Każda jednostka zobowiązana do prowadzenia ksiąg rachunkowych przetwarza dziesiątki, jeśli nie setki danych osób fizycznych w ramach systemu księgowego. Funkcja informacyjna rachunkowości odgrywa pierwszoplanową rolę. Polega na tworzeniu określonych zbiorów informacji, a następnie na odpowiednim ich przetwarzaniu i przekazywaniu kierownictwu przedsiębiorstwa w celu ich właściwego stosowania w procesie zarządzania. Jej realizacja wymaga przetworzenia ogromnej ilości danych. Są to przede wszystkim dane finansowe o osiąganych przez jednostkę przychodach, ponoszonych kosztach, posiadanych aktywach i zobowiązaniach. Jednakże nie mniej istotną rolę odgrywają informacje o charakterze osobowym. Zgodnie z Ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 tekst jedn. z późn. zm.) za dane te uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Ustawodawca nakreślił więc dość szeroką definicję danych osobowych. Informacje o tym charakterze są zawarte praktycznie we wszystkich zbiorach składających się na księgi rachunkowe. Dowody księgowe dokumentujące operację gospodarczą zawierają określenie stron dokonujących operacji gospodarczej (nazwiska i adresy), podpis wystawcy dowodu oraz osoby, której wydano lub od której przyjęto składnik aktywów, a także podpis osoby (osób) odpowiedzialnej za stwierdzenie sprawdzenia i zakwalifikowania dowodu do ujęcia w księgach 1 / 9
rachunkowych. Dziennik zawiera chronologiczne ujęcie zdarzeń, jakie nastąpiły w danym okresie sprawozdawczym. Każdy zapis nie tylko powinien umożliwiać jego jednoznaczne powiązanie ze sprawdzonymi i zatwierdzonymi dowodami księgowymi, ale także zawierać zrozumiały tekst, skrót lub kod opisu operacji. Zapis księgowy, a pośrednio dziennik może tym samym zawierać wskazania danych osób fizycznych. Wychodząc od zapisu księgowego można ustalić tożsamość osób, sięgając do odpowiednio uporządkowanego zbioru dowodów źródłowych. Księga główna, jak też zestawienie obrotów i sald księgi głównej zawierają, ze względu na poziom agregacji danych, stosunkowo ograniczoną ilość danych osobowych. Ustawa o rachunkowości wymaga, by konta ksiąg pomocniczych były prowadzone w m.in. dla rozrachunków z kontrahentami, pracownikami (w szczególności jako imienną ewidencję wynagrodzeń pracowników zapewniającą uzyskanie informacji z całego okresu zatrudnienia), operacji sprzedaży (kolejno numerowane własne faktury i inne dowody, ze szczegółowością niezbędną dla celów podatkowych), operacji zakupu (obce faktury i inne dowody, ze szczegółowością niezbędną do wyceny składników aktywów i do celów podatkowych), operacji gotówkowych, w przypadku prowadzenia kasy. Rzetelność ksiąg pomocniczych oraz realizacja funkcji rachunkowości wymaga precyzyjnego określenia, a zatem wskazania danych osobowych pracowników i kontrahentów, którymi mogą i często są także osoby fizyczne. Dane osobowe można odnaleźć także w sprawozdaniu finansowym podmiotu. Ustawa o rachunkowości wskazuje na obowiązek zamieszczenia w sprawozdaniu informacji o strukturze własności kapitału podstawowego, co w praktyce realizowane jest poprzez wskazanie nazw podmiotów lub nazwisk osób fizycznych udziałowców (akcjonariuszy), informacji o składzie osobowym organów zarządzających i nadzorujących oraz innych, które jednostka uważa za ważne dla realizacji wymogu przedstawienia rzetelnego i jasnego obrazu sytuacji majątkowej i finansowej jednostki. 2 / 9
Jak wskazują przytoczone powyżej przykłady, każda jednostka zobowiązana do prowadzenia ksiąg rachunkowych przetwarza dziesiątki, jeśli nie setki danych osób fizycznych w ramach systemu księgowego. Pod pojęciem przetwarzania danych należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Tym samym przedsiębiorca, którego siedziba albo miejsce zamieszkania znajduje się na terytorium Rzeczypospolitej Polskiej albo w państwie trzecim, o ile przetwarza dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej, będący osobą fizyczną, osobą prawną albo jednostką organizacyjną niebędącą osobą prawną, przetwarzający dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych jest zobowiązany do stosowania ustawy o ochronie danych osobowych. Ustawa ta określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Stosuje się ją przy przetwarzaniu danych: 1. w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, 2. w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. 3 / 9
Zbiorem danych jest w tym przypadku każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny wg określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, zaś przez system informatyczny rozumie się zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Zgodnie z ustawą administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Poziom ochrony powinien być różnicowany w zależności od stopnia skomplikowania systemu księgowego i możliwości dostępu do przetwarzanych w nim danych. Systemy księgowe wielomodułowe, do których dane wprowadzane są poza działem księgowości, np. w działach zakupu, magazynach, działach produkcji wymagają wyższego poziomu zabezpieczeń niż systemy jednomodułowe lub takie, do których dane wprowadzane są wyłącznie przez pracowników działu księgowości. Stan faktyczny należy poddać indywidualnej ocenie. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia, należy wprowadzić jeden z trzech poziomów bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: 1. podstawowy, 4 / 9
2. podwyższony, 3. wysoki. Poziom co najmniej podstawowy stosuje się, gdy: 1. w systemie informatycznym nie są przetwarzane dane szczególnie wrażliwe, a dotyczące m.in. pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym oraz 2. żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Poziom co najmniej podwyższony stosuje się, gdy: 1. w systemie informatycznym przetwarzane są dane osobowe wrażliwe oraz 2. żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. 5 / 9
Na poziomie podstawowym zabezpieczenia stosuje się następujące środki zabezpieczenia: 1. obszar budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych, m.in. poprzez wydanie upoważnień i unikalnych identyfikatorów. 2. w systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator, a dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. 3. system informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego oraz utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. 4. identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. W przypadku, gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. Kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem, a także usuwa się je niezwłocznie po ustaniu ich użyteczności. 5. osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. 6. urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: 7. likwidacji pozbawia się wcześniej zapisu tych danych, a w przypadku, gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie, 8. przekazania podmiotowi nieuprawnionemu do przetwarzania danych pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie, 9. naprawy pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych. 6 / 9
Na poziomie podwyższonego zabezpieczenia stosuje się, oprócz wyżej wskazanych, następujące środki zabezpieczenia: 1. w przypadku, gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne, 2. urządzenia i nośniki zawierające wrażliwe dane osobowe przekazywane poza obszar budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, zabezpiecza się w sposób zapewniający poufność i integralność tych danych. Środki zabezpieczenia na poziomie wysokim uzupełniane są następująco: 1. system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. W przypadku zastosowania logicznych zabezpieczeń, obejmują one kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną oraz kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych. 2. administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. Należy sporządzić pisemną dokumentację opisującą sposób przetwarzania danych oraz środki zastosowanych zabezpieczeń. Na administratorze danych spoczywa obowiązek wdrożenia procedur i zabezpieczeń danych osobowych. Na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. 7 / 9
Polityka bezpieczeństwa zawiera w szczególności: 1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, 2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, 3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, 4. sposób przepływu danych pomiędzy poszczególnymi systemami, 5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Instrukcja zawiera w szczególności: 1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, 2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, 3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, 4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, 5. sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych, 6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, 7. sposób realizacji wymogów, w postaci obowiązku odnotowania informacji o odbiorcach, którym dane zostały udostępnione, 8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 8 / 9
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Upoważnieniem takim jest np. nadanie pracownikowi indywidualnego loginu i hasła umożliwiającego uzyskanie dostępu do danych księgowych oraz dokonywania operacji w zakresie upoważnienia, który powinien pokrywać się z zakresem obowiązków służbowych. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, a także prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1. imię i nazwisko osoby upoważnionej, 2. datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3. identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Należy mieć na uwadze, że kwestię ochrony danych, a zatem i uzupełniająco danych osobowych reguluje także ustawa o rachunkowości. 9 / 9