarzanie Twoich danych osobowych przez naszych partnerów biznesowych oraz udostępniamy informacje dotyczące plików "cookies" oraz przetwarzania Twoich danych osobowych. Poprzez kliknięcie przycisku "Akceptuję wszystkie" wyrażasz zgodę na przedstawione poniżej warunki. Masz również możliwość odmówienia zgody lub ograniczenia jej zakresu.

1. Wyrażenie Zgody.

Jeśli wyrażasz zgodę na przetwarzanie Twoich danych osobowych przez naszych Zaufanych Partnerów, które udostępniasz w historii przeglądania stron internetowych i aplikacji w celach marketingowych (obejmujących zautomatyzowaną analizę Twojej aktywności na stronach internetowych i aplikacjach w celu określenia Twoich potencjalnych zainteresowań w celu dostosowania reklamy i oferty), w tym umieszczanie znaczników internetowych (plików "cookies" itp.) na Twoich urządzeniach oraz odczytywanie takich znaczników, proszę kliknij przycisk „Akceptuję wszystkie”.

Jeśli nie chcesz wyrazić zgody lub chcesz ograniczyć jej zakres, proszę kliknij „Zarządzaj zgodami”.

Wyrażenie zgody jest całkowicie dobrowolne. Możesz zmieniać zakres zgody, w tym również wycofać ją w pełni, poprzez kliknięcie przycisku „Zarządzaj zgodami”.



Artykuł Dodaj artykuł

Ochrona danych przez biura rachunkowe

Biuro rachunkowe, zarówno jako administrator danych, jak i procesor, jest zobowiązane zastosować odpowiednie środki bezpieczeństwa i przestrzegać zasad i przepisów dotyczących ochrony danych.

Logo Wolters Kluwer

Biuro rachunkowe, zarówno jako administrator danych, jak i procesor, jest zobowiązane zastosować odpowiednie środki bezpieczeństwa i przestrzegać zasad i przepisów dotyczących ochrony danych. Generalnie za bezpieczeństwo swoich danych zawsze odpowiada administrator, ale nie wyłącza to odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z taką umową.

Biuro odpowiada więc za swoje dane, np. swoich pracowników, ale przede wszystkimza dane powierzone przez innych administratorów. Kwestie te reguluje art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO. „Aby zapewnić przestrzeganie wymogów niniejszego rozporządzenia w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania” (motyw 81 RODO).

Zapewne więc coraz częściej duże kancelarie będą sprawdzane i odpytywane na okoliczność stosowania odpowiednich środków bezpieczeństwa przez wymagających klientów. W tym celu stosowane są różne ankiety analityczne lub wręcz audyty przeprowadzane przed rozpoczęciem współpracy. Na pewno też aktualnie obowiązujące umowy powierzenia przetwarzania danych powinny być aneksowane, uzupełniane o wymogi z art. 28 RODO. Niektórzy wróżą przez to upadek małych, zwłaszcza jednoosobowych czy rodzinnych biur rachunkowych. Nie jest to jednak przesądzone. Każde biuro na pewno stosuje jakieś środki bezpieczeństwa. Nikt nie chce i nie może sobie pozwolić na to, aby cenne dane wyciekły, zostały skradzione czy w inny sposób dostały się do nieuprawnionych osób. RODO nie wskazuje żadnych konkretnych rozwiązań, nie narzuca określonych środków bezpieczeństwa. Mają być one odpowiednie, adekwatne do ilości i jakości gromadzonych danych, zagrożeń, jakie mogą towarzyszyć przetwarzaniu. W inny sposób i inne środki zastosuje osoba fizyczna prowadząca działalność gospodarczą mająca dane na jednym laptopie, a inaczej kancelaria zatrudniająca wielu pracowników, posiadająca rozbudowaną infrastrukturę informatyczną. Dlatego RODO opiera się praktycznie w całości na analizie ryzyka.

Każdy administrator i podmiot przetwarzający powinien zidentyfikować zagrożenia mogące wystąpić w określonym procesie przetwarzania danych osobowych i podjąć właściwe, według siebie, środki zaradcze, aby zminimalizować prawdopodobieństwo wystąpienia konkretnego problemu, ryzyka, a także ewentualne skutki. Wykorzystuje się do tego różne metodologie i procedury. Można skorzystać z norm ISO 27005, ISO 31000 oraz ISO/IEC 29134. To jednak nieco skomplikowane metody i warto wypracować możliwie najprostszą i skuteczną. Nigdy nie może paść zarzut, że ma się złą politykę zarządzania ryzykiem. Można co najwyżej zarzucać jej brak.

Wystarczy więc, że

  1. Opiszemy newralgiczne procesy, np. przechowywanie akt osobowych w formie papierowej. Wskażemy istniejące środki bezpieczeństwa – regał w pokoju biurowym, pokój zamykany drzwiami zwykłymi.
  2. Zastanowimy się nad zagrożeniami – sprzątanie po godzinach pracy, przebywanie w pokoju osób postronnych (klientów), oszacujemy ryzyka związane z możliwością podglądu, zabrania przez osobę nieuprawnioną jakichś dokumentów zawierających dane osobowe i określimy skutki dla osoby, której dane mogłyby zostać przypadkowo lub nieprzypadkowo wyniesione, ujawnione. Może z takiej analizy wyniknie potrzeba zainwestowania w zamykane na klucz szafy na dokumenty? Wcale nie trzeba do takiego rozważania używać rozbudowanych arkuszy analitycznych, formuł czy algorytmów. W niedużym biurze może to być odpowiedni protokół ze spotkania poświęconego bezpieczeństwu czy to fizycznemu, czy to informatycznemu, z wykorzystaniem powyżej opisanych rejestrów.

Analiza ryzyka powinna wynikać z przyjętej i wdrożonej do stosowania wewnętrznej polityki bezpieczeństwa informacji, ze szczególnym uwzględnieniem ochrony danych osobowych. Nie musi to jednak być, a wręcz nie powinien, nadmiernie rozbudowany dokument. Na taką politykę składają się różne instrukcje, rejestry, procedury. RODO nie wymaga tak szczegółowych zapisów jak dotychczasowa ustawa o ochronie danych osobowych.

Więcej przeczytasz w pełnej wersji komentarza, który znajdziesz w programie LEX Biuro Rachunkowe.

www.biuro-rachunkowe.lex.pl?utm_source=rachunkowosc.org&utm_medium=artykul &utm_campaign=WKPL_FIR_ACQ_LBR-sprzedaz-05-18-WKC0118008-IEM002_TFM

Artykuł został dodany przez firmę


Inne publikacje firmy


Podobne artykuły


Komentarze

Brak elementów do wyświetlenia.