Obowiązki biur rachunkowych wynikające z ustawy o ochronie danych osobowych

GIODO_PR

(…) trzeba zdawać sobie sprawę z tego, że jeżeli wydamy decyzję zakazującą biuru rachunkowemu przetwarzania danych, to tym samym zakażemy mu działalności (…) 

Powiedział dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Danych Osobowych (GIODO) w wywiadzie stanowiącym część artykułu opublikowanego w Dzienniku Gazecie Prawnej w dniu 23 stycznia 2013 roku pt. „Biura rachunkowe w rękach GIODO”.

Zgodnie z ustawą o ochronie danych osobowych, każde przedsiębiorstwo zatrudniające choćby 1 pracownika lub przetwarzające inne dane osobowe, np. powierzone Biurom Rachunkowych dane rozliczeniowe Klientów, musi dysponować odpowiednią dokumentacją spełniającą wymogi rozporządzenia do art. 39a, ustawy o ochronie danych osobowych, a jej brak może łączyć się z karami od 10.000 do 50.000 zł za każde uchybienie w związku z niewykonaniem decyzji. Aby spełnić wymogi ustawy, można skorzystać z zestawu dokumentacji  przetwarzania danych RBDO.

Od 2013 roku, na mocy porozumienia z dnia 14 grudnia 2012 roku pomiędzy GIODO a Państwową Inspekcją Pracy – prawidłowość przetwarzania danych osobowych w firmach, będą sprawdzać także inspektorzy PIP (to blisko 90.000 kontroli rocznie), należy zatem przypuszczać, iż znacznie zwiększy się liczba kontroli zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych. W nadchodzącym 2014 roku PIP przewiduje przeprowadzenie 88 tys. kontroli!

Należy zauważyć, że niezastosowanie się do przepisów ustawy w wielu przypadkach może oznaczać popełnienie przestępstwa zagrożonego karą nawet do 2 lat pozbawienia wolności (art. 49 ust. 1 ustawy o ochronie danych). Odrębną kwestią pozostaje groźba wymierzenia grzywn przymuszających w wysokości do nawet 50.000 zł (w trybie przepisów ustawy o postępowaniu egzekucyjnym w administracji) za niezastosowanie się do decyzji administracyjnej GIODO. Jak podaje GUS, w Polsce funkcjonuje 42 718 biur rachunkowych [1].

Według informacji podawanych przez „Dziennik Gazeta Prawna” szacuje się, że biura rachunkowe obsługują ok. 1,5 mln przedsiębiorstw, a większość z nich, z uwagi na zatrudnianie pracowników, musi spełniać wymagania nałożone przez Ustawę o Ochronie Danych Osobowych. Tymczasem szacuje się, że jedynie ok. 20 % biur rachunkowych spełnia ustawowe wymagania przetwarzania powierzonych danych osobowych.

Wykrycie przez wyżej wymienione organy nieprawidłowości w zakresie przetwarzania danych osobowych, może skutkować nie tylko wydaniem decyzji nakazującej zaprzestanie przetwarzania danych osobowych – co w praktyce oznacza brak możliwości prowadzenia dotychczasowej działalności przez firmę, ale także koniecznością skierowania przez inspektorów GIODO zawiadomienia o popełnianiu przestępstwa polegającego na np. przetwarzaniu danych osobowych przez osobę nieuprawnioną, lub poza trybem przewidzianym w ustawie, co jest zagrożone karą pozbawienia wolności do lat 2  (art. 49 ust. 1 ustawy o ochronie danych osobowych).

W związku z powyższym warto podsumować obowiązki przedsiębiorców w zakresie prawidłowości przetwarzania danych osobowych. Należy zauważyć, że w przypadku w którym pracodawca powierza dane osobowe swoich pracowników w celu prowadzenia rozliczeń biuru rachunkowemu, to nadal pozostaje on administratorem powierzonych danych osobowych– konieczne jest zawarcie w takim przypadku  z prowadzącym rachunkowość biurem umowy powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy o ochronie danych osobowych. Dzieje się tak dlatego, ponieważ biuro rachunkowe w celu świadczenia tego typu usług uzyskuje dostęp do danych osobowych pracowników zatrudnionych u rozliczanych przez siebie klientów.

Oznacza to, że zarówno przedsiębiorca będący pracodawcą, jak i obsługujące go biuro rachunkowe muszą posiadać wymaganą przez ustawę o ochronie danych osobowych dokumentację przetwarzania danych osobowym (Politykę Bezpieczeństwa oraz Instrukcję Zarządzania Systemem Informatycznym w którym przetwarzane są dane osobowe, wraz innymi koniecznymi załącznikami o których mowa w rozporządzeniu do art. 39a ustawy) oraz stosować określone dokumentacji środki bezpieczeństwa. Sam obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych nie oznacza jednak, iż wymagane jest utworzenie odrębnego dokumentu – klauzulę spełniającą wymagania art. 31 ustawy można zawrzeć bezpośrednio w standardowej umowie, jaką biuro księgowe zawiera ze swoimi klientami, najistotniejszym wymaganiem jakie musi spełniać taka klauzula, to określenie zakresu oraz celu przetwarzania posiadanych danych – należy także pamiętać, że ustawa bezwzględnie wymaga by określenie zakresu oraz celu przetwarzania danych miało formę pisemną – ograniczenie się zatem do ustnego ustalenia  zakresu oraz celu przetwarzania danych będzie oznaczać brak podstawy prawnej do dostępu biura rachunkowego do danych osobowych pracowników lub klientów obsługiwanego podmiotu a jednocześnie przekazanie przez pracodawcę danych osobowych podmiotowi nieuprawnionemu – co związane jest z ryzykiem odpowiedzialności karnej na podstawie przepisów zawartych w rozdziale 8 ustawy o ochronie danych osobowych.

Zakres oraz sposób prowadzenia dokumentacji określa rozporządzenie wykonawcze do art. 39a ustawy o ochronie danych osobowych – najistotniejszymi dokumentami określonymi w wyżej wspomnianym rozporządzeniu są: Polityka Bezpieczeństwa oraz Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych. Co prawda drugi z wymienionych dokumentów jest obowiązkowy jedynie w sytuacji, gdy dane osobowe przetwarzane są w systemie informatycznym – jednak dziś trudno wyobrazić sobie firmę, która w swojej działalności nie korzystałaby z komputerów, zatem z praktycznego punktu widzenia, każde biuro rachunkowe powinno posiadać sporządzone zgodnie z wytycznymi określonymi w rozporządzeniu do art. 39a ustawy o ochronie danych osobowych oba wyżej wymienione dokumenty (wraz z wszelkimi koniecznymi załącznikami).

Dysponując treścią rozporządzenia każdy przedsiębiorca może sam zadecydować: sporządzać wymaganą dokumentacje samemu, czy też skorzystać z gotowej do wypełnienia dokumentacji przygotowanej przez wyspecjalizowane firmy. Biorąc pod uwagę znaczny stopień skomplikowania zagadnień prawnych związanych z ochroną danych osobowych – zaleca się skorzystanie z drugiego ze wskazanych rozwiązań.

[1] Dane GUS za I kwartał 2011 r.

Źródło: 
W przypadku cytowania artykułu prosimy o bezwzględne zamieszczenie poniższych danych:
Wszelkie Prawa zastrzeżone
RBDO.PL - Rejestracja Baz Danych Osobowych
www.rbdo.pl

Promocje

KOMPLETNA DOKUMENTACJA Z INSTRUKCJĄ ZGŁOSZENIA ZBIORU DO GIODO – 199 ZŁ +23% VAT
199 PLN 699 PLN

DOKUMENTACJA PRZETWARZANIA DANYCH OSOBOWYCH DLA FIRM, SZKÓŁ, ORGANIZACJI - 99 NETTO +23%VAT
99 PLN 399 PLN

PAKIET USŁUG „RAZEM TANIEJ”. 1. DOKUMENTACJA PRZETWARZANIA DANYCH 2. AUDYT i REJESTRACJA BAZ DO GIODO - 699 zł netto (+23% VAT)
699 PLN 1499 PLN

Infolinia RBDO

Jeśli mają Państwo pytania dotyczące oferty zapraszamy na infolinię, pon.- pt. w godz. 9 -17, tel.: +48 (22) 487 86 70 Sprzedaż:biuro@rbdo.pl Dział Prawny: faq@rbdo.pl

Copyright © 2013 RBDO.pl. All rights reserved
Realizacja: Interactive Art