Ochrona danych osobowych w biurze rachunkowym (cz. 4) - Na jakich zbiorach danych działa biuro rachunkowe?

Transkrypt

1 Ochrona danych osobowych w biurze rachunkowym (cz. 4) - Na jakich zbiorach danych działa biuro rachunkowe? Prowadzenie biura rachunkowego jest jedną z tych działalności, których specyfika opiera się na pracy z danymi poufnymi, osobowymi, a często też z wrażliwymi. Biuro rachunkowe przejmuje od podmiotów gospodarczych obowiązki związane z prowadzeniem księgowości, kadr oraz kontaktów z Urzędem Skarbowym i Zakładem Ubezpieczeń Społecznych. Dodatkowo takie podmioty świadczą klientom usługi doradcze w zakresie pomocy w wypełnianiu wniosków kredytowych, o dotacje unijne i samorządowe, czy pisaniu biznesplanów. Na każdym etapie swojej pracy księgowa i kadrowa stykają się z danymi osobowymi. Dlaczego tak ważna jest identyfikacja zbiorów danych osobowych? Biuro rachunkowe jako podmiot przetwarzający dane osobowe jest zobowiązane do odpowiedniego zabezpieczenia danych osobowych swoich klientów, zgodnie z wymaganiami określonymi w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Rozporządzenie to określa zakres i sposób prowadzenia dokumentacji dotyczącej prawa do przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające odpowiednią do zagrożeń ochronę tych informacji. Z rozporządzenia wynikają obowiązki: opracowania i wdrożenia Polityki Bezpieczeństwa, Instrukcji Zarządzania Systemem Informatycznym, Polityki Kluczy; wystawienia pracownikom imiennego upoważnienia do przetwarzania danych osobowych klientów biura; prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych; / 8

2 zapewnienia odpowiednich środków technicznych i organizacyjnych gwarantujących bezpieczeństwo powierzonych danych osobowych; ograniczenia osobom nieupoważnionym dostępu do przetwarzanych danych osobowych. Podmiot powierzający przetwarzanie danych do biura rachunkowego (klient) pozostaje Administratorem Danych Osobowych. Polityka bezpieczeństwa powinna zawierać w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, sposób przepływu danych pomiędzy poszczególnymi systemami, określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralność i rozliczalność przetwarzanych danych. Na jakich zbiorach danych pracuje biuro rachunkowe? W myśl art. 43 ust. 1 pkt. 4, 8 z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, a także przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Zbiory danych klientów, powierzonych do przetwarzania biuru rachunkowemu Najczęściej wyróżniamy następujące zbiory: / 8

3 Zbiór danych kontrahentów klienta: faktury, rachunki, umowy, inne dokumenty sprzedaży/zakupu. Zbiór danych pracowników i zleceniobiorców klienta: dane osobowe pracowników, dane osobowe zleceniobiorców i wykonawców, dokumentacja ubezpieczeniowa ZUS. Zbiór danych w postaci dokumentów księgowych klienta: dziennik, / 8

4 księgi, sprawozdania finansowe, sprawozdania GUS, deklaracje podatkowe, rejestry VAT, dodatkowe ewidencje księgowe. Zbiór danych klientów biura rachunkowego Przykładowo są to: umowy, faktury, upoważnienia. Dane osobowe pracowników i zleceniobiorców biura rachunkowego / 8

5 Przykładowo: PESEL, imię (imiona) i nazwisko, nazwisko rodowe, data i miejsce urodzenia, płeć, adres stały, dowód osobisty (seria i nr, wydany przez, data wydania), imię ojca, imię matki, stan cywilny i rodzinny, stopień niepełnosprawności, / 8

6 obywatelstwo, wykształcenie, staż pracy, historia pracy, wysokość wynagrodzenia, zajęcia komornicze, nieobecności w pracy, informacje o stanie zdrowia Polecamy Czy odsetki w obrocie gospodarczym się przedawniają? Rejestr korespondencji wychodzącej i przychodzącej Przykładowo: data otrzymania/wysyłki, / 8

7 numer przesyłki, adresat/nadawca, adres, podpis osoby odbierającej/wysyłającej. Rejestr wejść i wyjść Przykładowo: data i godzina wejścia/wyjścia, imię i nazwisko, stanowisko, własnoręczny podpis. Zbiór marketingowy Przykładowo: / 8

8 Powered by TCPDF ( Data: imię i nazwisko, adres mailowy, miejscowość, forma prowadzonej działalności, branża, wysokość rocznych obrotów, wiek. Zbiór danych do celów marketingowych będzie podlegał obowiązkowi rejestracji w GIODO, gdyż nie spełnia ustawowych przesłanek zwolnienia z tego obowiązku. Dane osobowe zbierane do celów marketingowych są przetwarzane w określonym celu marketingu produktów i usług. Stanowią odrębny zbiór. Zidentyfikowane zbiory danych zawierające dane osobowe można odnieść do programów, w których są przetwarzane, tworząc kolejny obowiązkowy punkt Polityki Bezpieczeństwa Informacji, czyli opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. Copyright Wszystkie prawa zastrzeżone Web INnovative Software Sp. z o.o., Bolesława Krzywoustego 105/ Wrocław, biuro@wfirma.pl KRS , NIP , Kapitał zł / 8