RODO dla księgowych i biur rachunkowych
CZĘŚĆ I. RODO - nowe obowiązki w zakresie ochrony danych osobowych
1. Czym jest RODO
"RODO", zwane także "GDPR" lub "Ogólnym Rozporządzeniem o Ochronie Danych" to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie weszło w życie 17 maja 2016 r. i zastąpiło Dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dalej: Dyrektywa).
RODO chroni szeroko pojęte dane osobowe (od danych kontaktowych po dane biometryczne) i zaczyna obowiązywać bezpośrednio w krajowych porządkach prawnych krajów UE (w tym i w Polsce) od 25 maja 2018 r. Przypominamy, że biuro rachunkowe zatrudniające choćby jednego pracownika lub posiadające w jakiejkolwiek formie dane klientów będących osobami fizycznymi przetwarza dane osobowe. Biuro działając jako administratorzy danych lub przetwarzający, podlegają ustawie o ochronie danych osobowych (dalej: ustawa) i RODO. Przepisom RODO nie podlegają jedynie dane przetwarzane przez osoby fizyczne "wyłącznie w celach osobistych lub domowych".
Biura rachunkowe będące dotychczas administratorami danych osobowych lub podmiotami przetwarzającymi dane podlegają - tak jak dotychczas - unijnym regulacjom w zakresie ochrony danych osobowych. Nowość stanowi to, że regulacje RODO stosowane będą do nich bezpośrednio. Ustawodawca określi dodatkowo zasady postępowania w zakresie ochrony danych osobowych w nowej ustawie o ochronie danych osobowych, której projekt trafił właśnie do Sejmu. Ze względu na to, że nowa ustawa ma zacząć obowiązywać już od 25 maja 2018 r. w dalszej części rozważań znajdą się do niego odniesienia.
PRZYKŁAD
Biuro rachunkowe posiada bazę danych klientów, w której są oni identyfikowani jedynie numerami telefonów lub adresami e-mail. W bazie nie ma ich imion, nazwisk lub adresów. Baza ta stanowi zbiór danych osobowych. Numer telefonu czy adres e-mail dają bowiem możliwość określenia tożsamości osób umieszczonych w bazie. Biuro ma zatem obowiązek ochrony tej bazy zgodnie z ustawą o ochronie danych osobowych i postanowieniami RODO. Dotyczy to także bazy adresowej utworzonej na potrzeby newslettera rozsyłanego przez biuro rachunkowe, w której zawarte są jedynie adresy e-mail osób zapisanych na newsletter.