Ochrona danych osobowych – najczęstsze błędy biur rachunkowych

Instytucja ochrony danych osobowych rozgościła się w Polsce już kilka lat temu. Nadal jednak zdarzają się błędy w jej procedurach. Część z nich ma miejsce w biurach rachunkowych, od których wymaga się szczególnej dbałości o dane osobowe. To im klienci przekazują bowiem informacje nie tylko o sobie, ale też o swoich kontrahentach. Na umowach, rachunkach i fakturach widnieją dane wrażliwe, które nie mają prawa trafić w niepowołane ręce. Każde biuro rachunkowe musi więc zadbać o efektywną ochronę przetwarzanych informacji, mając na uwadze, że niedopełnienie tego obowiązku wiąże się z dotkliwymi karami administracyjnymi. Dowiedz się, jakie błędy w ochronie danych osobowych popełniają biura rachunkowe.

 

Spis treści:

• Ochrona danych osobowych w biurze rachunkowym – najważniejsze regulacje
• Najczęstsze błędy w procedurze ochrony danych osobowych w biurze rachunkowym
• Dane osobowe to niejedyna strata
• Polityka ochrony danych osobowych w biurze rachunkowym – dobre praktyki

 

Ochrona danych osobowych w biurze rachunkowym – najważniejsze regulacje

Kwestie związane z ochroną danych osobowych – w tym także w biurach rachunkowych, reguluje ustawa z dnia 10 maja 2018 r., która weszła w życie w związku z implementacją unijnego rozporządzenia o ochronie danych osobowych (RODO). Wspomniany akt bardzo szczegółowo określa zasady, zgodnie z którymi podmioty prowadzące działalność gospodarczą mogą zbierać i przetwarzać dane osobowe. Uregulowane zostały w nim także kwestie dotyczące przesyłania tego typu informacji pomiędzy dostawcami usług, a także procedury informowania w przypadku ich wycieku.

 

Dlaczego ochrona danych w biurze osobowym jest tak ważna?

Procedura ochrony danych osobowych w biurze rachunkowym jest szczególnie ważna. Podmioty tego typu przetwarzają bowiem wiele wrażliwych informacji. Te mogą dotyczyć np. danych klientów, wartości dokonywanych przez nich transakcji, czy pracowników, jeśli biuro odpowiada również za prowadzenie kadr. Brak odpowiednich procedur może narażać nie tylko na sankcje prawne, lecz również straty wizerunkowe. Przedsiębiorcy, którzy decydują się na korzystanie z outsourcingu księgowego, chcą być traktowani w sposób profesjonalny oraz z zapewnieniem wysokiego poziomu poufności – tak, aby przekazywane przez nich faktury, dokumenty czy inne informacje nie trafiły w niepowołane ręce. Tymczasem w biurach rachunkowych nietrudno o błędy, które mogą nadszarpnąć zaufanie ze strony klienta.

 

Najczęstsze błędy w procedurze ochrony danych osobowych w biurze rachunkowym

Na dokumentach księgowych zawarte są różnego rodzaju informacje – także te podlegające przepisom RODO. Niestety, procedury ochrony danych osobowych w biurze rachunkowym nie zawsze gwarantują spełnienie wymogów narzuconych przez prawo. Jakie błędy w tym obszarze zdarzają się najczęściej?

Nieodpowiednie przeszkolenie pracowników

Listę błędów biur rachunkowych w ochronie danych osobowych otwiera lekceważące podejście do RODO. Bardzo często ograniczają się one do obowiązkowego wyznaczenia administratora danych i to wyłącznie na nim skupia się proces szkolenia. Tymczasem z procedurami ochrony danych osobowych w biurze rachunkowym powinni zostać zapoznani wszyscy pracownicy. Warto mieć na uwadze, że nawet najlepiej wykwalifikowany inspektor danych osobowych okaże się nieskuteczną ochroną, gdy nieświadomy ryzyka pracownik wyniesie dokumenty z wrażliwymi informacjami i zostawi je bez opieki w miejscu publicznym.

Brak aktualnych procedur

Efektywna polityka ochrony danych osobowych w biurze rachunkowym wymaga wprowadzenia odpowiednich procedur, a dotycząca tego zagadnienia dokumentacja musi być na bieżąco aktualizowana. Wynika to z faktu, że przepisy dotyczące RODO ulegają częstym zmianom. Pojawiają się nowelizacje istniejących rozwiązań oraz zupełnie nowe obowiązki. Zmienia się również środowisko samego biura rachunkowego, np. wraz z nowym systemem informatycznym, sprzętem elektronicznym, nowymi stanowiskami pracy oraz modyfikacją systemu zabezpieczeń pomieszczeń. Z każdą tego typu zmianą dotychczasowe procedury tracą swoją przydatność w całości lub w części.

Przeczytaj także: Na czym polega spółka partnerska? – Symfonia

Skrzynka e-mail – luka w ochronie danych osobowych

Często spotykaną luką w ochronie danych osobowych klientów biura rachunkowego są skrzynki e-mail pracowników, które wykorzystuje się do przesyłania dokumentów zawierających poufne informacje bez szyfrowania. Wystarczy, że w adresie odbiorcy pojawi się choćby niewielki błąd, by dokumentacja trafiła w nieodpowiednie ręce. Dane wrażliwe powinny być wysyłane w dokumentach zabezpieczonych hasłem, które do odbiorcy trafi np. w kolejnej wiadomości mailowej lub SMS. Warto też uczulić pracowników na to, by zachowali szczególną ostrożność przy wysyłaniu wiadomości grupowych. Chodzi o to, by w takim przypadku nie wybierać opcji „DO”, przy której każdy z adresatów zobaczy pełną listę adresów pozostałych odbiorców, a część z nich może zawierać imię i nazwisko. W tej sytuacji należy korzystać z opcji „DW”.

Niedbałość o hasła dostępu

Chociaż hasła dostępu potrafią być irytujące i utrudniać codzienne funkcjonowanie, to nie do tego zostały stworzone. Ich przeznaczeniem jest zabezpieczenie wrażliwych danych przed dostępem do nich osób niepożądanych. Nie wystarczy stworzyć silne hasło i wprowadzić je do systemu. Ważne jest, by je zapamiętać. I tu pojawiają się dwa problemy. Jednym z nich jest tworzenie klucza z prostego ciągu znaków, ze złamaniem którego poradzi sobie nawet początkujący „haker”. Drugi to bardzo rozbudowane hasło, którego zapamiętanie okaże się nie lada wyzwaniem dla pracowników. Pomogą im w tym karteczki z zapisanym kluczem, w najlepszym przypadku ukryte pod klawiaturą. Często jednak tego typu notatki są przyklejane do monitora.

Przekazywanie danych wrażliwych

W efektywnej ochronie danych osobowych w biurze rachunkowym kluczowe jest również świadome postępowanie pracowników, gdy zostanie on zapytany o informacje dotyczące danych klienta lub kontrahenta klientów biura. Niedopuszczalne jest, by takie dane zostały przekazane bez uwierzytelnienia rozmówcy. Niestety, bardzo często zainteresowane osoby otrzymują je przez telefon lub mailowo, pozostając zupełnie anonimowymi. Świadomy ryzyka pracownik powinien sprawdzić dane osoby, z którą rozmawia lub poprosić ją o przesłanie oficjalnego zapytania w formie pisemnej.

Brak niszczarek

Szukanie oszczędności nie jest niczym wyjątkowym. Nie powinny one jednak dotyczyć wyposażenia biura rachunkowego w urządzenia do niszczenia dokumentów. Wyrzucanie ich do kosza na śmieci to ogromny błąd w ochronie danych osobowych, który może skutkować nałożeniem kary finansowej i poważnym obciążeniem firmowego budżetu.

 

Dane osobowe to niejedyna strata

Można założyć, że RODO jest aktem prawnym, o istnieniu którego wiedzą wszyscy. Niestety, nie brakuje osób i miejsc, w których polityka prywatności nie istnieje, pracownicy korzystają z niezabezpieczonych komputerów, dokumenty z wrażliwymi danymi trafiają na śmietnik, z firm wynoszone są segregatory wypełnione informacjami, a dane osobowe trzymają wysoką cenę na czarnym rynku. Wysoka kara administracyjna to nie jedyna konsekwencja niewdrożenia zasad RODO. Po każdym, nawet najmniejszym wycieku danych, biuro rachunkowe traci swój prestiż i zaufanie klientów.

 

Polityka ochrony danych osobowych w biurze rachunkowym – dobre praktyki

Biuro rachunkowe, które chce zapewnić wysoki poziom ochrony danych osobowych, powinno pamiętać o wdrożeniu odpowiednich procedur. W pierwszej kolejności trzeba zadbać o spełnienie wymogów narzuconych przez RODO. Te dotyczą między innymi:

• podpisania umowy powierzenia przetwarzania danych osobowych,
• tworzenia kopii zapasowych dla dokumentów przechowywanych w biurze,
• zapewnienia bezpieczeństwa organizacyjnego, poprzez wdrożenie procedur ochrony danych osobowych w biurze rachunkowym,
• zadbanie o właściwą utylizację dokumentów.

Bardzo ważną kwestią jest również bezpieczeństwo techniczne. Odnosi się ono do funkcjonalności systemu obsługującego obieg dokumentów biurze rachunkowym oraz procesy księgowe. Decydując się na konkretne rozwiązanie, warto sprawić, czy program działa zgodnie z przepisami polskiego prawa i wymaganiami normy ISO 27001:2013. Ważną kwestią jest również szyfrowanie danych – ta funkcja sprawia, że przesyłane, przechowywane i otrzymywane informacje są zakodowane w taki sposób, by postronna osoba nie była w stanie ich odczytać. Nowoczesne systemy dla biur rachunkowych, takie jak Symfonia eBiuro, zapewniają również codzienne kopie zapasowe, chroniąc w ten sposób kluczowe dane przed ich utratą.