Wejście przepisów dotyczących nowych zasad przetwarzania danych osobowych coraz bliżej. Szykujemy się na duże zmiany?

Przepisy RODO (Rozporządzenia o ochronie danych osobowych) zmienią wiele z dotychczas obowiązujących zasad i procedur. Pojawią się także nowe obowiązki, do których powinien dostosować się każdy, kto przetwarza dane osobowe (z wyjątkiem działalności osobistej i domowej). Obowiązki te nie ominą także doradców podatkowych, którzy dodatkowo są zobligowani do stosowania procedur chroniących dane na podstawie zasad etyki zawodowej.

Nowe rozporządzenie, obok administratora danych osobowych wyróżnia  podmioty przetwarzające dane. Do której z tych kategorii zaliczymy doradców podatkowych?

W myśl przepisów rozporządzenia, doradcy podatkowi będą nie tylko administratorami danych osobowych, odpowiedzialnymi za przestrzeganie przepisów oraz zobowiązanymi do wykazania ich przestrzegania zgodnie z zasadą rozliczalności, ale w wielu przypadkach będą także podmiotami przetwarzającymi dane osobowe.

Co to oznacza?

Podmiot przetwarzający przetwarza dane osobowe w imieniu administratora tych danych. Kancelaria podatkowa czy biuro rachunkowe będą więc administratorem danych osobowych swoich pracowników, ale będą także podmiotem przetwarzającym w stosunku do danych osobowych, które uzyskają od swoich klientów, w toku prowadzonych spraw. W takiej sytuacji przetwarzanie danych osobowych musi, co do zasady, odbywać się na podstawie pisemnej umowy. Przepisy rozporządzenia określają minimalną treść takiej umowy i wymuszają ścisłą współpracę pomiędzy administratorem i podmiotem przetwarzającym w zakresie ochrony danych osobowych.

Przetwarzanie danych zgodne z RODO musi spełniać wiele warunków. Kto ma je spełniać? Administrator czy podmiot przetwarzający?

Doradcy podatkowi oraz prowadzący biura rachunkowe muszą pamiętać, że administrator danych może korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych - by przetwarzanie spełniało wymogi RODO. Będzie to można stwierdzić m. in. poprzez posiadanie odpowiedniego certyfikatu lub wdrożenie kodeksu postępowania, zatwierdzonego przez organ nadzorczy. W związku z tym zapewnienie odpowiedniego poziomu ochrony danych powinno stać się jednym z kryteriów wyboru usług biura rachunkowego czy kancelarii podatkowej przez klientów.

Czy RODO ograniczy w takim razie korzystanie chociażby z chmur komputerowych?

RODO wprowadza jedynie ogólne zasady, nie wymagając stosowania konkretnych technologii lub systemów zabezpieczenia danych osobowych. Ciężar odpowiedzialności za dokonanie odpowiedniego wyboru spoczywa na administratorze i podmiocie przetwarzającym, a sama decyzja powinna być podejmowana z uwzględnieniem fachowej wiedzy, wiarygodności i zasobów, umożliwiających wdrożenie środków technicznych i organizacyjnych także w obszarze bezpieczeństwa. Jeśli chodzi o zastosowanie wymagań wskazanych w RODO, to nie ma tu również znaczenia fakt, czy dane osobowe będą przechowywane w formie elektronicznej, czy tradycyjnej oraz czy będą przetwarzane w sposób zautomatyzowany lub też niezautomatyzowany. RODO nie zabrania również przetwarzania danych osobowych przechowywanych w chmurze (cloud computing).

A jak zmienią się uprawnienia osób fizycznych, których dane są przetwarzane?

Nowe przepisy przyznają szereg uprawnień osobom, których dane osobowe są przetwarzane. Najważniejsze z nich to prawo dostępu przysługujące osobie, której dane dotyczą, prawo do sprostowania tych danych, prawo do przenoszenia danych, prawo do usunięcia danych (prawo do bycia zapomnianym), prawo do ograniczenia przetwarzania, prawo do sprzeciwu co do przetwarzania. Każde z wyżej opisanych uprawnień osób, których dane są przetwarzane, oznacza dodatkowy obowiązek administratora tych danych lub podmiotu przetwarzającego.

Co jeszcze się zmieni?

Rozporządzenie wprowadzi także wiele zmian w stosunku do dotychczas obowiązujących procedur. Nie będzie już konieczne przygotowywanie polityki bezpieczeństwa (choć jej posiadanie w pewnych wypadkach może być wskazane) oraz rejestrowanie zbiorów danych. Zamiast tego niektórzy administratorzy danych będą musieli prowadzić rejestr czynności przetwarzania danych osobowych. Chodzi m.in. o tych, którzy zatrudniają ponad 249 pracowników. Zniknie również funkcja administratora bezpieczeństwa informacji (ABI), natomiast pojawi się inspektor ochrony danych (IOD), którego rola będzie co do zasady zbliżona do zadań ABI. Jednak nowe przepisy RODO istotnie wzmocnią rolę inspektorów. Świadczy o tym przede wszystkim fakt, że jego wyznaczenie stanie się w niektórych przypadkach obowiązkiem, a nie jak dotąd, uprawnieniem administratora danych osobowych. Inspektora ochrony danych powinni wyznaczyć administrator i podmiot przetwarzający m. in. gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

Jak się przygotować do zmian?

Przepisy rozporządzenia będą stosowane od 25 maja 2018 r., dlatego już dziś warto się zatroszczyć o ich przestrzeganie i wdrożyć właściwe zabezpieczenia. RODO nie wskazuje wprost, jakiego rodzaju środki zastosować, ale przenosi na administratora ryzyko i ciężar wyboru odpowiednich środków zabezpieczających przetwarzane dane osobowe. Ocena wyboru tych środków zostanie dokonana przez organ nadzorczy w czasie kontroli, będzie też miała istotny wpływ na rodzaj lub wysokość ewentualnej kary. Administrator danych zobowiązany jest we własnym zakresie ocenić ryzyko i oszacować, jakie rozwiązania będą najlepsze do zastosowania w prowadzonej przez siebie działalności. Kancelarie podatkowe czy biura rachunkowe mogą przeprowadzić w tym celu audyty prowadzonej działalności lub skorzystać ze szkoleń dla swoich pracowników. Jednym z podstawowych elementów zwiększenia bezpieczeństwa przetwarzania danych osobowych jest wdrożenie właściwej dokumentacji.

Rozmawiał Krzysztof Koślicki