Obowiązki biur rachunkowych w kontekście RODO

RODO W BIURZE RACHUNKOWOWYM

Biura rachunkowe znajdują się w specyficznej sytuacji jeżeli chodzi o obowiązki wynikające z RODO. Po pierwsze, działają one – podobnie jak większość przedsiębiorców –  jako administratorzy danych osobowych (w stosunku do danych własnych pracowników oraz klientów lub osób reprezentujących klientów). Po drugie, biura rachunkowe działają jako „procesorzy”, czyli podmioty przetwarzające w rozumieniu art. 28 RODO w odniesieniu do danych przekazywanych przez klientów. Dotyczy to np. sytuacji, w których firma będąca klientem  biura rachunkowego przekazuje do niego dane swoich pracowników lub klientów. Czytaj dalej Obowiązki biur rachunkowych w kontekście RODO

UE RODO: Śniadanie biznesowe z przedsiębiorcami z województwa lubuskiego – 15 listopada 2017

 Dnia 15 listopada 2017 roku nasi eksperci spotkali się z delegacjami firm z województwa lubuskiego – największymi producentami w regionie. Podczas spotkania omawiana została strategia przygotowania się do zmian w ochronie danych osobowych.

W maju przyszłego roku będą przyjęte do stosowania unijne przepisy – Rozporządzenie o Ochronie Danych Osobowych, tzw. RODO. Zmienią się zasady przetwarzania, wykorzystywania i przechowywania naszych danych. Kto je naruszy zapłaci wysoką karę nawet do 20 mln euro – wymierzane jednoinstancyjnie przez nowy Urząd Ochrony Danych. Do zmiany musi się przygotować budżetówka, a także firmy prywatne.

UE RODO: Wytyczne odnośnie nakładania kar finansowych wg nowych przepisów UE RODO

W piątek, dnia 20 października 2017 roku, Grupa Robocza Art. 29 wydała długo wyczekiwane wytyczne dotyczące administracyjnych kar pieniężnych jakie organy nadzorcze państw członkowskich będą mogły nakładać na administratorów danych oraz podmioty przetwarzające dane osobowe – w Polsce będzie to Prezes Urzędu Ochrony Danych Osobowych, będący następcą GIODO (od 25 maja 2018 roku).

Wytyczne są istotne z powodu wprowadzenia kar pieniężnych nakładanych w trybie administracyjnym, wynoszących nawet do 20 milionów euro  (lub wyższych) – decyzje będzie wydawał Prezes UODO, natomiast skarżyć będzie je można do sądów administracyjnych.

Wytyczne zawierają przede wszystkim opis kryteriów miarkujących wymiar kary pieniężnej, wskazanych w art. 83 ust. 2 lit. a-k RODO, choć trudno uznać to za wyczerpujący opis – niestety sam wymiar kar będzie w dużej części zależał o przyjętej polityki organu nadzorczego, przy czym „wachlarz” środków, jakimi nowy urząd będzie dysponował można określić w granicach od „0” do 20 milionów euro, (lub wyższej kwoty, w przypadku przyjęcia kryterium 4% światowego obrotu za poprzedni rok).

Grupa Robocza wskazuje miedzy innymi na brak przestrzegania przyjętych procedur wewnętrznych lub brak przyjęcia procedur (np. polityki bezpieczeństwa) jako przykłady wskazujące na „nieumyślny charakter naruszenia” – czyli braku dochowania staranności przy realizacji obowiązków uregulowanych przez przepisy.

Ponadto, Grupa Robocza, wskazując na motyw 148 preambuły do RODO, zasugerowała, że mogą zaistnieć sytuacje, w których naruszenie RODO jest „niewielkie” – np. gdy w konkretnej sprawie organ nadzorczy stwierdzi, że nie wiąże się ono z istotnym ryzykiem dla praw lub wolności osób, których dane są przetwarzane – kara pieniężna będzie mogła zostać zastąpiona upomnieniem. Grupa Robocza wyraźnie podkreśla, że nawet w przypadku niewielkich naruszeń, zamiana kary pieniężnej na upomnienie jest jedynie możliwością, a nie obowiązkiem organu nadzorczego.
Jeżeli jednak kara pieniężna będzie nakładana np. na osobę fizyczną prowadzącą działalność gospodarczą – organ nadzorczy będzie miał obowiązek zbadania, czy wysokość kary pieniężnej nie będzie stanowiła nieproporcjonalnego obciążenia dla tej osoby fizycznej.

Grupa Robocza zapowiedziała wydanie kolejnych (bardziej szczegółowych) wytycznych dotyczących nakładanych kar pieniężnych w przyszłości.


Autor: Karol Cieniak, prawnik, Dyrektor Działu Prawnego DPOS| Specjalista ds. ochrony danych osobowych

Copyright. Opracowanie autorskie. Wydawnictwo DPOSPL

Wszelkie prawa zastrzeżone. Cytowanie i publikowanie bez zgody wydawcy RBDO.PL zabronione. Prośby o zgodę na wykorzystanie materiału prosimy wysyłać na adres: biuro@rbdo.pl


Nowe terminy szkoleń z procedur UE RODO>>

• Nowe procedury ochrony danych UE (RODO) przewidują kary finansowe za uchybienia ochrony danych do 20 mln EURO lub wyższe do 4% przychodu za ub. rok

 W wielu firmach pojawi się obowiązek powołania stanowiska niezależnego Inspektora Ochrony Danych

 Pojawi się wiele nowych procedur, m .in. oceny ryzyk przetwarzania danych, prowadzenie rejestrów czynności czy zgłaszania incydentów w 72 h

—-

Jeśli są Państwo zainteresowani szkoleniem lub audytem i przygotowaniem się do nowych procedur UE (RODO), prosimy o kontakt na mail: biuro@dpos.pl

Informacje i porady prawne z zakresu ochrony danych: (22) 487 86 70

UE RODO. Wytyczne omawiające obowiązek zgłaszania naruszeń ochrony danych w 72 h _ część 2

Grupa Robocza podkreśla, że to na administratorze danych spoczywa odpowiedzialność za ochronę danych osobowych, jednak przy zgłaszaniu naruszeń istna jest także rola procesora, który powinien umożliwić administratorowi danych wywiązanie się z obowiązków dotyczących ewidencjonowania i zgłaszania naruszeń. Czytaj dalej UE RODO. Wytyczne omawiające obowiązek zgłaszania naruszeń ochrony danych w 72 h _ część 2

UE RODO. Wytyczne omawiające obowiązek zgłaszania naruszeń ochrony danych w 72 h _ część 1

DPIA

Wytyczne w sprawie zgłaszania naruszeń ochrony danych

Dnia 18 października 2017 roku, Grupa Robocza art. 29 opublikowała projekt wytycznych (http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083) dotyczących realizacji obowiązku zgłaszania naruszeń ochrony danych osobowych, który od dnia 25 maja 2018 roku będzie spoczywał na każdym administratorze danych osobowych (niezależnie od skali i rodzaju prowadzonej działalności). Do projektu wytycznych można składać uwagi do dnia 28 listopada pod adresem: JUST-ARTICLE29WP-SEC@ec.europa.eu Czytaj dalej UE RODO. Wytyczne omawiające obowiązek zgłaszania naruszeń ochrony danych w 72 h _ część 1

Co dla firm i jednostek organizacyjnych oznacza data 25 maja 2018, czyli wejście RODO? Jakie procedur się zmienią?

Coraz więcej podmiotów, zarówno dużych korporacji, przedsiębiorstw zatrudniających dziesiątki czy setki pracowników, najczęściej poprzez działy HR, przygotowuje się na wdrożenie nowych procedur UE (RODO). Niestety panuje powszechne przekonanie, ze zmiany będą łagodne i będą mogły zostać prawidłowo wdrożone niskim kosztem. To błąd! Usługi audytu i wdrożeń realizowane przez specjalistów prawa ochrony danych UE (RODO) będę niebawem na poziomie miesięcznych ryczałtów po 5-20 tys. zł miesięcznie!  Podmioty, które nie zapewnią sobie kompetencji i zasoów w tym obszarze czekają nieprzespane noce ryzyka i niepweności egzkuchji surowych kar do 20 mln euro! Co warto wiedzieć o przejściu do nowych procedur?

Czytaj dalej Co dla firm i jednostek organizacyjnych oznacza data 25 maja 2018, czyli wejście RODO? Jakie procedur się zmienią?