Sprawdź, co to znaczy w praktyce, że biuro rachunkowe to podmiot przetwarzający

Sprawdź, co to znaczy w praktyce, że biuro rachunkowe to podmiot przetwarzający
Dowiedz się, jakie jednostki są administratorami danych, a które procesorami. Zyskasz nowe umiejętności zawodowe, które wykorzystasz w praktyce.

Sprawdź, co to znaczy w praktyce, że biuro rachunkowe to podmiot przetwarzający

Dowiedz się, jakie jednostki są administratorami danych, a które procesorami. Zyskasz nowe umiejętności zawodowe, które wykorzystasz w praktyce.

Administrator danych to organ, jednostka organizacyjna, podmiot lub osoba fizyczna czy prawna prowadząca działalność gospodarczą, decydujące o celach i środkach przetwarzania danych osobowych. Zatem administratorem danych jest jednostka, gdzie dane osobowe są przetwarzane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, ustawowych. Będzie to więc na przykład spółka reprezentowana przez zarząd, firma prywatna reprezentowana przez właściciela, samorządowa jednostka organizacyjna reprezentowana przez dyrektora czy urząd reprezentowany przez wójta, burmistrza czy ministra itp.

Możemy też śmiało powiedzieć, że każdy pracodawca jest administratorem danych z racji przetwarzania danych swoich pracowników. Natomiast nie każdy administrator danych musi być pracodawcą, chociażby osoba fizyczna prowadząca jednoosobową działalność gospodarczą, na przykład właściciel sklepu internetowego, który nie zatrudnia pracowników, ale przetwarza dane klientów swojego sklepu. Pamiętamy również, że przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach.

Kto jest tzn. procesorem
Natomiast procesor, inaczej „podmiot przetwarzający”, oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Jeżeli więc administrator danych zleca podmiotowi zewnętrznemu przetwarzanie danych, za które odpowiada administrator, dla i w imieniu administratora, to wtedy mówimy o powierzeniu danych do przetwarzania. Podmiot, któremu powierzono dane do przetwarzania, nie jest ich administratorem, nie decyduje, co można z tymi danymi zrobić, nie może ich wykorzystywać do własnych celów. Jest to procesor, który realizuje zadania i cele określone przez administratora danych. Biuro rachunkowe więc jest z jednej strony administratorem danych, bo przetwarza dane swoich pracowników, współpracowników, kontrahentów czy klientów. Z drugiej natomiast strony jest najczęściej procesorem, bo są mu powierzane dane z innych firm, współpracujących z biurem, na przykład w zakresie obsługi księgowo-kadrowej. To te firmy są administratorami danych, a powierzają do zewnętrznego biura rachunkowego dane czy to swoich pracowników, czy dotyczące transakcji, w celu realizacji odpowiednich usług.

Co może podmiot przetwarzający
Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych, ale w drodze umowy zawartej na piśmie. Podmiot przetwarzający (procesor) może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Wobec tego na pytanie, czy pracodawca zlecający podmiotowi zewnętrznemu prowadzenie obsługi księgowej ma również obowiązek zawarcia z nim umowy powierzenia przetwarzania danych osobowych, należy odpowiedzieć twierdząco. Ma taki obowiązek, gdyż wynika to z przepisów prawa, a prowadzenie dokumentacji księgowej wiąże się nierozerwalnie z przetwarzaniem danych osobowych pracowników.

Pracodawca, udostępniając dane osobowe pracowników podmiotowi zewnętrznemu w celu prowadzenia obsługi księgowej swojej dokumentacji, ma obowiązek zawrzeć z nim odrębną umowę powierzenia danych osobowych.

 

Czy musisz podpisać odrębną umowę na przetwarzanie danych
Często pracodawca mylnie uważa, że skoro udzielił podmiotowi zewnętrznemu pełnomocnictwa do jego reprezentowania (np. przed urzędem skarbowym i Zakładem Ubezpieczeń Społecznych) we wszystkich sprawach związanych z prowadzeniem księgowości, to pełnomocnictwo to stanowi podstawę powierzenia przetwarzania danych osobowych. Jest to sprzeczne z art. 31 ustawy o ochronie danych osobowych, a także z art. 28 RODO. Przepisy wyraźnie wymagają, aby umowa powierzenia przetwarzania danych osobowych była odrębną umową. Ewentualnie odpowiednie zapisy regulujące kwestie powierzenia przetwarzania danych powinny być zawarte w umowie głównej na obsługę. Zapisy takie powinny określać co najmniej cel powierzenia, zakres powierzonych danych, zakres czynności wykonywanych na danych, zakres odpowiedzialności procesora, możliwość kontroli przez administratora, sposób postępowania z danymi po wygaśnięciu umowy.

Umowa powierzenia powinna wymagać od procesora stosowania odpowiednich środków bezpieczeństwa dla ochrony powierzonych danych.

Biuro rachunkowe, zarówno jako administrator danych, jak i procesor, zobowiązane jest zastosować odpowiednie środki bezpieczeństwa i przestrzegać zasad i przepisów dotyczących ochrony danych. Generalnie za bezpieczeństwo swoich danych zawsze odpowiada administrator, ale nie wyłącza to odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

 

Poznaj zmiany od maja 2018 r.
Jeszcze bardziej rygorystycznie reguluje te kwestie ogólne rozporządzenie UE o ochronie danych (RODO), mające obowiązywać od maja 2018 roku. Tamtejsze zapisy stanowią, że aby zapewnić przestrzeganie wymogów rozporządzenia w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania. Stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji, a także wdrożenie polityki bezpieczeństwa informacji może posłużyć za element wykazujący wywiązywanie się z obowiązków administratora.

Bezwzględnie więc biura rachunkowe, chcąc zapewnić gwarancje odpowiedniej ochrony dla przetwarzanych danych, muszą zarówno formalnie, jak i przede wszystkim praktycznie, spełniać wymogi organizacyjno-techniczne zalecane przepisami prawa, a także dobrymi, sprawdzonymi praktykami. To wszystko i jako administrator danych, i jako procesor, zwłaszcza że w obu przypadkach odpowiedzialność jest bardzo duża.

Warto zapamiętać:

  • Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych, ale w drodze umowy zawartej na piśmie.
  • Biuro rachunkowe, zarówno jako administrator danych, jak i procesor, zobowiązane jest zastosować odpowiednie środki bezpieczeństwa i przestrzegać zasad i przepisów dotyczących ochrony danych. Generalnie za bezpieczeństwo swoich danych zawsze odpowiada administrator, ale nie wyłącza to odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
  • Biura rachunkowe, chcąc zapewnić gwarancje odpowiedniej ochrony dla przetwarzanych danych, muszą spełniać wymogi organizacyjno-techniczne zalecane przepisami prawa, a także dobrymi, sprawdzonymi praktykami.

Jeśli chcesz dowiedzieć się, jakie obowiązki ciążą na biurze rachunkowym z racji tego, że jest administratorem danych osobowych lub podmiotem je przetwarzającym już dziś rozpocznij e-kurs: Kompleksowe omówienie polityki bezpieczeństwa informacji biura księgowego » Zdobędziesz wiedzę prosto od specjalisty i poznasz odpowiedzi na nurtujące Cię pytania związane z przepisami w zakresie ochrony danych osobowych.

Nie ma jeszcze komentarzy do tego dokumentu.
Zaloguj się aby dodać komentarz
wiper-pixel