RODO wymaga, by dla właściwego zabezpieczenia danych przeprowadzić analizę ryzyka właściwego dla przetwarzania danych i charakteru danych podlegających ochronie. Na podstawie przeprowadzonej analizy biuro rachunkowe dostosowuje i wdraża odpowiednie środki techniczne, zapewniające zachowanie integralności i poufności danych. Jak przy tym zauważył UODO:
Ogólne rozporządzenie o ochronie danych (RODO) nie odnosi się wprost do procesu zarządzania ryzykiem i nie wskazuje konkretnej metody przeprowadzania oceny w tym zakresie. Każdy podmiot musi dokonywać jej samodzielnie, uwzględniając wiele specyficznych dla niego czynników, takich jak: wielkość, struktura organizacyjna, możliwości techniczne czy zakres i rodzaj danych oraz cel ich przetwarzania. Jednym ze skutecznych systemowych sposobów dokonywania oceny ryzyka jest wdrożenie w danej jednostce procesu zarządzania ryzykiem. (…) szacowanie ryzyka to proces ciągły, który powinien być przeprowadzany przy użyciu konkretnej metody, zapewniającej jednocześnie stosowanie jednolitych definicji i pojęć – źródło uodo.gov.pl
Zamów bezpłatny 14-dniowy dostęp do INFORLEX Biura rachunkowe!
Rekomendacje co do tego jakie środki techniczne zastosować przy zabezpieczaniu danych osobowych, są publikowane na stronie UODO – uodo.gov.pl (art. 53 ust. 1 pkt 4 ustawy o ochronie danych osobowych). Przykładowo warto zapoznać się z poradnikiem „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” wydanym przez UODO.
UWAGA! Gdy przetwarzanie danych osobowych wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, to przed rozpoczęciem przetwarzania danych należy dokonać tzw. oceny skutków dla ochrony danych (DPIA) – zob. art. 35 RODO. Celem analizy jest także rozstrzygnięcie, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów przetwarzania, oraz zbadanie ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Niedokonanie oceny skutków dla ochrony danych, gdy jest to wymagane, lub niewłaściwe jej wykonanie, a także niewłaściwe działania następcze mogą skutkować nałożeniem kary pieniężnej w wysokości do 10 milionów euro (art. 83 ust 4 RODO). Wytyczne do RODO podają, że ocena skutków dla DPIA jest konieczna, przykładowo, w przypadku dokonywania oceny zdolności kredytowej przez bank na podstawie historii finansowej. Wytyczne nie odnoszą się niestety do sytuacji podmiotów przetwarzających dane finansowe jak biura rachunkowe, nie ma zatem pewności, że DPIA ma w tym przypadku zastosowanie. Należy zauważyć, że art. 54 ustawy o ochronie danych osobowych nałożył na Prezesa UODO obowiązek ogłoszenia w komunikacie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Wykaz ten został ogłoszony w komunikacie Prezesa Urzędu Ochrony Danych Osobowych z 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (M.P. z 2018 r. poz. 827). Co do zasady, w wykazie nie znalazły się usługi księgowe. Dodatkowo w komunikacie Prezes UODO ma prawo ogłosić także wykaz rodzajów operacji przetwarzania danych osobowych niewymagających oceny skutków przetwarzania dla ich ochrony. 3.3.1. Infrastruktura ochrony danych osobowych RODO określa infrastrukturę ochrony danych osobowych, na którą składa się
Artykuł stanowi fragment książki: RODO dla księgowych i biur rachunkowych. Zmiany od 4 maja 2019 roku
RODO dla księgowych i biur rachunkowych. Zmiany od 4 maja 2019 roku