Πώς πρέπει να είναι η προστασία των προσωπικών δεδομένων στα λογιστικά γραφεία;

Λογιστικά Γραφεία

Αν και ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) έχει τεθεί σε ισχύ εδώ και αρκετό καιρό (25 Μαΐου 2018), το θέμα της προστασίας δεδομένων εξακολουθεί να εγείρει πολλές αμφιβολίες. Τι πρέπει να θυμούνται από αυτή την άποψη οι ιδιοκτήτες λογιστικών γραφείων που μόλις ξεκινούν την επιχείρησή τους; Πότε ένα λογιστικό γραφείο, ένας διαχειριστής και μια οντότητα επεξεργάζονται προσωπικά δεδομένα; Ελέγχουμε πώς πρέπει να είναι η προστασία των προσωπικών δεδομένων στα λογιστικά γραφεία.

Προστασία προσωπικών δεδομένων σε λογιστικά γραφεία

Η δραστηριότητα των λογιστικών γραφείων συνίσταται στην τήρηση λογιστικών βιβλίων που εμπιστεύονται πελάτες ή απλοποιημένη λογιστική σε KPiR ή εφάπαξ. Ορισμένα γραφεία προσφέρουν ολοκληρωμένες υπηρεσίες και χειρίζονται επίσης θέματα ανθρώπινου δυναμικού και μισθοδοσίας, αποκτώντας έτσι πρόσβαση σε ευαίσθητα δεδομένα, π.χ. ιατρικά αρχεία.

Προκειμένου να παρέχει αποτελεσματικές υπηρεσίες στους πελάτες του, ένα λογιστικό γραφείο μπορεί να απασχολεί, για παράδειγμα, επαγγελματικό προσωπικό, και έτσι να ενεργεί ως εργοδότης. Τότε παίζει διπλό ρόλο - όπως:

  • Διαχειριστής Προσωπικών Δεδομένων (ADO). Το λογιστικό γραφείο σε ρόλο διαχειριστή προσωπικών δεδομένων είναι, μεταξύ άλλων, όταν απασχολεί υπαλλήλους και επεξεργάζεται τα προσωπικά τους δεδομένα.

  • Οντότητα που επεξεργάζεται προσωπικά δεδομένα (υπεύθυνος επεξεργασίας). Οι υπάλληλοι του λογιστικού γραφείου εργάζονται με έγγραφα που παρέχονται από τον πελάτη, π.χ. τιμολόγια ή συμβόλαια, τα οποία μπορεί να περιέχουν προσωπικά δεδομένα. Ως εκ τούτου, το λογιστικό γραφείο επεξεργάζεται προσωπικά δεδομένα.

Ως αποτέλεσμα, ακόμη και ένα λογιστικό γραφείο που δεν απασχολεί υπαλλήλους πρέπει να διασφαλίζει ότι τα προσωπικά δεδομένα που του έχουν εμπιστευθεί προστατεύονται κατάλληλα. Αυτό, με τη σειρά του, συνδέεται με την ανάγκη υπογραφής κατάλληλων συμβάσεων με πελάτες και εφαρμογής ασφάλειας - έτσι ώστε τα δεδομένα να παραμένουν πραγματικά ασφαλή.

Ποια είναι τα καθήκοντα ενός λογιστικού γραφείου ως διαχειριστή προσωπικών δεδομένων;

Το λογιστήριο ως διαχειριστής δεδομένων έχει συγκεκριμένα καθήκοντα. Αυτό σχετίζεται με τη χορήγηση σε φυσικά πρόσωπα, μεταξύ άλλων, το δικαίωμα πρόσβασης στα δεδομένα τους. Ως αποτέλεσμα, οι υπάλληλοι του λογιστικού γραφείου (ανεξαρτήτως του είδους της σύμβασης που έχει υπογραφεί) και οι επιχειρηματίες που ασκούν ατομική επιχείρηση (φυσικά πρόσωπα) έχουν το δικαίωμα:

  • ζητήστε από τον διαχειριστή να διορθώσει τα προσωπικά δεδομένα που είναι εσφαλμένα (άρθρο 16 του ΓΚΠΔ)·

  • για διαγραφή δεδομένων (το λεγόμενο δικαίωμα στη λήθη). Ο διαχειριστής υποχρεούται να διαγράψει προσωπικά δεδομένα εάν δεν είναι πλέον απαραίτητα για τους σκοπούς για τους οποίους συλλέχθηκαν (άρθρο 17 του ΓΚΠΔ).

  • για τον περιορισμό της επεξεργασίας προσωπικών δεδομένων. Το δικαίωμα αυτό παρέχεται, μεταξύ άλλων, σε σε μια κατάσταση όπου η επεξεργασία δεδομένων είναι παράνομη, αλλά το υποκείμενο των δεδομένων αντιτίθεται στην αφαίρεσή τους (άρθρο 18 του ΓΚΠΔ).

Για να μπορέσει να υποβάλει ένα από τα παραπάνω αιτήματα, το φυσικό πρόσωπο πρέπει να ενημερωθεί, μεταξύ άλλων, σχετικά με το ποιος είναι ο υπεύθυνος επεξεργασίας δεδομένων. Για τα λογιστικά γραφεία - ως διαχειριστές προσωπικών δεδομένων - αυτό σημαίνει εκπλήρωση της υποχρέωσης ενημέρωσης. Ποια είναι η εφαρμογή μιας τέτοιας υποχρέωσης στην πράξη;

Κατά κανόνα, τα λογιστικά γραφεία συντάσσουν ένα έγγραφο που παραδίδουν σε φυσικά πρόσωπα, ξεκινώντας τη συνεργασία μαζί τους. Από ένα τέτοιο έγγραφο, για παράδειγμα, ένας μελλοντικός υπάλληλος μπορεί να βρει ποιος είναι ο υπεύθυνος επεξεργασίας δεδομένων και να μάθει για τα δικαιώματά του.

Γιατί πρέπει ένα λογιστικό γραφείο να υπογράφει συμφωνία επεξεργασίας προσωπικών δεδομένων;

Ένα ξεχωριστό θέμα είναι η επεξεργασία προσωπικών δεδομένων που εμπιστεύονται οι πελάτες από υπαλλήλους του λογιστικού γραφείου. Πριν από μερικά χρόνια, άτομα εξουσιοδοτημένα από το λογιστήριο να συνάπτουν συμβάσεις με εταιρείες υπέγραψαν μόνο μια συμφωνία για να αναθέσουν, για παράδειγμα, ένα φορολογικό βιβλίο εσόδων και εξόδων. Σήμερα δεν αρκεί - είναι ακόμα απαραίτητο να υπογραφεί μια συμφωνία ανάθεσης δεδομένων.

Ο GDPR (ή ακριβέστερα, το άρθρο 28) υποδεικνύει ποια δεδομένα πρέπει να περιλαμβάνονται στη σύμβαση για την ανάθεση της επεξεργασίας προσωπικών δεδομένων - αυτά είναι:

  • επεξεργαστή και ελεγκτή. Πρέπει να αναφέρονται τα μέρη που συνάπτουν συμφωνία ανάθεσης δεδομένων·

  • αντικείμενο επεξεργασίας - στην περίπτωση αυτή, το αντικείμενο της επεξεργασίας συνδέεται στενά με τη σύμβαση που έχει συναφθεί μεταξύ των μερών.

  • Χρόνος επεξεργασίας. Κατά κανόνα συμπίπτει με τη διάρκεια της σύμβασης.

  • τη φύση και τον σκοπό της επεξεργασίας. Προσδιορίστε, μεταξύ άλλων, συχνότητα και αναφέρετε γιατί ο επεξεργαστής θα επεξεργαστεί τα δεδομένα·

  • τύπος δεδομένων προσωπικού χαρακτήρα και κατηγορίες υποκειμένων των δεδομένων. Πρόκειται, για παράδειγμα, για συνηθισμένα δεδομένα ή ευαίσθητα δεδομένα.

  • καθήκοντα και δικαιώματα διαχειριστή. Στο σημείο αυτό, είναι απαραίτητο να διευκρινιστεί, μεταξύ άλλων, η βασική υποχρέωση του διαχειριστή, δηλαδή ο τρόπος μεταφοράς των δεδομένων.

Λόγω της ελευθερίας των συμβάσεων που ισχύουν στην Πολωνία, τα μέρη μπορούν επίσης να συμπεριλάβουν άλλες διατάξεις που είναι σημαντικές για αυτούς στο περιεχόμενο του εγγράφου.

Ποια οργανωτικά και τεχνικά μέτρα ασφαλείας πρέπει να εφαρμόζει ένα λογιστικό γραφείο;

Η επεξεργασία δεδομένων εργαζομένων ή δεδομένων που λαμβάνονται από πελάτες εγείρει ένα σωστό ερώτημα σχετικά με την ασφάλειά τους. Στην περίπτωση αυτή, ο GDPR καθορίζει μόνο την κατεύθυνση, ενώ η απόφαση για την εφαρμογή συγκεκριμένων μέτρων είναι στη διακριτική ευχέρεια εκείνων που διαχειρίζονται τον οργανισμό που επεξεργάζεται προσωπικά δεδομένα. Το πιο σημαντικό είναι ότι αυτές οι διασφαλίσεις είναι αποτελεσματικές. Ως στάνταρ, χρησιμοποιείται:

  • οργανωτική ασφάλεια. Αυτές είναι κάθε είδους οδηγίες και διαδικασίες που ακολουθούν οι εργαζόμενοι. Η συμμόρφωση με αυτές συνίσταται στη διασφάλιση ότι, για παράδειγμα, τα δεδομένα δεν θα μεταφερθούν κατά λάθος στα χέρια μη εξουσιοδοτημένου ατόμου.

  • τεχνική ασφάλεια. Αυτό είναι το συγκεκριμένο υλικό και λογισμικό που χρησιμοποιεί ένας οργανισμός. Για παράδειγμα, τα λογιστικά γραφεία θα χρησιμοποιούν τόσο ασφάλεια πληροφορικής (π.χ. προγράμματα προστασίας από ιούς, κλειδιά κρυπτογράφησης) όσο και καταστροφείς με κατάλληλο επίπεδο μυστικότητας ή ντουλάπια με δυνατότητα κλειδώματος.

Τα σύγχρονα λογιστικά γραφεία αποθηκεύουν συνήθως δεδομένα σε διάφορες μορφές - τόσο ηλεκτρονικά όσο και έντυπα. Ως αποτέλεσμα, είναι απαραίτητο να εφαρμοστούν διάφορες τεχνικές διασφαλίσεις. Σε πολλά γραφεία, αποτελεί πρότυπο ότι μια εξωτερική εταιρεία που ειδικεύεται στην πληροφορική εποπτεύει την προστασία των δεδομένων σε ηλεκτρονική μορφή.

Δεδομένου ότι ο πιο αδύναμος κρίκος στην εργασία με προσωπικά δεδομένα είναι ο άνθρωπος, το λογιστικό γραφείο μπορεί επίσης να οργανώσει συστηματική εκπαίδευση για υπαλλήλους που έχουν επαφή με τεκμηρίωση πελατών. Αξίζει να φροντίσετε για ένα κατάλληλο λογιστικό σύστημα συμβατό με τον GDPR, το οποίο θα επιτρέπει την κρυπτογραφημένη μετάδοση δεδομένων, την εξασφάλιση πρόσβασης με καταγραφή δύο βημάτων ή τη δημιουργία αντιγράφου ασφαλείας των δεδομένων που είναι αποθηκευμένα σε δεύτερο διακομιστή.

Γιατί ένα λογιστικό γραφείο δεν έχει την πολυτέλεια να υποβαθμίσει την προστασία δεδομένων;

Το κίνητρο για τη διερεύνηση των θεμάτων που σχετίζονται με την προστασία των προσωπικών δεδομένων δεν θα πρέπει να είναι μόνο οι οικονομικές κυρώσεις (το πρόστιμο μπορεί να ανέλθει σε 20 εκατομμύρια ευρώ ή το 4% του τζίρου) που απειλούν τις οντότητες που παραμελούν τις υποχρεώσεις τους ως προς αυτό. Οι πελάτες των λογιστικών γραφείων είναι κυρίως οικονομικές οντότητες που επεξεργάζονται οι ίδιες προσωπικά δεδομένα και γνωρίζουν τη λειτουργία του GDPR, επομένως η προστασία των προσωπικών δεδομένων στα λογιστικά γραφεία χωρίζεται σε πολλούς συμμετέχοντες σε αυτή τη διαδικασία.

Τα λογιστικά γραφεία που λαμβάνουν σοβαρά υπόψη την προστασία των προσωπικών δεδομένων μπορούν να αποκτήσουν πλεονέκτημα έναντι των ανταγωνιστών τους. Για τους πελάτες που χρησιμοποιούν την προσφορά τους, η τιμή είναι συχνά δευτερεύουσας σημασίας. Γιατί; Αφενός, οι υπηρεσίες των λογιστικών γραφείων είναι φθηνότερες από τη δημιουργία λογιστικού τμήματος στην εταιρεία και αφετέρου τους ανατίθεται ένας ευαίσθητος τομέας δραστηριότητας - γνώσεις για τα οικονομικά και τις επαφές. Αυτό, με τη σειρά του, καθιστά προτεραιότητα την ποιότητα της υπηρεσίας, τη διακριτικότητα και την ασφάλεια των δεδομένων.