• +48 573 177 822
  • biuro@ratio-go.pl
  • Pon - Pt: 10:00 - 18:00
Facebook-f Instagram Linkedin
Facebook-f Instagram Linkedin

Jak wdrożyć RODO w biurze rachunkowym?

Spis treści

Biuro rachunkowe ma w RODO podwójną rolę:

  1. Administrator danych – gdy przetwarza dane „dla siebie” (np. dane własnych klientów do kontaktu i rozliczeń, pracowników, rekrutacja, kontrahenci, marketing, obsługa reklamacji).
  2. Podmiot przetwarzający (procesor) – gdy w ramach usług księgowych i kadrowo-płacowych przetwarza dane w imieniu klienta (np. księgi, faktury, listy płac, ZUS, PIT, PPK).


Ta konstrukcja oznacza, że wdrożenie nie może kończyć się na polityce prywatności. Rdzeniem są umowy powierzenia, kontrola dostawców (podprocesorów) i realne bezpieczeństwo pracy na dokumentach finansowo-kadrowych.

Dodatkowo pamiętaj: biura rachunkowe bardzo często są również instytucją obowiązaną na gruncie ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML) – jako podmioty świadczące usługowe prowadzenie ksiąg rachunkowych wskazane w art. 2 tej ustawy. To w praktyce oznacza dodatkowe procedury (AML), które trzeba sensownie „zszyć” z RODO (retencja, dostęp, kanały komunikacji, incydenty), żeby nie powstały sprzeczne standardy.

Wdrożenie RODO w biurze rachunkowym

Wdrożenie potraktuj jak uporządkowanie obiegu danych. Audyt ma odpowiedzieć: gdzie dane krążą i kto ma do nich dostęp, a nie przepisać definicje.

W biurach rachunkowych typowe kanały to: e-mail, system księgowy/kadrowy (lokalny lub chmurowy), dyski i foldery współdzielone, papierowe teczki, platformy wymiany plików, komunikacja z ZUS/US oraz korespondencja z klientami (także w sprawach pracowniczych po stronie klienta).

Najlepsza praktyka: od razu rozdziel audyt na dwa porządki:

  •   Dane własne biura (administrator) – procesy biura jako firmy.
  •   Dane klientów (procesor) – procesy realizowane „w imieniu” klientów.


Efektem audytu ma być prosta mapa: proces → narzędzie → osoby z dostępem → retencja → odbiorcy/podwykonawcy.

Kiedy biuro rachunkowe jest administratorem a kiedy jest podmiotem przetwarzającym zgodnie z RODO?

W modelu najczęstszym:

  •   Klient = administrator danych (np. dane jego pracowników/kontrahentów).
  •   Biuro rachunkowe = procesor (wykonuje operacje na danych w imieniu klienta).


To wymusza umowę powierzenia z art. 28 RODO (osobno albo w umowie głównej), która musi regulować m.in.: przedmiot i czas trwania, charakter i cel, rodzaje danych i kategorie osób, środki bezpieczeństwa, zasady pomocy klientowi w realizacji praw osób i obowiązków RODO, oraz zasady dalszego powierzenia.

I tu jest typowy „twardy” punkt: podprocesorzy (system chmurowy, hosting poczty, firma IT, platforma wymiany plików). To nie detal – musisz mieć:

    •   kontrolę nad tym kto ma dostęp,
    •   uregulowane warunki podpowierzenia i odpowiedzialność,
    •   spójne wymagania bezpieczeństwa oraz procedurę incydentów.
Jak wdrożyć RODO w biurze rachunkowym

Najczęstsze ryzyka ochrony danych osobowych w biurze rachunkowym

W biurach rachunkowych ryzyka są zwykle operacyjne – e-mail, foldery, uprawnienia, urządzenia.

Najczęściej powtarzające się scenariusze to: błędny adresat wiadomości, zbyt szerokie dostępy w systemie, wspólne konta, wynoszenie dokumentów poza biuro, przejęcie skrzynki (phishing), brak kontroli nad serwisem IT i chmurą.

Systemy zabezpieczeń, które zwykle daje największy efekt (i które da się obronić w analizie ryzyka), to są to: indywidualne konta i minimalne uprawnienia, 2FA tam gdzie możliwe (poczta/chmura), bezpieczna wymiana plików zamiast „luźnych” załączników, procedura weryfikacji odbiorcy przy dokumentach kadrowych, backup + okresowy test odtwarzania oraz prosta procedura incydentowa.

Dokumentacja RODO w biurze rachunkowym

W biurze rachunkowym dokumentacja RODO nie jest „zestawem papierów do segregatora”. Ma działać jak system dowodowy i operacyjny: porządkuje role, dostęp do danych, relacje z klientami i dostawcami IT oraz pozwala wykazać rozliczalność w razie kontroli, sporu lub incydentu. Z perspektywy praktyki i standardów podejścia organów nadzorczych kluczowe jest, aby dokumenty były spójne z realnym sposobem pracy (e-mail, chmura, systemy księgowe/kadrowe, praca zdalna) i aktualizowane, gdy zmieniają się procesy lub narzędzia.

Rejestr czynności przetwarzania (RCP) – art. 30 ust. 1 RODO

Dla procesów, w których biuro działa jako administrator (np. kadry biura, rekrutacja, obsługa klientów, kontrahenci). Powinien obejmować: cele, podstawy, kategorie danych i osób, odbiorców, retencję, zabezpieczenia.

Rejestr kategorii czynności przetwarzania – art. 30 ust. 2 RODO

Dla przetwarzania wykonywanego jako procesor (w imieniu klientów). W praktyce często pomijany, a jest kluczowy, bo pokazuje „co biuro robi na danych klientów” i w jakim zakresie.

Klauzule informacyjne – art. 12–14 RODO

Dla sytuacji, w których biuro jest administratorem (np. pracownicy, kandydaci, kontakt z klientem jako osobą fizyczną, formularze kontaktowe). Treść musi być zrozumiała i możliwa do wykazania (kiedy i gdzie była udostępniona).

Upoważnienia do przetwarzania danych + ewidencja upoważnionych

Kto ma dostęp do jakich danych, w jakim zakresie i od kiedy; zasady nadawania, zmiany i cofania uprawnień (szczególnie przy zmianach kadrowych i współpracy B2B).

Analiza ryzyka (a gdy uzasadnione – DPIA)

Dokument, który uzasadnia dobór zabezpieczeń i pokazuje, że środki ochrony danych są proporcjonalne do realnych zagrożeń (e-mail, chmura, pliki, praca zdalna, IT, dokumenty kadrowe).

Umowy powierzenia przetwarzania danych – art. 28 RODO

Z klientami oraz – tam gdzie to występuje – z podwykonawcami (podprocesorami) lub uregulowanie zasad podpowierzenia. Umowy powinny określać m.in. zakres i cel, czas, wymagania bezpieczeństwa, zasady zgłaszania incydentów, podpowierzenie oraz postępowanie z danymi po zakończeniu współpracy.

Rejestr naruszeń ochrony danych + procedura reagowania

Rejestr obejmuje wszystkie naruszenia (także te niezgłaszane do organu), wraz z opisem zdarzenia, oceną ryzyka, decyzją i działaniami naprawczymi. Procedura ma zapewnić szybkie zebranie faktów i właściwe powiadomienia (w tym niezwłoczne poinformowanie administratora, jeśli biuro działa jako procesor).

Najczęstsze błędy w biurach rachunkowych

  1. Brak poprawnej umowy powierzenia albo „jedno zdanie o powierzeniu” w umowie głównej.
  2. Brak rejestru kategorii czynności po stronie procesora (art. 30 ust. 2).
  3. Podwykonawcy poza kontrolą (IT/chmura) – bez uregulowanych zasad podpowierzenia.
  4. E-mail: brak standardów wysyłki, brak weryfikacji odbiorcy, brak bezpiecznych kanałów dla dokumentów kadrowych.
  5. Wspólne konta i brak rozliczalności: nie da się ustalić, kto miał dostęp i co zrobił.
  6. Incydenty zamiatane pod dywan: brak rejestru, brak procedury, brak szybkiego zgłoszenia naruszeń ochrony danych osobowych do klienta.
Michał Myśliwy

Michał Myśliwy

Prawnik

Prawnik i praktyk w obszarze ochrony danych osobowych oraz compliance. Od momentu wejścia w życie RODO aktywnie pełni funkcję Inspektora Ochrony Danych w spółkach akcyjnych i spółkach z ograniczoną odpowiedzialnością. Specjalizuje się w projektowaniu i wdrażaniu rozwiązań z zakresu ochrony danych i compliance, opartych na realnych procesach biznesowych, ryzykach oraz odpowiedzialności zarządczej.

Sprawdź naszą ofertę!

Wdrożenie RODO
Dokumentacja
Audyt RODO
Szkolenia RODO
Szkolenia RODO
Outsourcing IOD
Doradztwo RODO
Ostatnie wpisy

Masz pytanie?

O nas

Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.

Facebook-f Instagram Linkedin
Udostępnij ten post
Facebook
LinkedIn
Czytaj dalej
Facebook Instagram Linkedin